ל-Blackboard יש תוכנית אבטחה חזקה שאינה משמשת רק למניעת בעיות אבטחה, אלא גם עוקרת אותן מן השורש. Blackboard מבצעת בדיקות אבטחה פנימיות מתמשכות ברמת הקוד (ניתוח סטטי) וברמת האפליקציה (ניתוח דינמי) כדי לוודא שהם עומדים בציפיות של Blackboard ושם הלקוח שלנו. יתר על כן, כדי לקבל באופן קבוע מבט רענן על האפליקציות שלנו, Blackboard מקבלת בדיקת חדירת אבטחה מספקי אבטחה של צד שלישי. כל הבעיות המזוהות מתוקנות במהירות.

חשוב להבין שתוכנית האבטחה של Blackboard היא נוהל עבודה שגדל ומתפתח באופן קבוע. אנו פועלים תוך ביצוע שיפור מתמשך כדי להציב אמות מידה גבוהות יותר עבור תכונות אבטחה וחוסן במוצרי Blackboard.


נבנה תוך מחשבה על אבטחה

Blackboard מחויבת לספק ללקוחות שלנו אפליקציות מאובטחות. Blackboard מפתחת את המוצרים שלנו בהתאם לסדרה של קווים מנחים בתחום של הנדסת אבטחה שנלקחים מארגונים רבים כגון Open Web Application Security Project‏ (OWASP), כולל אמצעי נגד ספציפיים עבור 10 נקודות תורפה מובילות של OWASP. Blackboard משלבת שיטות אבטחה אלה בכל שלבי מחזור החיים של פיתוח התוכנה (SDLC).

Blackboard משתמשת במספר שיטות כדי להגן על האפליקציות שלנו, כולל הערכות אבטחה מסוג 'מעלה-מטה' דרך מידול איומים וניתוח וכן זיהוי איומים ברמת הקוד מסוג 'מטה-מעלה' באמצעות ניתוח סטטי, ניתוח דינמי ובדיקת חדירה ידנית.

Blackboard מצייתת להנחיות לשיטות עבודה מומלצות מארגונים רבים כדי לסייע בחיזוק האבטחה של המוצרים והתוכניות שלנו. מספר ארגונים מצוינים כאן:

  • National Institute of Standards and Technology‏ (NIST)
  • European Network and Information Security Agency‏ (ENISA)
  • SANS Institute
  • Open Web Application Security Project‏ (OWASP)
  • Cloud Security Alliance‏ (CSA)

מידול איומים

כאשר תכונות חדשות מתפתחות, צוות האבטחה מעריך את הדרישות ואת עיצוב המערכת כדי לסייע בצמצום סיכונים על-ידי ביצוע מידול איומים. 'מידול איומים' הוא תהליך מובנה שבו איומי אבטחה הרלוונטיים לתכונה שנסקרת מזוהים כך ניתן לקבוע וליישם אמצעי נגד מתאימים של אבטחה.


קידוד מאובטח ו-10 נקודות התורפה המובילות של OWASP

המוצרים של Blackboard מפותחים בהתאם לסדרה של הנחיות פיתוח שנגזרות מ-OWASP, כולל אמצעי נגד ספציפיים עבור 10 נקודות התורפה המובילות של OWASP עבור 2013.

A1: הזרקה (הזרקת SQL/DOM/LDAP)תקן הקידוד שלנו קובע שימוש במשתני איגוד ומניעת תעתוק אותיות להצהרות SQL. פונקציונליות LDAP מוגבלת לאימות.
A2: אימות מנותק וניהול הפעלותהמוצרים של Blackboard פועלים רק תחת TLS, כך שכל קובצי ה-Cookie מוצפנים.
A3: Scripting בין אתרים (XSS)Scripting בין אתרים מצומצם באמצעות השימוש בספריות משותפות כגון ESAPI ותקני פיתוח. כל קלט הטקסט שנשלח על-ידי משתמש הקצה צפוי לעבור דרך שיטות חיטוי; כל סוג אחר של קלט (תאריכים, ערכי בחירה/אפשרות) צפויים להיווצר מאובייקטים מסוג תחום, ולא לבצע תעתוק ישירות מקלט משתמש.
A4: הפניות לאובייקט ישיר לא מאובטחותכל אובייקטי האפליקציה מופנים דרך "מזהים" שממפים בדרך כלל למפתח הראשי. עם זאת, כל האובייקטים ממפים ל"הקשר" וכל בדיקות האבטחה מתבצעות כנגדו. לדוגמה, בקשה עשויה להפנות ל"מזהה הודעה" שהוא פרסום בלוח דיונים עבור קורס. התקן של Blackboard קובע ביצוע של בדיקת האישור עבור ההרשאה המשויכת לתפקיד משתמש.
במקרים שבהם תקן זה אינו נאכף כהלכה, התיקון הוא פשוט, משום שכל ישויות הנתונים המוגנות במערכת ממפות להקשר אבטחה (קורס או תחום).
A5: קביעת תצורה שגויה של אבטחהBlackboard מצייתת למדיניות אבטחה כברירת מחדל עם הערות מוצר ותיעוד הממונפים כאשר דרוש שיקול דעת מיוחד של מנהל מערכת. Blackboard מעודדת לקוחות לציית למדריך שיטות העבודה המומלצות של התצורה המאובטחת שלה כאשר הוא זמין ורלוונטי למוצר Blackboard הספציפי שלך.

