Menerapkan Strategi Remediasi Kerentanan Dalam Siklus Hidup Pengembangan Aplikasi Web

Setelah Anda menyelesaikan penilaian keamanan sebagai bagian dari pengembangan aplikasi web Anda, saatnya untuk menempuh jalan perbaikan semua masalah keamanan yang Anda temukan. Pada titik ini, pengembang Anda, penguji jaminan kualitas, auditor, dan manajer keamanan Anda semua harus berkolaborasi secara erat untuk

memasukkan keamanan ke dalam proses siklus pengembangan perangkat lunak Anda saat ini untuk menghilangkan kerentanan aplikasi. Dan dengan laporan penilaian keamanan aplikasi Web Anda, Anda mungkin sekarang memiliki daftar panjang masalah keamanan yang perlu ditangani: kerentanan aplikasi rendah, sedang, dan tinggi; konfigurasi

gaffes; dan kasus di mana kesalahan logika bisnis menciptakan risiko keamanan. Untuk tinjauan umum terperinci tentang cara melakukan penilaian keamanan aplikasi Web,Penilaian Kerentanan Aplikasi Web: Langkah Pertama Anda ke Situs Web yang Sangat Aman .

Pertama Up: Kategorikan dan Prioritaskan Kerentanan Aplikasi Anda

Tahap pertama dari proses perbaikan dalam pengembangan aplikasi web adalah mengategorikan dan memprioritaskan segala sesuatu yang perlu diperbaiki dalam aplikasi Anda, atau situs Web. Dari level tinggi, ada dua kelas kerentanan aplikasi: kesalahan pengembangan dan kesalahan konfigurasi. Seperti namanya, kerentanan pengembangan aplikasi web adalah yang muncul melalui konseptualisasi dan pengkodean aplikasi. Ini adalah

masalah yang berada dalam kode aktual, atau alur kerja aplikasi, yang harus diatasi oleh pengembang. Seringkali, tetapi tidak selalu, jenis kesalahan ini dapat mengambil lebih banyak pemikiran, waktu, dan sumber daya untuk memperbaiki. Kesalahan konfigurasi adalah kesalahan yang mengharuskan pengaturan sistem diubah, layanan

harus dimatikan, dan sebagainya. Bergantung pada bagaimana struktur organisasi Anda, kerentanan aplikasi ini mungkin atau mungkin tidak ditangani oleh pengembang Anda. Seringkali mereka dapat ditangani oleh manajer aplikasi atau infrastruktur. Dalam hal apa pun, kesalahan konfigurasi dapat, dalam banyak kasus, disetel dengan cepat.

Pada titik ini dalam pengembangan aplikasi web dan proses perbaikan, saatnya memprioritaskan semua kerentanan teknis dan logika bisnis yang ditemukan dalam penilaian. Dalam proses langsung ini, pertama-tama Anda membuat

daftar kerentanan aplikasi paling kritis dengan potensi dampak negatif tertinggi pada sistem paling penting bagi organisasi Anda, dan kemudian mendaftar kerentanan aplikasi lain dalam urutan menurun berdasarkan risiko dan dampak bisnis.

Kembangkan Roadmap Remediasi yang Dapat Dicapai

Setelah kerentanan aplikasi telah dikategorikan dan diprioritaskan, langkah selanjutnya dalam pengembangan aplikasi web adalah memperkirakan berapa lama waktu yang dibutuhkan untuk mengimplementasikan perbaikan. Jika Anda tidak terbiasa dengan siklus pengembangan aplikasi web dan revisi, itu ide yang baik untuk

membawa pengembang Anda untuk diskusi ini. Jangan terlalu terperinci di sini. Idenya adalah untuk mendapatkan gagasan tentang berapa lama proses akan berlangsung, dan mendapatkan pekerjaan perbaikan yang sedang berlangsung berdasarkan kerentanan aplikasi yang paling memakan waktu dan kritis terlebih dahulu. Waktu, atau

perkiraan kesulitan, bisa sesederhana mudah, sedang, dan sulit. Dan remediasi akan dimulai tidak hanya dengan kerentanan aplikasi yang menimbulkan risiko terbesar, tetapi mereka yang juga akan memakan waktu paling lama untuk memperbaiki waktu. Contohnya, mulai memperbaiki kerentanan aplikasi yang kompleks yang bisa memerlukan waktu cukup lama untuk memperbaikinya, dan menunggu untuk bekerja pada setengah lusin cacat

media yang dapat diperbaiki dalam satu sore. Dengan mengikuti proses ini selama pengembangan aplikasi web, Anda tidak akan jatuh ke dalam perangkap karena harus memperpanjang waktu pengembangan, atau menunda peluncuran aplikasi karena dibutuhkan waktu lebih lama dari yang diharapkan untuk memperbaiki semua kelemahan terkait keamanan.

