في مادتنا السابقة حول موضوعات السحابة ، نحن كيفية حماية موارد تكنولوجيا المعلومات في السحابة العامة ولماذا لا تكون برامج مكافحة الفيروسات التقليدية مناسبة تمامًا لهذه الأغراض. في هذا المنشور ، سنواصل موضوع أمان السحابة ونتحدث عن تطور WAF وما هو الأفضل للاختيار: الأجهزة أو البرامج أو السحابة.
ما هو WAF
تستهدف أكثر من 75٪ من هجمات القراصنة نقاط الضعف في تطبيقات الويب ومواقع الويب: عادةً ما تكون مثل هذه الهجمات غير مرئية للبنية التحتية لأمن المعلومات والخدمات. تحمل الثغرات الأمنية في تطبيقات الويب ، بدورها ، مخاطر الاختراق والاحتيال لحسابات المستخدمين والبيانات الشخصية وكلمات المرور وأرقام بطاقات الائتمان. بالإضافة إلى ذلك ، تعمل الثغرات الأمنية في موقع الويب كنقطة دخول للمهاجمين إلى شبكة الشركة.
جدار حماية تطبيقات الويب (WAF) هو جدار حماية يمنع الهجمات على تطبيقات الويب: حقن SQL ، البرمجة النصية عبر المواقع ، تنفيذ التعليمات البرمجية عن بُعد ، القوة الغاشمة وتجاوز التفويض (تجاوز المصادقة). بما في ذلك الهجمات باستخدام ثغرات يوم الصفر. توفر جدران حماية التطبيقات الحماية من خلال مراقبة محتوى صفحة الويب ، بما في ذلك HTML و DHTML و CSS ، وتصفية طلبات HTTP / HTTPS التي يُحتمل أن تكون ضارة.
ما هي القرارات الأولى؟
تم إجراء المحاولات الأولى لإنشاء جدار حماية تطبيقات الويب في أوائل التسعينيات. من المعروف أن ثلاثة مهندسين على الأقل قد عملوا في هذا المجال. الأول هو أستاذ علوم الكمبيوتر جان سبافورد من جامعة بوردو. ووصف بنية جدار الحماية للتطبيق الوكيل ونشرها في الكتاب عام 90 .
كان الثاني والثالث متخصصين في أمن المعلومات ويليام تشيسويك وماركوس رانوم من مختبرات بيل. لقد طوروا أحد النماذج الأولية الأولى لجدار حماية التطبيقات. تم توزيعه بواسطة DEC - تم إصدار المنتج تحت اسم SEAL (رابط الوصول الخارجي الآمن).
لكن SEAL لم يكن حلاً كاملاً لـ WAF. لقد كان جدار حماية كلاسيكي للشبكة مع وظائف موسعة - القدرة على منع الهجمات على FTP و RSH. لهذا السبب ، تعتبر Perfecto Technologies (لاحقًا Sanctum) أول حل WAF اليوم. في عام 1999 هي نظام AppShield. في ذلك الوقت ، كانت Perfecto Technologies تطور حلول أمان المعلومات للتجارة الإلكترونية ، وأصبحت المتاجر عبر الإنترنت الجمهور المستهدف لمنتجها الجديد. كان AppShield قادرًا على تحليل طلبات HTTP والهجمات المحظورة بناءً على سياسات الأمن السيبراني الديناميكية.
في نفس الوقت تقريبًا مع AppShield (في عام 2002) ، ظهر أول WAF مفتوح المصدر. هم أصبحوا . تم إنشاؤه لنشر تقنيات WAF ولا يزال مدعومًا من قبل مجتمع تكنولوجيا المعلومات (هنا ). يحظر ModSecurity الهجمات على التطبيقات بناءً على مجموعة قياسية من التعبيرات العادية (التوقيعات) - أدوات للتحقق من الطلبات مقابل نمط - .
نتيجة لذلك ، تمكن المطورون من تحقيق هدفهم - بدأت حلول WAF الجديدة في الظهور في السوق ، بما في ذلك تلك المبنية على أساس ModSecurity.
ثلاثة أجيال من التاريخ
من المعتاد التمييز بين ثلاثة أجيال من أنظمة WAF التي تطورت مع تطور التكنولوجيا.
الجيل الأول. يعمل مع التعبيرات العادية (أو القواعد النحوية). يتضمن ModSecurity. يقوم موفر النظام بدراسة أنواع الهجمات على التطبيقات ويقوم بإنشاء أنماط تصف الطلبات المشروعة والتي من المحتمل أن تكون ضارة. يستشير WAF هذه القوائم ويقرر ما يجب فعله في موقف معين - لمنع حركة المرور أم لا.
مثال على الكشف القائم على التعبير العادي هو المشروع المذكور بالفعل المصدر المفتوح. مثال آخر - ، وهو أيضًا مفتوح المصدر. الأنظمة ذات التعبيرات العادية لها عدد من العيوب ، على وجه الخصوص ، عند اكتشاف ثغرة أمنية جديدة ، يتعين على المسؤول إنشاء قواعد إضافية يدويًا. في حالة البنية التحتية لتكنولوجيا المعلومات على نطاق واسع ، يمكن أن يكون هناك عدة آلاف من القواعد. تعد إدارة الكثير من التعبيرات العادية أمرًا صعبًا للغاية ، ناهيك عن أن التحقق منها يمكن أن يبطئ من أداء الشبكة.
