ወደ ኋላ ተመለስ
ለመተግበሪያዎች የሳይበር ስጋቶች መጠን፣ ቅንብር እና ስብጥር በፍጥነት እየተሻሻለ ነው። ለብዙ አመታት ተጠቃሚዎች ታዋቂ የድር አሳሾችን በመጠቀም በይነመረብ ላይ የድር መተግበሪያዎችን ገብተዋል። በማንኛውም ጊዜ ከ2-5 የድር አሳሾችን መደገፍ አስፈላጊ ነበር፣ እና የድር መተግበሪያዎችን ለማዘጋጀት እና ለመሞከር የደረጃዎች ስብስብ በጣም ውስን ነበር። ለምሳሌ፣ ሁሉም ማለት ይቻላል ዳታቤዝ የተገነባው SQLን በመጠቀም ነው። እንደ አለመታደል ሆኖ፣ ከጥቂት ጊዜ በኋላ ሰርጎ ገቦች መረጃን ለመስረቅ፣ ለመሰረዝ ወይም ለመለወጥ የድር መተግበሪያዎችን መጠቀም ተምረዋል። የመተግበሪያ ተጠቃሚዎችን ማታለል፣ መርፌ እና የርቀት ኮድ ማስፈጸሚያን ጨምሮ የተለያዩ ቴክኒኮችን በመጠቀም ህገወጥ የመተግበሪያ ችሎታዎችን አላግባብ መጠቀም ችለዋል። ብዙም ሳይቆይ የዌብ አፕሊኬሽን ፋየርዎል (WAFs) የሚባሉ የንግድ ዌብ አፕሊኬሽን ሴኪዩሪቲ መሳሪያዎች ወደ ገበያ ገቡ እና ማህበረሰቡ የልማት ደረጃዎችን እና ዘዴዎችን ለመወሰን እና ለመጠበቅ ክፍት የድር መተግበሪያ ደህንነት ፕሮጀክት፣ Open Web Application Security Project (OWASP) በመፍጠር ምላሽ ሰጠ። ደህንነቱ የተጠበቀ መተግበሪያዎች።
መሰረታዊ የመተግበሪያ ጥበቃ
አፕሊኬሽኖችን ለመጠበቅ መነሻው ነጥብ ሲሆን ወደ ትግበራ ተጋላጭነት ሊመሩ የሚችሉ በጣም አደገኛ ስጋቶችን እና የተሳሳቱ ውቅሮችን እንዲሁም ጥቃቶችን የመለየት እና የማሸነፍ ዘዴዎችን ይዟል። OWASP ከፍተኛ 10 በአለም አቀፍ የመተግበሪያ የሳይበር ደህንነት ኢንዱስትሪ ውስጥ እውቅና ያለው መለኪያ ሲሆን የድር መተግበሪያ ደህንነት (WAF) ስርዓት ሊኖረው የሚገባውን የችሎታዎች ዝርዝር ይገልጻል።
በተጨማሪም፣ የWAF ተግባር በድር መተግበሪያዎች ላይ ያሉ ሌሎች የተለመዱ ጥቃቶችን ከግምት ውስጥ ማስገባት አለበት፣የድረ-ገጽ ጥያቄ ፎርጀሪ (CSRF)፣ ጠቅ ማድረጊያ፣ የድር መፋቅ እና የፋይል ማካተት (RFI/LFI)ን ጨምሮ።
የዘመናዊ መተግበሪያዎችን ደህንነት ለማረጋገጥ ማስፈራሪያዎች እና ፈተናዎች
