Beveiligingstests en ondersteuning

Blackboard voert doorlopend interne beveiligingstests uit op codeniveau (statische analyse) en toepassingsniveau (dynamische analyse) om er zeker van te zijn dat alles voldoet aan de verwachtingen van zowel Blackboard als onze klanten. Om tunnelvisie te voorkomen, laten we regelmatig penetratietests uitvoeren door externe bedrijven die hierin zijn gespecialiseerd. Eventuele verbeterpunten worden direct geregistreerd voor aanpassing.

Blackboard maakt gebruik van open source en commerciële statische analysescanners om de broncode van Blackboard continu te beoordelen. Met deze tools kan Blackboard mogelijke problemen in de broncode identificeren als het systeem zich ontwikkelt door integratie met Build-omgevingen. Blackboard koppelt geautomatiseerde analyse van broncode voor beveiligingsproblemen met handmatige herzieningen van code.

Blackboard maakt gebruik van open source en commerciële dynamische analysescanners om de Blackboard-app continu te beoordelen. De test voor geautomatiseerde beveiligingsscanners voor veelvoorkomende problemen van webtoepassingen vanuit het perspectief van een eindgebruiker.

De functies voor statische en dynamische toepassingsbeveiliging kunnen geen beveiligingsproblemen detecteren. Om het beveiligingsrisico verder te beperken, voert Blackboard handmatige penetratietests uit om meer complexe beveiligingsproblemen en problemen met bedrijfslogica zoals onjuiste autorisatie te identificeren.

Blackboard zet zich in voor de tijdige identificatie, communicatie en oplossing van beveiligingsproblemen die in onze producten zijn geïdentificeerd. Blackboard publiceert beveiligingspatches en -adviezen via Anthology Global Support.

Beveiligingsadviezen worden vrijgegeven met de volgende informatie:

Adviezen worden gevolgd door een kwetsbaarheidsoverzicht waarin de aard van het beveiligingslek wordt beschreven, een overzicht van functionele problemen waarin wordt beschreven hoe het systeem kan worden beïnvloed, een lijst met getroffen productversie(s), een beschrijving van de ontdekking en een beschrijving van de oplossing met een link naar toepasselijke patches. Blackboard spoort onze klanten ook op en informeert hen over bekende uitbuiting of kwaadwillig gebruik van beveiligingslekken. In de sectie Oplossingen en tijdelijke oplossingen worden beschreven welke oplossingen klanten kunnen nemen of dat er een tijdelijke oplossing beschikbaar is. Als er meerdere herzieningen van een advies zijn, wordt een korte samenvatting van de update gegeven.

Het invoervalidatiefilter fungeert als een eerste verdedigingslinie en omvat configureerbare regels voor het beschermen van Blackboard Learn. Het is in zekere zin een soort firewall voor Blackboard. Het controleert of binnenkomende gebruikersaanvragen veilig zijn door de gegevens langs een standaardset met regels te laten lopen.

Het weergeven van door de gebruiker geüploade bestanden vanuit een alternatief domein is een diepgaande beveiligingscontrole. Door een stuk inhoud te uploaden dat mogelijk schadelijke scripts bevat, kan een gebruiker mogelijk een sessiekaping uitvoeren op de hoofdsessie van Blackboard zodra een doelgebruiker toegang heeft tot de betreffende inhoud.

Als een beschermingsmethode tegen dit type activiteit, hebben gebruikers nu toegang tot door gebruikers geüploade bestanden en kunnen ze aangepaste HTML toevoegen via een ander domein. Deze beveiligingscontrole maakt gebruik van de beveiligingsfuncties van de browser: het 'same-origin-beleid'. Als gevolg hiervan worden schadelijke scripts in door gebruikers geüploade bestanden die in één domein of subdomein worden weergegeven, gescheiden van de cookies, en dus de sessie-informatie, van de primaire Blackboard-sessie.

Deze beveiligingscontrole is een extra laag in het beveiligingskader van Blackboard om gebruikers verder te beschermen tegen potentieel schadelijke bestanden die door de gebruiker zijn geüpload.

Blackboard raadt beheerders aan dit beveiligingsbeheer te configureren voor al hun Blackboard-implementaties. Dit is een aanbevolen procedure wat betreft beveiliging van Blackboard.

Een afzonderlijk domein of subdomein biedt een veiligere manier om door een gebruiker geüploade bestanden te openen vanaf een Blackboard Learn-server. Dit afzonderlijke domein voorkomt dat door de gebruiker geüploade inhoud met schadelijke scripts wordt gebruikt om de Blackboard Learn-sessie van de gebruiker en diens gegevens in gevaar te brengen. Als er een afzonderlijk domein of subdomein is geconfigureerd, wordt alle inhoud van het oorspronkelijke domein overgezet naar het afzonderlijke domein. Er wordt dus inhoud naar het afzonderlijke domein doorgestuurd. De gebruiker merkt hier niets van.

In het geval dat een door de gebruiker geüpload bestand schadelijke scripts bevat om sessie-hijacks uit te voeren, voorkomt het beveiligingselement van de browser, het 'same-origin-beleid’, dat de bestandsweergave-sessie van de gebruiker toegang heeft tot de primaire sessie van de gebruiker. De primaire sessie van de gebruiker wordt gebruikt voor activiteiten zoals het maken van beoordelingen, het bekijken van cijfers, etc. De aanval wordt dan gecompartimenteerd en de impact wordt beperkt. Hoewel aanvallers mogelijk toegang krijgen tot inhoud waar zij normaal gesproken niet bij kunnen, krijgen ze geen toegang tot de primaire sessie van het slachtoffer of tot de hele site.