Artikel top billede

(Foto: Computerworld)

Applikationer er virksomhedens nye akilleshæl

Virksomhedernes sikkerhed på applikationsniveau halter bagud i forhold til andre sikkerhedsområder. Det forklarer Jan Bau, regionschef for Tufin Technologies i Norden, i denne artikel. Grunden til, at it-sikkerheden på applikationsniveau er vigtigere end nogensinde før, er, at virksomheder og organisationer verden over oftere og oftere udskifter og installerer nye forretningskritiske programmer og applikationer herunder crm-, erp- og hr-systemer.

Af Jakob D. Lund, Alt om Data

Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.

Hele 31 procent af de adspurgte i en ny undersøgelse, som Tufin har foretaget, fortæller, at de implementerer en ny applikation hver eneste uge. Og hver gang der udskiftes og installeres nye applikationer, skal de naturligvis beskyttes bag en firewall mod misbrug og indtrængen fra uvedkommende.

Dertil kommer, at næsten en tredjedel af de adspurgte netværkssikkerhedsansvarlige i Tufins undersøgelse vurderer, at en re-gelændring relateret til en ny applikation kan have forårsaget et brud, som potentielt kompromitterer virksomhedskritiske data.

Applikationer er livsnerven

Men hvorfor har virksomheder og organisationer ikke styr på applikationssikkerheden? Hvilke faktorer gør det svært at få styr på applika-tionssikkerheden? Og hvordan kan virksomhederne tackle denne udfordring i fremtiden og undgå forretningskritiske sikkerhedsbrud forårsaget af manglende applikationssikkerhed?

Forretningskritiske applikationer såsom crm-, erp-, hr-systemer – for ikke at nævne mere avancerede applikationer som e-handelsløsninger og back-end transaktionssystemer – er blevet livsnerven i den moderne virksomhed. Det er derfor en nødvendighed, at disse applikationer er oppe at køre 24/7.
Efter en tiltrængt bølge af automatisering på netværkssikkerhedsområdet, oplever mange netværksadministratorer nu, at de står over for en ny udfordring.

Udfordringen består i, at håndteringen af netværkets sikkerhed skal udvikles med fokus på den stigende “applika-tionscentrering”, der finder sted ude i virksomhederne.

Både de applikationsansvarlige og de sikkerhedsansvarlige ved, at organisationens største og vigtigste forventning til dem er, at virk-somhedens forretningskritiske applikationer er tilgængelige døgnet rundt for medarbejderne – uanset hvor de befinder sig – og er beskyttet mod angreb.

Traditionelt set har de applikationsansvarlige stået for f.eks. idriftsættelse af applikationer, afvikling af applikationer, større systemop-graderinger, at fjerne orme eller anden ondsindet kode eller udrulning af en ny virksomhedsapplikation. Alle processer, hvor it-afdelingen er nødt til at oversætte applikationstilslutningen til firewall-politikker, så de både er sikre og anvendelige.

Men i takt med at sikkerheden omkring virksomhedernes it-systemer er blevet stadig mere vigtig, er det de netværkssikkerhedsan-svarlige, der i højere og højere grad er blevet involveret i sikringen af virksomhedens applikationer f.eks. i forbindelse med fusioner, virksomhedsopkøb, konsolideringer af datacentre og andre it-ændringer.

Faktisk er regelændringer ifølge Tufins undersøgelse i dag den væsentligste årsag til, at der foretages ændringer på netværksenheder såsom firewalls, switche, routere, web proxi’er og load balancers. Det betyder, at it-sikkerheden på applikationsniveau i 9 ud af 10 tilfælde spiller en afgørende rolle for virksomhedens generelle it-sikkerhedstilstand og derfor udgør en hidtil overset trussel for virksomheder og organisationer.

Derfor er det kompliceret

En lang række af de nævnte netværksenheder er ikke oprindeligt designet til at håndtere applikationstilslutning som et selvstændigt forretningsbehov. Det betyder, at processen med at udtrække de nødvendige oplysninger for at kunne administrere applikationstilslut-ningen er yderst vanskelig. Dertil kommer, at data relateret til applikationstilslutningen skal analyseres på tværs af forskellige netværks-enheder og regler inden for disse enheder, samt at de konstant forandres.

En anden væsentlig faktor består i, at it-afdelingen er afhængig af at kommunikere med de applikationsansvarlige for at få oplysnin-ger om ip-adresser, portnumre, database, LDAP, autentificering og andre servere, der er nødvendige for at sikre, at applikationen kører problemfrit. Ligeledes skal it-afdelingen sørge for, at de applikationsansvarlige er bevidste om og redegør for, hvordan relevante æn-dringer påvirker andre aspekter af administrationen af applikationer.

Manglende samarbejde

Traditionelt set har de applikationsansvarlige og netværkssikkerhedsansvarlige ikke haft megen interaktion. Men de to grupper har begge behov for at få adgang til og administrere data relateret til applikationstilslutning.

Til trods for dette har de to grupper forskellige dagsordner, de taler forskellige sprog og måles på forskellige kriterier: De netværkssik-kerhedsansvarlige er optaget af og bliver målt på sikkerhed, compliance og risici, hvorimod de applikationsansvarlige er optaget af og bliver målt på levering af serviceydelser, applikationsoppetid og forretningskontinuitet.

Med andre ord kræver disse udfordringer, at de applikationsansvarlige og netværkssikkerhedsansvarlige har et behov for at indgå i nye forretningsprocesser og kommunikationsmåder, så de sammen kan sikre implementeringen af stadigt mere komplekse sikkerhedskrav, uden at gå på kompromis med virksomhedens forretningsmål.

Sådan styres applikationssikkerheden

Når vi står over for ovennævnte udfordring, som potentielt kan koste virksomheden et forretningskritisk sikkerhedsbrud forårsaget af manglende applikationssikkerhed, fordi ansvaret for applikationssikkerheden er havnet mellem to stole, er det vigtigt at huske på, at teknologi er et slagkraftigt værktøj til at nedbryde organisatoriske og fagspecifikke siloer. Det er her, teknologien helt bogstaveligt kan bruges til at slå bro mellem de to stole.

Ligesom automatisering i stigende grad har været løsningen på mange andre sikkerhedsudfordringer gennem de senere år, mener vi også i Tufin, at danske virksomheder kan få styr på deres applikationssikkerhed ved hjælp af automatiserede sikkerhedsløsninger.

Den gode nyhed er, at der findes automatiserede sikkerhedsløsninger på markedet, som sikrer, at de applikationsansvarlige og net-værkssikkerhedsansvarlige via et fælles applikationshåndteringssystem vil komme til at tale samme sprog.

Et automatiseret applikationssystem sikrer ligeledes hurtig ekspedition af regelændringer relateret til tildeling af applikationsadgang og dermed maksimal applikationsoppetid. Sidst, men ikke mindst overholdes alle sikkerhedsmæssige trin i processen automatisk, hvor-for den fortsatte forretningskontinuitet – som er så vigtig for virksomheden – ligeledes sikres.

[themepacific_accordion]
[themepacific_accordion_section title="Fakta"]

Om undersøgelsen

[/themepacific_accordion_section]
[themepacific_accordion_section title="Fakta"]

Jan Bau

[/themepacific_accordion_section]
[/themepacific_accordion]