ዛሬ ሁሉም መተግበሪያዎች በኔትወርክ ስሪት ውስጥ አይተገበሩም. የደመና መተግበሪያዎች፣ የሞባይል አፕሊኬሽኖች፣ ኤ.ፒ.አይ.ዎች እና በአዲሶቹ አርክቴክቸር ውስጥ ብጁ የሶፍትዌር ተግባራትም አሉ። እነዚህ ሁሉ አፕሊኬሽኖች የእኛን ውሂብ ሲፈጥሩ፣ ሲቀይሩ እና ሲሰሩ ማመሳሰል እና ቁጥጥር ሊደረግባቸው ይገባል። አዳዲስ ቴክኖሎጂዎች እና ምሳሌዎች ሲመጡ በሁሉም የመተግበሪያው የሕይወት ዑደት ደረጃዎች ላይ አዳዲስ ውስብስብ ነገሮች እና ተግዳሮቶች ይነሳሉ. ይህ የእድገት እና ኦፕሬሽኖች ውህደት (ዴቭኦፕስ)፣ ኮንቴይነሮች፣ የነገሮች ኢንተርኔት (አይኦቲ)፣ የክፍት ምንጭ መሳሪያዎች፣ ኤፒአይዎች እና ሌሎችንም ያካትታል።
የተሰራጨው የመተግበሪያዎች ስርጭት እና የቴክኖሎጂ ልዩነት ውስብስብ እና ውስብስብ ፈተናዎችን ይፈጥራል ለመረጃ ደህንነት ባለሙያዎች ብቻ ሳይሆን ለደህንነት መፍትሄ አቅራቢዎችም በተዋሃደ አቀራረብ ላይ መተማመን አይችሉም። የመተግበሪያ ደህንነት እርምጃዎች የውሸት አወንታዊ ውጤቶችን እና የተጠቃሚዎችን የአገልግሎት ጥራት መበላሸትን ለመከላከል የንግድ ስራቸውን ዝርዝር ሁኔታ ግምት ውስጥ ማስገባት አለባቸው።
የጠላፊዎች የመጨረሻ ግብ አብዛኛውን ጊዜ መረጃን መስረቅ ወይም የአገልግሎቶችን አቅርቦት ማወክ ነው። አጥቂዎች ከቴክኖሎጂ ዝግመተ ለውጥም ይጠቀማሉ። በመጀመሪያ ደረጃ የአዳዲስ ቴክኖሎጂዎች እድገት የበለጠ እምቅ ክፍተቶችን እና ተጋላጭነቶችን ይፈጥራል. በሁለተኛ ደረጃ ባህላዊ የደህንነት እርምጃዎችን ለማለፍ በጦር መሣሪያዎቻቸው ውስጥ ተጨማሪ መሳሪያዎች እና እውቀት አላቸው. ይህ "የጥቃት ወለል" ተብሎ የሚጠራውን እና ድርጅቶችን ለአዳዲስ አደጋዎች ተጋላጭነትን በእጅጉ ይጨምራል። በቴክኖሎጂ እና በመተግበሪያዎች ላይ ለሚደረጉ ለውጦች ምላሽ የደህንነት ፖሊሲዎች በየጊዜው መቀየር አለባቸው።
ስለዚህ አፕሊኬሽኖች ከጊዜ ወደ ጊዜ እየጨመሩ ካሉ የተለያዩ የጥቃት ዘዴዎች እና ምንጮች መጠበቅ አለባቸው እና አውቶማቲክ ጥቃቶች በመረጃ ላይ በተመሰረቱ ውሳኔዎች ላይ በመመሥረት በእውነተኛ ጊዜ መከላከል አለባቸው። ውጤቱ ከተዳከመ የደህንነት አቀማመጥ ጋር ተዳምሮ የግብይት ወጪዎች እና የእጅ ሥራዎች መጨመር ነው።
