I dagens digitale tidsalder udgør softwareapplikationer rygraden i mange brancher og driver alt fra forretningsdrift til sociale interaktioner. Men den stigende afhængighed af software gør den også til et oplagt mål for cybertrusler. Softwarefejl og dårlig kodningspraksis kan få ødelæggende konsekvenser for organisationer, herunder databrud, økonomisk tab og skade på omdømmet.
Især det berygtede WannaCry-cyberangreb opstod, da en Microsoft-sikkerhedssårbarhed blev udnyttet af ransomware. Konsekvenserne af WannaCry-ransomwareangrebet var betydelige og forstyrrede tjenesterne på en tredjedel af hospitalerne og omkring 8 % af de praktiserende læger. De anslåede samlede omkostninger ved at genoprette de berørte systemer nåede ifølge Department of Health & Social Care op på 92 millioner pund.
For nylig kostede det globale teknologiske nedbrud i 2024, som blev udløst af CrowdStrikes fejlbehæftede opdatering, amerikanske Fortune 500-virksomheder 5,4 mia. dollars.
For at mindske disse risici skal udviklere anvende sikker kodningspraksis.
Forståelse af sikker kodning
Sikker kodning er praksis med at skrive software på en måde, der beskytter mod indførelsen af sikkerhedssårbarheder. Det involverer et sæt principper, retningslinjer og teknikker, som udviklere bør følge for at forhindre almindelige sikkerhedsproblemer som f.eks. databrud, uautoriseret adgang og andre cybertrusler.
Open Web Application Security Project (OWASP)
OWASP (Open Web Application Security Project) er en non-profit-organisation, der arbejder for at forbedre softwaresikkerheden. I 2021 udgav OWASP deres opdaterede 'Top 10 Web Application Security Risks' for at øge bevidstheden om det nuværende sikkerhedslandskab og forbedre softwaresikkerheden.
Deres Top 10 er et standarddokument, som repræsenterer en bred konsensus om de mest kritiske sikkerhedsrisici for webapplikationer på listen over trusler. Denne aktuelle liste er baseret på et udvidet antal Common Weakness Enumerators (CWE's), som er en del af et system til kategorisering af softwaresvagheder og -sårbarheder.
Den største forskel denne gang er, at OWASP har udarbejdet sin liste ud fra et grundårsagsperspektiv i modsætning til en kombination af grundårsag og symptom. Det betyder, at nogle emner, som fandt deres egen plads i 2017 Top 10, nu er blevet integreret i andre overordnede trusler, mens de stadig er relevante som et problem for udviklere. For eksempel befinder Cross-Site Scripting sig nu som et symptom på SQL-injektion og ikke som en separat trussel.
Top 10 for 2021 definerer også behovet for et grundlæggende skift i den måde, som software designes på, og som følge heraf er Insecure Design nu en af de største trusler på listen. Denne nye tilføjelse til Top 10 tager højde for de stigende risici for applikationssikkerheden ved at sikre, at der findes solide råd til at integrere sikkerhedskoncepter i hver fase af softwareudviklingslivscyklussen.
Hvorfor sikker kodning er vigtig
- Beskyttelse af data: Sikrer fortrolighed, integritet og tilgængelighed af data.
- Overholdelse af regler: Hjælper med at opfylde juridiske og industrielle standarder som GDPR, HIPAA og PCI-DSS.
- Håndtering af omdømme: Forhindrer skader på en virksomheds omdømme på grund af sikkerhedsbrud.
- Omkostningsbesparelser: Reducerer de omkostninger, der er forbundet med sikkerhedshændelser og -brud.
Sikker kodning eLearning-serie
Alt for ofte er professionelle programmører og testere ikke bekendt med de principper, der anvendes til at sikre software og almindelige sårbarheder i webapplikationer. Virkeligheden er, at en lille fejl i udviklingen af software kan forårsage en større hændelse.
For at hjælpe organisationer med at indarbejde en kultur med sikker kodning har MetaCompliance udgivet sin Secure Coding Series, som forsøger at destillere de oplysninger, som OWASP har indsamlet, i et format, som let kan fordøjes af alle, der har brug for at være opmærksomme på problemer med applikationssikkerhed.
Hvert emne i Top 10 har sit eget dedikerede modul, som dækker:
- Definition af truslen
- Forståelse af, hvordan man identificerer truslen
- Sådan kontrollerer du din applikation for sårbarheder
- Afhjælpning af risikoen ved den identificerede trussel
For hvert emne er der en solid vurdering, som tager hensyn til vigtigheden af risikoen for din organisation ved at undersøge elevernes viden om de 10 største trusler nøje.
De emner, der behandles, er:
- Hvad er sikker kodning?
- Brudt adgangskontrol
- Kryptografiske fejl
- SQL-injektion
- Usikkert design
- Fejlkonfiguration af sikkerheden
- Sårbare og forældede komponenter
- Fejl i identifikation og autentificering
- Fejl i software og dataintegritet
- Fejl i sikkerhedslogning og overvågning
- Forfalskning af server-side forespørgsler
Se traileren her
Klik her for at få mere at vide om MetaCompliance's cyber security eLearning.