Software Auditoria

Norentzat da?

Negozioaren jarraikortasuna bermatzeko asmoz ziberrerasoen aurrean babestuago egon nahi duten eta erresilienteagoak izan nahi duten erakunde guztiei zuzenduta, publiko nahiz pribatu, baita enpresa txiki eta ertainei ere (ETE).

Zer da software-auditoria?

Software-auditoria batek software-sistema baten segurtasun-egoera ebaluatzea ahalbidetzen du hainbat alderdi aztertuta. Era askotakoak izan daitezke alderdi horiek: lizentziak betetzen direla egiaztatzea, iturburu-kodearen segurtasuna, aplikazioaren arkitekturaren balidazioa eta kalitate-kontrolaren monitorizazioa.

Zer da software-auditoria?

Softwarearen segurtasunari dagokionez, software segurua garatzeko lagungarriak diren metodologiak daude. S-SDLC (software seguruaren garapeneko bizitza-zikloa) aplikazioak garatzeko garaian segurtasuneko akatsak detektatzeko, prebenitzeko eta zuzentzeko baliagarria den diseinuko printzipioen multzoa da. Jardunbide egoki horiek aplikatzeak kalteberatasunen aurrean sendoa den konfiantzazko softwarea lortzen laguntzen digu. Hala, diseinatua izan den funtzioak bakarrik betetzen ditu, kalteberatasunik gabe eta segurtasuna, isilpekotasuna eta eskuragarritasuna bermatuta.

Edonola ere, garapen seguruko jardunbide egokiak beteta ere, software bat kaltebera izan daiteke eta badago segurtasuna kontuan izan gabe garatu izan den softwarea. Ondorioz, beharrezkoa da softwarea auditatzea segurtasuna egiaztatu ahal izateko, eta lan hori egiteko, softwarearen garapenean gaitutako segurtasuneko adituak behar dira.

Helburuak

Helburuak Software Auditoria baten helburua da software-sistema baten isilpekotasuna, segurtasuna eta/edo eskuragarritasuna arriskuan jar ditzaketen segurtasuneko arazoak identifikatzen saiatzea. Horri esker, arazo horiek konpondu egin daitezke eta, hala, software seguruagoa lortzen da.

Onurak

Aztertutako softwarean eragina izan dezaketen mehatxuak identifikatzea.
Aplikazioan eragina izan dezaketen arriskuak zehaztea eta, hala, arrisku horri aurre egin ahal izateko neurriak hartzea.
Auditatutako softwarean eragina izan dezakeen zibersegurtasuneko gorabehera baten inpaktua gutxitzeko babes-neurriak definitzea eta aplikatzea.

Azterketa moduak

Segurtasuna egiaztatzeko eta softwarea aztertzeko hainbat modu dago. Gehiago ere badauden arren, ezagunenak aplikazioaren segurtasunaren azterketa estatikoa eta dinamikoa dira.

Aplikazioen segurtasun-azterketa estatikoa (SAST)

Aplikazioen azterketa estatikoaren bidez, iturburu-kodea aztertzen da. Horretarako, softwarearen kodearen azterketa zehatza egiten da (automatikoa eta eskuzkoa), programazio seguruaren jardunbide egokien baitan jasotako gutxieneko eskakizunak betetzen direla egiaztatuta. “Kutxa zuria” ere deitzen zaio azterketa mota horri.

Azterketa estatikoa egiteko garaian, tresna automatikoak erabiltzen dira: HP Fortify, Veracode edo Checkmarx, adibidez. Kodean egon daitezkeen segurtasuneko akatsak identifikatzea eta zuzentzea, eta probak automatizatzea ahalbidetzen dute tresna horiek. Tresna automatikoaren emaitza lortutakoan, auditoreak datuak aztertzen ditu egon daitezkeen positibo faltsuen bila. Gehienetan, kalteberatasunak bilatzeko eskuzko prozesua ere egiten da. Kasu horretan, tresna automatikoak identifikatutakoak egiaztatzen eta tresnak topatu izan ez dituen kalteberatasun berriak bilatzen dira.

Proba horien barruan, hainbat parametro aztertzen da: aplikazio mota, barneratutako teknologiak, log-en sistema, buffer-gainezkatzeak, kanpoko aplikazioen exekuzioa, aplikazioaren fluxuaren aldaketa (birbideratzeak, eskuragarri ez dauden zonaldeetarako sarbideak...), erabiltzailearen sarrera edo fitxategi bidezko konfigurazio-moduak, informazio sentsiblea zifratuta ez dauden fitxategietan biltegiratzea, erabiltzaileen eta pasahitzen politika, zifratze-algoritmoak, kodea bezeroan edo zerbitzarian injektatu izana, funtzionalitate-abusu posibleak, errore-mezuan informazio gehiegi izatea eta abar.

Amaitzeko, lortutako aurkikuntza guztiak argi eta modu deskribatzailean dokumentatu beharko dira auditoria ondoren.

Aplikazioen segurtasun-azterketa dinamikoa (DAST)

Azterketa mota hauen helburua da abian den softwarearen segurtasuna egiaztatzea, erabiltzaileak softwarea erabiltzen duen moduaren simulazioa eginda. “Kutxa beltza” ere deitzen zaio azterketa mota horri. Aplikazioan zehar nabigatzen da atal guztiak zeharkatuz, kalteberak izan daitezkeen elementu guztiak (autentifikazio-sistema, identitateen kudeaketa, baimenaren kontrola, saioen kudeaketa eta abar) aztertuz eta abar. Amaitzeko, auditoria ostean lortutako aurkikuntza guztiak argi eta modu deskribatzailean dokumentatzen dira.

Azterketa mota horiek egiteko, tresna automatizatuak erabiltzen dira: Acunetix edo AppScan, adibidez.

Non jaso aholkularitza edo kontratatu software-auditoria bat?

BCSCk enpresen esku jartzen du “Euskadin Zibersegurtasunari buruzko Liburu Zuria”. Agiriak gure tokiko ekosistemaren ikuspegi orokorra du, eta berrikuntza, ikerketa, ekintzailetza, eta abarren ikuspuntu desberdinak ageri dira. Halako zerbitzu-motak ematen dituzten zibersegurtasuneko hornitzaileen katalogoa aurki daiteke, eskatu nahi dituzten erakunde interesdunek erabakiak errazago hartzeko erreferentziazko puntua izan dezaten.

Katalogoa Euskadin zibersegurtasuneko merkatuaren laburpena edo argazkia da. Dena den, zerrenda bizia da, eta aldizka ikuskatu nahiz eguneratzen da, zerbitzuen digitalizazioa eta sortzen diren aukerak etengabe bilakatzen eta aurreratzen ari baitira.

BCSC Liburu Zuria