ተግባር #1፡ ቦቶችን ማስተዳደር
ከ 60% በላይ የበይነመረብ ትራፊክ የሚመነጨው በቦቶች ነው ፣ ግማሹ “መጥፎ” ትራፊክ ነው (በዚህ መሠረት ). ድርጅቶች የአውታረ መረብ አቅምን ለመጨመር ኢንቨስት ያደርጋሉ፣ በመሠረቱ ምናባዊ ሸክም ያገለግላሉ። በእውነተኛ የተጠቃሚ ትራፊክ እና በቦት ትራፊክ እንዲሁም በ"ጥሩ" ቦቶች (ለምሳሌ የፍለጋ ፕሮግራሞች እና የዋጋ ንጽጽር አገልግሎቶች) እና "መጥፎ" ቦቶች በትክክል መለየት ለተጠቃሚዎች ከፍተኛ ወጪ ቆጣቢ እና የተሻሻለ የአገልግሎት ጥራትን ያስከትላል።
ቦቶች ይህን ተግባር ቀላል አያደርጉትም እና የእውነተኛ ተጠቃሚዎችን ባህሪ መኮረጅ፣ CAPTCHAዎችን እና ሌሎች መሰናክሎችን ማለፍ ይችላሉ። ከዚህም በላይ ተለዋዋጭ የአይፒ አድራሻዎችን በመጠቀም ጥቃቶችን በተመለከተ በአይፒ አድራሻ ማጣሪያ ላይ የተመሰረተ ጥበቃ ውጤታማ አይሆንም. ብዙውን ጊዜ፣ ከደንበኛ-ጎን ጃቫስክሪፕትን ማስተናገድ የሚችሉ የክፍት ምንጭ ማጎልበቻ መሳሪያዎች (ለምሳሌ፣ Phantom JS) የጭካኔ ጥቃቶችን፣ ማስረጃዎችን የማስገባት ጥቃቶችን፣ DDoS ጥቃቶችን እና አውቶሜትድ የቦት ጥቃቶችን ለማስጀመር ያገለግላሉ። .
የቦት ትራፊክን በብቃት ለመቆጣጠር ምንጩን (እንደ የጣት አሻራ ያለ) ልዩ መለያ ያስፈልጋል። የቦት ጥቃት ብዙ መዝገቦችን ስለሚያመነጭ የጣት አሻራው አጠራጣሪ እንቅስቃሴን ለመለየት እና ነጥቦችን እንዲመድብ ያስችለዋል፣በዚህም መሰረት የመተግበሪያ ጥበቃ ስርዓቱ በመረጃ ላይ የተመሰረተ ውሳኔ - አግድ/መፍቀድ - በትንሹ የውሸት አወንታዊ መጠን።
ፈተና #2፡ ኤፒአይን መጠበቅ
ብዙ አፕሊኬሽኖች በኤፒአይዎች በኩል ከሚገናኙባቸው አገልግሎቶች መረጃ እና ውሂብ ይሰበስባሉ። ሚስጥራዊነት ያለው መረጃ በኤፒአይዎች ሲያስተላልፉ ከ50% በላይ የሚሆኑ ድርጅቶች የሳይበር ጥቃቶችን ለመለየት ኤፒአይዎችን አያረጋግጡም ወይም ደህንነታቸው የተጠበቀ አይደሉም።
ኤፒአይን የመጠቀም ምሳሌዎች፡-
- የነገሮች በይነመረብ (አይኦቲ) ውህደት
- ከማሽን ወደ ማሽን ግንኙነት
- አገልጋይ አልባ አካባቢዎች
- የሞባይል መተግበሪያዎች
- በክስተት የሚመሩ መተግበሪያዎች