التعبيرات العادية لها أيضًا معدل إيجابي خاطئ مرتفع إلى حد ما. اقترح اللغوي الشهير نعوم تشومسكي تصنيف القواعد ، حيث قسمها إلى أربعة مستويات مشروطة من التعقيد. وفقًا لهذا التصنيف ، يمكن للتعبيرات العادية أن تصف فقط قواعد جدار الحماية التي لا تنطوي على انحرافات عن النمط. وهذا يعني أنه يمكن للمهاجمين بسهولة "خداع" الجيل الأول من WAFs. تتمثل إحدى طرق مكافحة ذلك في إضافة أحرف خاصة إلى طلبات التطبيق التي لا تؤثر على منطق البيانات الضارة ، ولكنها تنتهك قاعدة التوقيع.
الجيل الثاني. تم تطوير جدران حماية التطبيقات من الجيل الثاني للتحايل على مشكلات الأداء والدقة الخاصة بـ WAFs. وقد ظهر محللون فيها ، وهم مسؤولون عن تحديد أنواع محددة بدقة من الهجمات (على HTML و JS وما إلى ذلك). تعمل هذه المحللون مع الرموز المميزة الخاصة التي تصف الطلبات (على سبيل المثال ، متغير ، سلسلة ، غير معروف ، رقم). يتم وضع التسلسلات التي يُحتمل أن تكون ضارة في قائمة منفصلة ، والتي يتم فحصها بانتظام بواسطة نظام WAF. لأول مرة تم عرض هذا النهج في مؤتمر Black Hat 2012 في شكل C / C ++ ، والذي يسمح لك باكتشاف حقن SQL.
بالمقارنة مع الجيل الأول من WAFs ، يمكن للمحللين المتخصصين العمل بشكل أسرع. ومع ذلك ، لم يحلوا الصعوبات المرتبطة بتكوين النظام يدويًا عند ظهور هجمات ضارة جديدة.
الجيل الثالث. التطور في منطق اكتشاف الجيل الثالث هو استخدام أساليب التعلم الآلي التي تجعل من الممكن تقريب قواعد الكشف قدر الإمكان من قواعد SQL / HTML / JS الحقيقية للأنظمة المحمية. منطق الكشف هذا قادر على تكييف آلة تورينج لتغطية القواعد النحوية التي يمكن تعدادها بشكل متكرر. علاوة على ذلك ، في وقت سابق ، كانت مهمة إنشاء آلة تورينج قابلة للتكيف غير قابلة للحل حتى تم نشر الدراسات الأولى لآلات تورينج العصبية.
يوفر التعلم الآلي قدرة فريدة على تخصيص أي قواعد نحوية لتغطية أي نوع من الهجمات ، دون إنشاء قوائم توقيع يدويًا كما هو مطلوب في اكتشاف الجيل الأول ، وبدون تطوير أدوات رمزية / موزعات جديدة لأنواع هجوم جديدة مثل تطبيقات Memcached و Redis و Cassandra و SSRF ، كما هو مطلوب في منهجية الجيل الثاني.
من خلال الجمع بين جميع الأجيال الثلاثة لمنطق الاكتشاف ، يمكننا رسم مخطط جديد يتم فيه تمثيل الجيل الثالث من الاكتشاف بمخطط أحمر (الشكل 3). ينتمي أحد الحلول التي ننفذها في السحابة مع Onsec ، مطور النظام الأساسي لأمان تطبيق الويب التكيفي وواجهة برمجة تطبيقات Wallarm ، إلى هذا الجيل.
يستخدم منطق الاكتشاف الآن الملاحظات من تطبيق bootstrapping. في التعلم الآلي ، تسمى حلقة الملاحظات هذه "التعزيز". عادة ، هناك نوع واحد أو أكثر من هذا التعزيز:
- تحليل سلوك استجابة التطبيق (سلبي)
- مسح ضوئي / مجهر (نشط)
- ملفات التقرير / إجراءات المعترض / الخطافات (بعد الوقائع)
- دليل (يحدده المشرف)
نتيجة لذلك ، يحل منطق الكشف من الجيل الثالث أيضًا مشكلة الدقة المهمة. من الممكن الآن ليس فقط تجنب الإيجابيات الزائفة والسلبيات الخاطئة ، ولكن أيضًا اكتشاف السلبيات الحقيقية الصحيحة ، مثل اكتشاف استخدام عنصر أمر SQL في لوحة التحكم ، وتحميل قوالب صفحات الويب ، وطلبات AJAX المرتبطة بأخطاء JavaScript ، و آحرون.
بعد ذلك ، نأخذ في الاعتبار القدرات التكنولوجية لخيارات تنفيذ WAF المختلفة.
