Pruebas de seguridad y Soporte

Blackboard realiza pruebas continuas a la seguridad interna a nivel del código (análisis estático) y de la aplicación (análisis dinámico) para garantizar la satisfacción de las expectativas de Blackboard y de nuestros clientes. Además, para tener otro punto de vista de la aplicación, Blackboard utiliza regularmente los servicios de pruebas de penetración de la seguridad de proveedores externos. Se toma nota de cualquier problema identificado para proceder a su reparación.

Blackboard aprovecha los escáneres de análisis estático comerciales y de código abierto para evaluar el código fuente de Blackboard de forma continua. Estas herramientas permiten que Blackboard identifique posibles puntos vulnerables en el código fuente a medida que el sistema evoluciona a través de la integración con entornos de compilación. Blackboard complementa el análisis automatizado del código fuente para identificar puntos vulnerables en la seguridad con las revisiones manuales del código.

Blackboard aprovecha los escáneres de análisis dinámico comerciales y de código abierto para evaluar la aplicación Blackboard de forma continua. Los escáneres de seguridad automatizados buscan puntos vulnerables comunes en las aplicaciones web desde el punto de vista de un usuario final.

Las herramientas de seguridad de aplicaciones estáticas y dinámicas no pueden detectar todos los problemas en materia de seguridad. Para mitigar aún más los riesgos de seguridad, Blackboard realiza pruebas de penetración manuales a fin de identificar los puntos vulnerables más complejos en la seguridad y los problemas de lógica comercial, como la falta de autorización adecuada.

Blackboard se compromete a la identificación, comunicación y resolución oportunas de las vulnerabilidades de seguridad identificadas en nuestros productos. Blackboard publica parches y avisos de seguridad a través de Soporte Global de Anthology.

Los avisos de seguridad se publican con la siguiente información:

Los avisos van seguidos de una descripción general de la vulnerabilidad que detalla la naturaleza de la vulnerabilidad de seguridad, una descripción general del problema funcional que describe cómo puede verse afectado el sistema, una lista de las versiones del producto afectadas, una descripción del descubrimiento y una descripción de la solución con un enlace a los parches aplicables. Blackboard también rastrea y asesora a nuestros clientes sobre cualquier explotación conocida o uso malicioso de vulnerabilidades de seguridad. En la sección mitigaciones y soluciones alternativas se describen las mitigaciones que los clientes pueden realizar o si hay una solución alternativa disponible. Si hay varias revisiones de un aviso, se proporciona un breve resumen de la actualización.

El filtro de validación de entrada actúa como una primera línea de defensa con reglas que se pueden configurar para proteger Blackboard Learn. Es, en cierto sentido, como un cortafuegos para Blackboard. Se encarga de depurar los datos a través de un conjunto de reglas predeterminadas para verificar que las solicitudes de los usuarios que ingresan sean seguras.

Procesar los archivos que carga el usuario desde un dominio alternativo es un control de seguridad de defensa en profundidad. Al cargar un fragmento de contenido que contiene scripts potencialmente maliciosos, un usuario podría realizar un secuestro de sesión en la sesión principal de Blackboard una vez que un usuario objetivo acceda al contenido afectado.

Como método de protección contra este tipo de actividad, ahora los usuarios pueden acceder a los archivos que cargan los usuarios y agregar HTML personalizado a través de un dominio alternativo. Este control de seguridad aprovecha las funciones de seguridad de los navegadores, específicamente la "política del mismo origen". Como resultado, los scripts maliciosos dentro de los archivos cargados por el usuario que se procesan en un dominio o subdominio se segregan de las cookies y, por lo tanto, de la información de sesión de la sesión principal de Blackboard.

Este control de seguridad es otra capa de defensa en el marco de seguridad de Blackboard para proteger aún más a los usuarios de los archivos potencialmente maliciosos cargados por usuarios.

Blackboard recomienda que los administradores configuren este control de seguridad en todas sus implementaciones de Blackboard. Esta es una de las prácticas recomendadas de seguridad de Blackboard.

Un dominio o subdominio independiente proporciona una forma más segura de acceder a los archivos que cargan los usuarios desde un servidor de Blackboard Learn. Además, sirve para evitar que se utilice contenido con secuencias de comandos maliciosas que pondría en peligro la sesión de Blackboard Learn de un usuario y, por tanto, sus datos. Si se configura un dominio o subdominio independiente, se transfiere todo el contenido desde el dominio original al dominio independiente, con lo cual se reenvía el contenido a este dominio. Para el usuario, esto no representa ningún contratiempo.

En el caso de que un archivo cargado por un usuario contenga secuencias de comandos maliciosas para la manipulación de la sesión, los controles de seguridad del navegador, es decir, la "política del mismo origen", impiden que la sesión de procesamiento de archivos del usuario acceda a la sesión principal. La sesión principal del usuario se utiliza para actividades como las evaluaciones, la visualización de calificaciones, etc. De esta manera, se fragmenta el ataque y su impacto es limitado. Si bien es posible que los atacantes accedan a elementos de contenido a los que normalmente no tienen acceso, no podrán acceder a la sesión principal de la víctima ni a todo el sitio.