Dengan pesat berkembangnya teknologi yang semakin mengarah ke komputasi awan secara menyeluruh, kita juga perlu menyadari bahwa tipe-tipe ancaman juga semakin berkembang. Proses mitigasi dari semua ancaman ini sendiri dapat menjadi sangat rumit dan memakan waktu, menguras banyak resource TI yang nantinya berakibat pada terhambatnya produktivitas dalam kegiatan operasional yang seharusnya membantu kegiatan utama perusahaan.
Kita bisa lihat sekarang bahwa dengan tersedianya berbagai layanan HTML5/Wordpress yang ada, sangat memudahkan untuk pembangunan sebuah aplikasi web yang interaktif dan visualnya terlihat modern. Kita bahkan tidak perlu memiliki server sendiri untuk hosting, dimana sudah tersedia juga untuk disewa dari berbagai provider. Lebih canggihnya adalah produk/instance yang disediakan berbagai provider Cloud, dimana contohnya kita bisa memilih tipe engine database atau tipe penyimpanan apa yang paling optimal untuk kebutuhan terkini dengan opsi untuk pengembangan sedikit/besar secara hampir instan.
Segala transaksi dan pemilihan modul dapat dilakukan secara online, dan antarmuka model drag-and-drop dari konten sudah lumrah. Walaupun dengan kemudahan-kemudahan yang tersedia ini, kita perlu mewaspadai resiko-resiko yang bisa terjadi. Apakah sudah terlindung dengan benar? Perlu disadari bahwa jika kita menggunakan aplikasi SaaS pihak lain yang keseluruhan lingkup struktur backend. Apalagi jika operator kita tidak memiliki ilmu mumpuni perihal keamanan siber dan kita secara penuh bergantung pada keahlian penyedia jasa, hal ini meningkatkan resiko kelalaian yang dapat menyebabkan bobolnya data dan lebih parahnya, informasi customer.
Laporan tahunan OWAPS mengindikasikan ancaman-ancaman yang perlu kita pertimbangkan mitigasinya khususnya ketika melakukan pengembangan dari suatu aplikasi web, terutama untuk perusahaan yang memungkinkan komunikasi interaktif/semi-interaktif dengan pelanggan. Telah kita lihat sendiri dengan data kita yang harus diserahkan pada aplikasi wajib baru-baru ini, kebocoran data e-KTP sangat mengganggu ketenangan kita, para user aplikasi.
Salah satu ancaman yang perlu diperhatikan dari tipe INJECTION adalah SQL Injection. Contoh dari kejadian SQL Injection adalah pada aplikasi web yang memerlukan login menggunakan UserID-Password. Sebagai ganti dari memasukkan kombinasi yang valid, peretas akan memasukkan command SQL yang akan “memaksa” aplikasi untuk memeriksa database terhadap entry dan pada waktu yang sama, melakukan “pengintipan” dan menjiplak database tersebut. Informasi yang didapatkan kemudian digunakan untuk bahan pemerasan, didagangkan, atau peretasan yang dapat menyebabkan perubahan konten web yang tidak semestinya.
FortiWeb secara spesifik memitigasi resiko ini, beserta ancaman-ancaman lainnya yang terkait aplikasi web. Ketika firewall pada umumnya akan memproteksi jaringan internal kita, fitur-fitur dari FortiWeb akan memproteksi server yang memuat aplikasi web, termasuk jika ada di jaringan awan. FortiWeb menyediakan WAF tingkat lanjut, Bot Mitigation, dan proteksi OpenAPI. Secara topologi, FortiWeb dapat ditempatkan dimana saja selama secara routing dapat terkoneksi dengan web server dan client (public).
Sedikit lebih jauh soal kelebihan yang membuat statusnya menjadi WAF tingkat lanjut adalah adanya machine learning terkait legitimate request, yang akan meringankan beban personel IT untuk secara manual melakukan penyesuaian / patching setiap kali legitimate request baru memasuki sistem. FortiWeb juga memiliki proteksi File Upload yang memidai data yang kita kirimkan ke public agar bebas dari malware terselubung.
Namun, karena banyaknya variasi implementasi aplikasi web tentunya tidak ada satu solusi yang bisa sepenuhnya sapu jagat dengan harga yang optimal. Hubungi kami ACS Group untuk peninjauan lebih lanjut untuk memaksimalkan pengamanan aplikasi dan data anda.
