IG2 IG3

Gunakan Modul atau Layanan Keamanan Terverifikasi

Kelompok Kontrol: 16. Keamanan Perangkat Lunak Aplikasi

Jenis Aset: Aplikasi

Fungsi Keamanan: Lindungi

Deskripsi

Gunakan modul atau layanan keamanan terverifikasi. Contoh implementasi termasuk menggunakan modul enkripsi terverifikasi yang lebih besar daripada membangun algoritma kriptografi khusus.

Daftar Periksa Implementasi

1

Tinjau persyaratan pengamanan terhadap kondisi saat ini

2

Kembangkan rencana implementasi dengan jadwal dan tonggak pencapaian

3

Implementasikan kontrol dan prosedur yang diperlukan

4

Verifikasi implementasi melalui pengujian dan audit

5

Dokumentasikan implementasi dan perbarui prosedur operasional

Rekomendasi Alat

Snyk Gartner MQ Visionary, Application Security Testing 2024; Forrester Wave Leader, SCA 2023

Keamanan aplikasi yang mengutamakan pengembang dengan SCA, pemindaian kontainer, keamanan IaC, dan SAST terintegrasi ke dalam CI/CD

Snyk · Langganan per pengembang

Synopsys Software Integrity Gartner MQ Leader, Application Security Testing 2024

Rangkaian pengujian keamanan aplikasi dengan SAST (Coverity), SCA (Black Duck), dan DAST untuk AppSec yang komprehensif

Synopsys · Langganan per pengembang

Checkmarx One Gartner MQ Leader, Application Security Testing 2024

Platform keamanan aplikasi cloud-native dengan SAST, SCA, DAST, keamanan API, dan pengujian keamanan rantai pasokan

Checkmarx · Langganan per pengembang

Ancaman & Kerentanan (CIS RAM)

Skenario Ancaman

Implementasi Kriptografi Kustom yang Rusak

Confidentiality

Developer mengimplementasikan algoritma enkripsi kustom alih-alih menggunakan library kriptografi yang sudah diverifikasi, dan implementasinya mengandung kelemahan fundamental yang memungkinkan penyerang mendekripsi data sensitif.

Bypass Autentikasi dalam Modul Manajemen Identitas Kustom

Confidentiality

Sistem autentikasi buatan sendiri mengandung kelemahan logika yang memungkinkan penyerang melewati login karena developer membuatnya dari awal alih-alih memanfaatkan framework manajemen identitas yang sudah diverifikasi.

Manipulasi Log Audit Akibat Implementasi Logging Kustom

Integrity

Penyerang memodifikasi log audit buatan kustom untuk menutupi jejak mereka karena aplikasi menggunakan sistem logging buatan sendiri tanpa perlindungan integritas alih-alih framework logging yang sudah diverifikasi dan tahan manipulasi.

Kerentanan (Saat Pengamanan Tidak Ada)

Komponen Keamanan Buatan Kustom Alih-alih Modul yang Diverifikasi

Developer yang membangun implementasi kustom fungsi kritis keamanan seperti enkripsi, autentikasi, dan logging alih-alih menggunakan library yang sudah terbukti jauh lebih mungkin memperkenalkan kelemahan implementasi yang dapat dieksploitasi.

Kualitas Komponen Keamanan yang Tidak Konsisten di Seluruh Aplikasi

Tanpa standarisasi pada modul yang diverifikasi untuk fungsi keamanan, setiap aplikasi mengimplementasikan kemampuan ini secara berbeda, menciptakan kualitas yang tidak konsisten dan properti keamanan yang tidak dapat diprediksi.