Názor k článku
Google varuje, že 70 % zneužitých chyb odhalených v roce 2023 byly zero-days od Uncaught ReferenceError: - aneb až pířlišná důvěra ke skenovacím nástrojům. Vidím...

aneb až pířlišná důvěra ke skenovacím nástrojům. Vidím ve své bublině klientů trend, kdy v daleko menší míře se dělá audit kódu, review a penetrační testy, protože se daleko ve větší míře nasazují nástroje jako Azure Security Control, Qualys a další.

Čím dál častěji vidím full service vývojářeské týmy, kdy jejich produkty jdou přímo ven (díky kontejnerům, kubernetu) aniž by je někde ověřil, aniž by měli před sebou patřičnou bránu, která bude provoz čistit a zajišťovat SSO pro všechny entpointy.

Stejně tak se nám čím dál více otevírá interní infrastruktura, dnes všemu vládne REST, tj. jediný port 443 je hlavní komunikační dálnice i pro databáze a efektivně se obchází FW. Různé dynamické reverzní proxy, které by měly provoz povolovat pouze pro schválené kombinace zdroj-cíl se občas objevují, ale jejich konfigurace je tak extrémně složitá a komplexní a jejich výkon tak žalostný, že se interně používají málokde.

Přitom dobrá infrastruktura by měla počítat s tím, že samotná aplikace je zranitelná a nedovolit jí to zneužít. Snaha být agilnější, ale vede k tomu, že se infrastruktura splošťuje a chybí bezpečnostní bariéry.

To se nebavím o žádných garážovkách, ale v podstatě o celém našem bankovním sektoru, o novodobých e-commerce velikánech nebo dokonce i o Azure, kdy se opět nepoučili a čerstvě udělali botu s PowerBI a evalují klientská data službou, která běží pod rootem...