ביקורת אבטחה
אירועי אבטחה נרשמים ביומני רישום ספציפיים לאבטחה.

דליפת מידע וטיפול בשגיאות
טיפול בשגיאת תקן חל על כל הדפים (דרך תבנית דף סטנדרטית וספריית תגים), והתוצאה היא פלט סטנדרטי עבור כל השגיאות, בפרט שגיאות לא מזוהות. פלט התקן עשוי לכלול מעקב ערימה (דליפת מידע שולית), אבל לא את הנתונים שעובדו כאשר הבקשה נכשלה וגלוי רק לאלה עם גישה ברמת מנהל מערכת. משתמשים ללא הרשאות (כגון תלמידים) לא יכולים לראות מעקבי ערימה מפורטים.

A6: חשיפת נתונים רגישיםהתקן של Blackboard הוא חיתוך ואחסון של סיסמאות משתמשים עם SHA-160.

מוצרי Blackboard תומכים בהפעלה תחת TLS; עם זאת, באחריות הפורס לקבוע כהלכה את תצורת TLS כאשר המוצר מתארח באופן עצמי.

A7: בקרת רמת גישה של פונקציה חסרהזה מנוהל בשתי רמות -- דרישה שלוגיקה עסקית תאכוף בדיקות אישור, והבטחה שמקרי בדיקת הבטחת האיכות יכסו דרישות אישור עבור מסכים שונים.
A8: זיוף בקשות בין אתרים (CSRF)מסגרת האבטחה שלנו מצייתת להמלצות OWASP עבור ערכי הווה לפי בקשה וסמנטיקה של POST בלבד. בקשות AJAX משתמשות בערכי הווה לפי הפעלה.
A9: שימוש ברכיבים עם נקודות תורפה מוכרותזה מצומצם על-ידי ביצוע סריקות נקודות תורפה קבועות הן של התשתית שלנו והן של חבילות התוכנה של הצד השלישי כדי לזהות רכיבים עם נקודות תורפה מוכרות וכדי לפתח מפת דרכים לשדרוג רכיבים עם תיקונים זמינים.
A10: הפניות מחדש והעברות לא מאומתותתקן הקידוד המאובטח של Blackboard דורש מהפניות מחדש והעברות לאמת שהן כתובות מקומיות. נקודת תורפה זו נבדקת באופן קבוע.

קטגוריות נקודת תורפה קודמות בעשר נקודות התורפה המובילות של OWASP

הפעלת קובץ זדוניקבצים המועלים על-ידי משתמשי קצה שאינם מורשים לעולם אינם משמשים כקבצי הפעלה. עם זאת, משתמשים מורשים (כלומר, מנהלי מערכת) רשאים להעלות חבילות הפעלה הנקראות 'אבני בניין' שמרחיבות את פונקציונליות המערכת. ההנחה היא שמנהלי המערכת מבינים את הסיכונים ומצייתים לשיטות העבודה המבוססות לסקירת ספקים ולניהול שינויים בנוגע להתקנה של אבני בניין של צד שלישי.

כל הצהרה בנוגע לציפיות העתידיות, לתוכניות ולתחזיות לעתיד של Blackboard מהווה את ההשקפות הנוכחיות של החברה. התוצאות בפועל עשויות להשתנות באופן ניכר כתוצאה מגורמים חשובים שונים. החברה צופה שאירועים ופיתוחים עתידיים יגרמו להשקפות החברה להשתנות. עם זאת, בעוד שהחברה עשויה לבחור לעדכן הצהרות אלה בשלב מסוים בעתיד, החברה מוותרת באופן ספציפי על כל התחייבות לעשות כן.