የኤፒአይ ተጋላጭነቶች ከትግበራ ተጋላጭነቶች ጋር ተመሳሳይ ናቸው እና መርፌዎች፣ የፕሮቶኮል ጥቃቶች፣ የፓራሜትር ማጭበርበር፣ ማዘዋወር እና የቦት ጥቃቶችን ያካትታሉ። የወሰኑ የኤፒአይ መግቢያ መንገዶች በኤፒአይዎች መስተጋብር በሚፈጥሩ የመተግበሪያ አገልግሎቶች መካከል ያለውን ተኳሃኝነት ለማረጋገጥ ያግዛሉ። ነገር ግን፣ እንደ ኤችቲቲፒ አርእስት መተንተን፣ Layer 7 access control list (ACL)፣ JSON/XML payload መተንተን እና ፍተሻ፣ እና ከሁሉም ተጋላጭነቶች ከመሳሰሉት አስፈላጊ የደህንነት መሳሪያዎች ጋር እንደ WAF ከጫፍ እስከ ጫፍ የመተግበሪያ ደህንነትን አይሰጡም። OWASP ምርጥ 10 ዝርዝር ይህ የሚገኘው አወንታዊ እና አሉታዊ ሞዴሎችን በመጠቀም ቁልፍ የኤፒአይ እሴቶችን በመፈተሽ ነው።
ፈተና ቁጥር 3፡ የአገልግሎት መከልከል
የቆየ የጥቃት ቬክተር፣ የአገልግሎት መከልከል (DoS)፣ መተግበሪያዎችን ለማጥቃት ውጤታማነቱን ማረጋገጡን ቀጥሏል። ኤችቲቲፒ ወይም HTTPS ጎርፍ፣ ዝቅተኛ እና ቀርፋፋ ጥቃቶች (ለምሳሌ SlowLoris፣ LOIC፣ Torshammer)፣ ተለዋዋጭ የአይፒ አድራሻዎችን በመጠቀም ጥቃቶች፣ ቋት ሞልቶ መፍሰስ፣ brute Force-attacks እና ሌሎችን ጨምሮ የመተግበሪያ አገልግሎቶችን ለማደናቀፍ አጥቂዎች የተለያዩ የተሳካላቸው ቴክኒኮች አሏቸው። . የነገሮች በይነመረብ እድገት እና ከዚያ በኋላ የ IoT botnets ብቅ ማለት ፣ በመተግበሪያዎች ላይ የሚደረጉ ጥቃቶች የ DDoS ጥቃቶች ዋና ትኩረት ሆነዋል። በጣም ብዙ ግዛት ያላቸው WAFዎች የተወሰነ መጠን ያለው ጭነት ብቻ ነው ማስተናገድ የሚችሉት። ሆኖም የኤችቲቲፒ/S የትራፊክ ፍሰቶችን መፈተሽ እና የጥቃት ትራፊክን እና ጎጂ ግንኙነቶችን ማስወገድ ይችላሉ። አንዴ ጥቃት ከታወቀ፣ ይህን ትራፊክ እንደገና ማለፍ ምንም ፋይዳ የለውም። የ WAF ጥቃትን የመቋቋም አቅም የተገደበ ስለሆነ ቀጣይ "መጥፎ" እሽጎችን በራስ ሰር ለማገድ ተጨማሪ መፍትሄ በኔትወርኩ ፔሪሜትር ላይ ያስፈልጋል። ለዚህ የደህንነት ሁኔታ ሁለቱም መፍትሄዎች ስለ ጥቃቶች መረጃ ለመለዋወጥ እርስ በርስ መግባባት መቻል አለባቸው.