Proses ini juga memberikan tindak lanjut yang sangat baik untuk auditor dan pengembang selama pengembangan aplikasi web: Anda sekarang memiliki peta jalan yang dapat dicapai untuk dilacak. Dan perkembangan ini akan mengurangi lubang keamanan sambil memastikan perkembangan berjalan lancar.

Perlu ditunjukkan bahwa masalah logika bisnis apa pun yang diidentifikasi selama penilaian perlu dipertimbangkan dengan hati-hati selama tahap penentuan prioritas pengembangan aplikasi web. Sering kali, karena Anda berurusan dengan logika – cara aplikasi sebenarnya mengalir – Anda ingin mempertimbangkan dengan cermat bagaimana

kerentanan aplikasi ini harus diselesaikan. Apa yang tampak seperti perbaikan sederhana ternyata cukup rumit. Jadi, Anda ingin bekerja sama dengan pengembang, tim keamanan, dan konsultan Anda untuk mengembangkan rutinitas koreksi kesalahan logika bisnis terbaik yang mungkin, dan perkiraan yang akurat tentang berapa lama waktu yang diperlukan untuk memperbaiki.

Selain itu, memprioritaskan dan mengkategorikan kerentanan aplikasi untuk remediasi adalah bidang pengembangan aplikasi web di mana konsultan dapat memainkan peran penting dalam membantu mengarahkan

organisasi Anda ke jalur yang sukses. Beberapa bisnis akan merasa lebih efektif untuk memiliki konsultan keamanan yang memberikan beberapa jam saran tentang cara memperbaiki kerentanan technicaltalk.net saran ini seringkali mencukur ratusan jam dari proses perbaikan selama pengembangan aplikasi web.

Namun, salah satu jebakan yang ingin Anda hindari saat menggunakan konsultan selama pengembangan aplikasi web adalah kegagalan untuk menetapkan harapan yang tepat. Sementara banyak konsultan akan memberikan daftar kerentanan aplikasi yang perlu diperbaiki, mereka sering lalai untuk memberikan informasi yang dibutuhkan

organisasi tentang cara memperbaiki masalah. Penting untuk menetapkan harapan dengan para pakar Anda, baik di dalam maupun di luar perusahaan, untuk memberikan perincian tentang cara memperbaiki cacat keamanan. Namun, tantangannya, tanpa detail, pendidikan, dan panduan yang tepat, adalah bahwa pengembang

yang membuat kode rentan selama siklus pengembangan aplikasi web mungkin tidak tahu cara memperbaiki masalah. Itu sebabnya memiliki konsultan keamanan aplikasi yang tersedia untuk pengembang, atau salah satu anggota tim keamanan Anda, sangat penting untuk memastikan mereka menuju jalan yang benar. Dengan cara ini, jadwal pengembangan aplikasi web Anda terpenuhi dan masalah keamanan diperbaiki.

Pengujian dan Validasi: Secara Independen Pastikan Kerentanan Aplikasi Telah Diperbaiki

Ketika fase berikutnya dari siklus pengembangan aplikasi web tercapai, dan kerentanan aplikasi yang sebelumnya diidentifikasi (semoga) telah diperbaiki oleh pengembang, saatnya untuk memverifikasi postur aplikasi dengan

penilaian ulang, atau pengujian regresi. Untuk penilaian ini, sangat penting bahwa pengembang bukan satu-satunya yang ditugaskan untuk menilai kode mereka sendiri. Mereka sudah harus menyelesaikan verifikasi mereka. Poin ini patut dinaikkan, karena berkali-kali perusahaan membuat kesalahan dengan mengizinkan pengembang untuk

menguji aplikasi mereka sendiri selama tahap penilaian ulang dari siklus pengembangan aplikasi web. Dan setelah verifikasi kemajuan, sering ditemukan bahwa pengembang tidak hanya gagal memperbaiki kekurangan yang dipatok untuk perbaikan, tetapi mereka juga telah memperkenalkan kerentanan aplikasi tambahan dan banyak kesalahan

lain yang perlu diperbaiki. Itu sebabnya sangat penting bahwa entitas independen, apakah tim in-house atau konsultan outsourcing, meninjau kode untuk memastikan semuanya telah dilakukan dengan benar.