מדיניות מחויבות לניהול נקודות תורפה וחשיפה

תוכנית ניהול נקודות התורפה של Blackboard מפוקחת על-ידי מדיניות המחויבות לניהול נקודות תורפה והחשיפה הציבורית להלן. אין ספק תוכנה מושלם - במקרה שמזוהה נקודת תורפה של אבטחה במוצר שהתפרסם, צוות האבטחה של Blackboard מוכן לתגובה.

לסיוע בהתחברות, עליך ליצור קשר עם צוות ה-IT הטכני של המוסד שלך. ל-Blackboard אין גישה לפרטי החשבון, אתרי האינטרנט או התוכן של המוסד שלך. אם אינך יודע כיצד ליצור קשר עם צוות התמיכה הטכנית, נסה לחפש באינטרנט את שם המוסד שלך ביחד עם תמיכה טכנית, או בדוק את דף ההתחברות כדי לחפש קישור לתמיכה או פרטי קשר.

Blackboard מחויבת לפתרון נקודות תורפה של אבטחה במהירות ובזהירות. פתרונות כאלה עשויים להוביל לפרסום עדכון של 'יועץ אבטחה' ו/או כל עדכון מוצר דרוש עבור הלקוחות שלנו. כדי להגן על הלקוחות שלנו ועל הנתונים שלהם, אנו מבקשים שנקודות תורפה אלה ידווחו לנו באופן אחראי וסודי כדי שנוכל לחקור ולהגיב.

המוצרים של Blackboard מורכבים. הם פועלים בתצורות חומרה ותוכנה מגוונות, ומחוברים לאפליקציות צד שלישי רבות. כל שינויי התוכנה - גדולים או קטנים - דורשים ניתוח מקיף וכן פיתוח ויישום בקווי מוצרים ובגרסאות רבים. התוכנה מוכרחה גם לעבור התאמה לשפות אחרות, נגידות ובדיקות המתאימות להיקף, למורכבות ולחומרה שלה. בהינתן החשיבות הקריטית של המוצרים שלנו ללקוחות שלנו, Blackboard מוכרחה לוודא שהם פועלים כשורה ולא רק במתקני הבדיקות שלנו, אלא גם בסביבות הלקוח. בהתאם, Blackboard לא יכולה לספק עדכוני מוצרים בהתאם לציר זמן מוגדר, אבל אנו מחויבים לעבודה זריזה.

גורמים זדוניים מנצלים לעתים קרובות נקודות תורפה של תוכנה על-ידי ביצוע הנדסה לאחור של יועצי אבטחה ועדכוני מוצר שהתפרסמו. יש חשיבות עבור הלקוחות שלנו לעדכן את התוכנה במהירות ולהשתמש במערכת דירוג החומרה שלנו כמדריך לתזמון טוב יותר של שדרוגים.

בדיקה לאיתור נקודות תורפה של אבטחה

עליך לבצע את כל בדיקות נקודות התורפה כנגד מופעים שאינם של ייצור של המוצרים שלנו על מנת למזער את הסיכון לנתונים ושירותים.


כיצד לדווח על נקודת תורפה

שתף באופן סודי פרטים על נקודת התורפה האפשרית על-ידי מילוי טופס הגשה של נקודת תורפה.

ספק פרטים על נקודת התורפה האפשרית כך שצוות האבטחה של Blackboard יוכל לאשר ולשחזר את הבעיה במהירות. ללא המידע לעיל, ייתכן שיהיה קשה אם לא בלתי אפשרי לטפל בנקודת התורפה האפשרית. דוחות המפרטים מספר נקודות תורפה אפשריות ללא פירוט לא יטופלו ללא הבהרה נוספת. הפרטים אמורים לכלול:

  • סוג נקודת תורפה;
  • אם המידע פורסם או שותף עם גורמים אחרים;
  • מוצרים וגרסאות מושפעים;
  • תצורות מושפעות; וכן
  • הוראות שלב-אחר-שלב או קוד הוכחת רעיון לשחזור הבעיה.

מחויבות לאבטחה של Blackboard

לכל המדווחים על נקודות תורפה אשר מצייתים למדיניות זו, Blackboard תנסה לבצע את הפעולות הבאות:

  • אישור קבלת הדוח שלך;
  • חקירה במועד המתאים, תוך אישור של מיקומה האפשרי של נקודת התורפה הפוטנציאלית;
  • מתן תוכנית ומסגרת זמן לטיפול בנקודת התורפה אם זה מתאים; וכן
  • הודעה למדווח על נקודת התורפה כאשר נקודת התורפה נפתרה.