ምስል 1. የራድዌር መፍትሄዎችን ምሳሌ በመጠቀም አጠቃላይ የኔትወርክ እና የመተግበሪያ ጥበቃ አደረጃጀት
ፈተና # 4፡ ቀጣይነት ያለው ጥበቃ
መተግበሪያዎች በተደጋጋሚ ይለወጣሉ። እንደ ማሻሻያ ያሉ የእድገት እና የአተገባበር ዘዴዎች ማሻሻያዎች ያለ ሰው ጣልቃገብነት ወይም ቁጥጥር ይከሰታሉ ማለት ነው። በእንደዚህ ዓይነት ተለዋዋጭ አካባቢዎች ውስጥ ከፍተኛ ቁጥር ያላቸው የውሸት አወንታዊ ጉዳዮችን በበቂ ሁኔታ የሚሰሩ የደህንነት ፖሊሲዎችን ለመጠበቅ አስቸጋሪ ነው። የሞባይል አፕሊኬሽኖች ከድር መተግበሪያዎች በጣም በተደጋጋሚ ይዘምናሉ። የሶስተኛ ወገን ማመልከቻዎች እርስዎ ሳያውቁ ሊለወጡ ይችላሉ። አንዳንድ ድርጅቶች ሊከሰቱ ከሚችሉ አደጋዎች በላይ ለመቆየት የበለጠ ቁጥጥር እና ታይነትን ይፈልጋሉ። ነገር ግን፣ ይህ ሁልጊዜ ሊደረስበት የሚችል አይደለም፣ እና አስተማማኝ የመተግበሪያ ጥበቃ ያሉትን ሀብቶች ለመቁጠር እና ለማየት፣ ሊከሰቱ የሚችሉ ስጋቶችን ለመተንተን እና የደህንነት ፖሊሲዎችን ለመፍጠር እና የመተግበሪያ ማሻሻያ ለማድረግ የማሽን መማር ሃይልን መጠቀም አለበት።
ግኝቶች
መተግበሪያዎች በዕለት ተዕለት ሕይወት ውስጥ ከጊዜ ወደ ጊዜ ጠቃሚ ሚና ሲጫወቱ፣ የጠላፊዎች ዋነኛ ኢላማ ይሆናሉ። ለወንጀለኞች ሊኖሩ የሚችሉ ሽልማቶች እና ለንግድ ድርጅቶች የሚያደርሱት ኪሳራ በጣም ትልቅ ነው። የአፕሊኬሽኑ ደህንነት ተግባር ውስብስብነት ከመተግበሪያዎች እና ማስፈራሪያዎች ብዛት እና ልዩነት አንጻር ሊገለጽ አይችልም።
እንደ እድል ሆኖ፣ አርቴፊሻል ኢንተለጀንስ ሊረዳን የሚችልበት ጊዜ ላይ እንገኛለን። በማሽን መማር ላይ የተመረኮዙ ስልተ ቀመሮች በጣም የላቁ የሳይበር ዛቻዎችን ኢላማ ካደረጉ አፕሊኬሽኖች ላይ የእውነተኛ ጊዜ እና መላመድ ጥበቃን ይሰጣሉ። እንዲሁም የድርን፣ የሞባይል እና የደመና አፕሊኬሽኖችን እና ኤፒአይዎችን ያለ የውሸት አወንታዊ መረጃዎች ለመጠበቅ የደህንነት ፖሊሲዎችን በራስ-ሰር ያዘምኑታል።
የሚቀጥለው ትውልድ የሳይበር አደጋዎች (ምናልባትም በማሽን መማር ላይ የተመሰረተ) ምን እንደሚሆን በእርግጠኝነት ለመተንበይ አስቸጋሪ ነው። ነገር ግን ድርጅቶች በእርግጠኝነት የደንበኞችን መረጃ ለመጠበቅ፣ አእምሮአዊ ንብረትን ለመጠበቅ እና የአገልግሎት አቅርቦትን በታላቅ የንግድ ጥቅሞች ለማረጋገጥ እርምጃዎችን መውሰድ ይችላሉ።
የመተግበሪያ ደህንነትን ለማረጋገጥ ውጤታማ አቀራረቦች እና ዘዴዎች፣ ዋናዎቹ የጥቃቶች አይነቶች እና መንስኤዎች፣ የአደጋ ቦታዎች እና የድረ-ገጽ አፕሊኬሽኖች የሳይበር ጥበቃ ክፍተቶች እንዲሁም አለምአቀፍ ልምድ እና ምርጥ ተሞክሮዎች በራድዌር ጥናት እና ዘገባ ላይ ቀርበዋል።".
ምንጭ: hab.com