Area Lain dari Mitigasi Risiko Aplikasi

Meskipun Anda memiliki kontrol penuh untuk mengakses aplikasi khusus Anda selama pengembangan aplikasi web, tidak semua kerentanan aplikasi dapat diperbaiki dengan cukup cepat untuk memenuhi tenggat waktu penggunaan yang tidak bergerak. Dan menemukan kerentanan yang bisa memakan waktu berminggu-minggu untuk diperbaiki dalam aplikasi yang sudah dalam produksi adalah menegangkan. Dalam situasi seperti ini, Anda tidak

akan selalu memiliki kendali atas pengurangan risiko keamanan aplikasi Web Anda. Ini terutama berlaku untuk aplikasi yang Anda beli; akan ada kerentanan aplikasi yang tidak diterbangkan oleh vendor untuk periode waktu

yang lama. Daripada beroperasi pada tingkat risiko yang tinggi, kami menyarankan Anda mempertimbangkan cara lain untuk mengurangi risiko Anda. Ini dapat mencakup pemisahan aplikasi dari area lain di jaringan Anda, membatasi akses sebanyak mungkin ke aplikasi yang terpengaruh, atau mengubah konfigurasi aplikasi, jika

memungkinkan. Idenya adalah untuk melihat aplikasi dan arsitektur sistem Anda untuk cara lain untuk mengurangi risiko saat Anda menunggu untuk diperbaiki. Anda bahkan mungkin mempertimbangkan untuk menginstal firewall aplikasi web (firewall yang dibuat khusus yang dirancang untuk mengamankan aplikasi web dan menerapkan

kebijakan keamanannya) yang dapat memberi Anda solusi sementara yang masuk akal. Meskipun Anda tidak dapat mengandalkan firewall seperti itu untuk mengurangi semua risiko Anda tanpa batas, mereka dapat memberikan perisai yang memadai untuk memberi Anda waktu sementara tim pengembangan aplikasi web membuat

perbaikan. Anda bahkan mungkin mempertimbangkan untuk menginstal firewall aplikasi web (firewall yang dibuat khusus yang dirancang untuk mengamankan aplikasi web dan menerapkan kebijakan keamanannya) yang dapat memberi Anda solusi sementara yang masuk akal. Meskipun Anda tidak dapat mengandalkan firewall seperti itu

untuk mengurangi semua risiko Anda tanpa batas, mereka dapat memberikan perisai yang memadai untuk memberi Anda waktu sementara tim pengembangan aplikasi web membuat perbaikan. Anda bahkan mungkin

mempertimbangkan untuk menginstal firewall aplikasi web (firewall yang dibuat khusus yang dirancang untuk mengamankan aplikasi web dan menerapkan kebijakan keamanannya) yang dapat memberi Anda solusi sementara

yang masuk akal. Meskipun Anda tidak dapat mengandalkan firewall seperti itu untuk mengurangi semua risiko Anda tanpa batas, mereka dapat memberikan perisai yang memadai untuk memberi Anda waktu sementara tim pengembangan aplikasi web membuat perbaikan.

Seperti yang Anda lihat, memperbaiki kerentanan aplikasi web selama siklus hidup pengembangan aplikasi web membutuhkan kolaborasi antara pengembang, penguji QA, manajer keamanan, dan tim aplikasi. Proses yang terkait dapat tampak melelahkan, tetapi faktanya adalah dengan menerapkan proses ini, Anda akan secara efektif

mengurangi risiko serangan tingkat aplikasi. Pengembangan aplikasi web sangat kompleks, dan pendekatan ini lebih murah daripada merekayasa ulang aplikasi dan sistem terkait setelah digunakan untuk produksi.

Itulah sebabnya pendekatan terbaik untuk keamanan aplikasi web adalah membangun kesadaran keamanan di antara pengembang dan penguji jaminan kualitas, dan untuk menanamkan praktik terbaik di seluruh siklus hidup

pengembangan aplikasi Web Anda – dari arsitekturnya sepanjang masa produksinya. Mencapai tingkat kematangan ini akan menjadi fokus angsuran berikutnya, Kontrol Efektif Untuk Mendapatkan Keamanan Aplikasi

Berkelanjutan . Artikel ketiga dan terakhir akan memberi Anda kerangka kerja yang Anda butuhkan untuk membangun budaya pengembangan yang mengembangkan dan menyebarkan aplikasi yang sangat aman dan tersedia – sepanjang waktu.

Leave A Comment

Your email address will not be published. Required fields are marked *