الأجهزة أو البرامج أو السحابة - ماذا تختار؟
أحد خيارات تنفيذ جدران حماية التطبيقات هو الحل "الحديدي". هذه الأنظمة هي أجهزة حوسبة متخصصة تثبتها الشركة محليًا في مركز البيانات الخاص بها. ولكن في هذه الحالة ، يتعين عليك شراء المعدات الخاصة بك ودفع الأموال للمتكاملين لتكوينها وتصحيح الأخطاء (إذا لم يكن لدى الشركة قسم تكنولوجيا المعلومات الخاص بها). في الوقت نفسه ، تصبح أي معدات قديمة وتصبح غير صالحة للاستعمال ، لذلك يضطر العملاء إلى تخصيص ميزانية لترقيات الأجهزة.
خيار نشر WAF آخر هو تنفيذ البرنامج. يتم تثبيت الحل كإضافة لبعض البرامج (على سبيل المثال ، تم تكوين ModSecurity أعلى Apache) ويعمل على نفس الخادم معه. كقاعدة عامة ، يمكن نشر هذه الحلول على كل من الخادم الفعلي والسحابة. عيبهم هو قابلية التوسع ودعم البائعين المحدود.
الخيار الثالث هو إعداد WAF من السحابة. يتم توفير هذه الحلول من قبل مقدمي الخدمات السحابية كخدمة اشتراك. لا تحتاج الشركة إلى شراء وتكوين أجهزة متخصصة ، فهذه المهام تقع على عاتق مزود الخدمة. نقطة مهمة - لا تعني WAF السحابية الحديثة ترحيل الموارد إلى النظام الأساسي للمزود. يمكن نشر الموقع في أي مكان ، حتى في مكان العمل.
لماذا الآن يتطلعون بشكل متزايد نحو WAF السحابية ، سنقول المزيد.
ما الذي يمكن أن يفعله WAF في السحابة
من حيث القدرات التكنولوجية:
- المزود مسؤول عن التحديثات.. يتم توفير WAF على أساس الاشتراك ، لذلك يراقب مزود الخدمة أهمية التحديثات والتراخيص. لا تتعلق التحديثات بالبرامج فحسب ، بل بالأجهزة أيضًا. يقوم الموفر بترقية ساحة الخادم والمحافظة عليها. كما أنها مسؤولة عن موازنة التحميل والتكرار. إذا فشل خادم WAF ، تتم إعادة توجيه حركة المرور على الفور إلى جهاز آخر. يسمح لك التوزيع العقلاني لحركة المرور بتجنب المواقف التي يدخل فيها جدار الحماية في وضع الفتح الفاشل - لا يمكنه التعامل مع الحمل وإيقاف طلبات التصفية.
- الترقيع الظاهري. تعمل التصحيحات الافتراضية على تقييد الوصول إلى الأجزاء المخترقة من التطبيق حتى يتم إغلاق الثغرة الأمنية بواسطة المطور. نتيجة لذلك ، يحصل عميل موفر السحابة على فرصة الانتظار بهدوء حتى يقوم مورد هذا البرنامج أو ذاك بنشر التصحيحات الرسمية. يعد القيام بذلك في أسرع وقت ممكن من أولويات بائع البرنامج. على سبيل المثال ، في منصة Valarm ، وحدة برمجية منفصلة مسؤولة عن الترقيع الافتراضي. يمكن للمسؤول إضافة تعبيرات عادية مخصصة لمنع الطلبات الضارة. يتيح النظام إمكانية وضع علامة "بيانات سرية" على بعض الطلبات. ثم يتم إخفاء معلماتها ، ولا يتم نقلها تحت أي ظرف من الظروف خارج منطقة عمل جدار الحماية.
- ماسح مدمج للمحيط ونقاط الضعف. يتيح لك ذلك تحديد حدود الشبكة للبنية التحتية لتكنولوجيا المعلومات بشكل مستقل باستخدام بيانات من استعلامات DNS وبروتوكول WHOIS. بعد أن يقوم WAF تلقائيًا بتحليل الخدمات والخدمات التي تعمل داخل المحيط (يقوم بفحص المنفذ). جدار الحماية قادر على اكتشاف جميع أنواع الثغرات الأمنية الشائعة - SQLi و XSS و XXE وما إلى ذلك - واكتشاف الأخطاء في تكوين البرامج ، على سبيل المثال ، الوصول غير المصرح به إلى مستودعات Git و BitBucket والمكالمات المجهولة إلى Elasticsearch و Redis و MongoDB.
- تتم مراقبة الهجمات بواسطة موارد السحابة. كقاعدة عامة ، يتمتع مقدمو الخدمات السحابية بكميات كبيرة من قوة الحوسبة. يتيح لك ذلك تحليل التهديدات بدقة وسرعة عاليتين. يتم نشر مجموعة من عقد التصفية في السحابة التي تمر عبرها كل حركة المرور. تمنع هذه العقد الهجمات على تطبيقات الويب وترسل الإحصائيات إلى مركز التحليلات. يستخدم خوارزميات التعلم الآلي لتحديث قواعد الحظر لجميع التطبيقات المحمية. يظهر تنفيذ مثل هذا المخطط في الشكل. 4. تقلل قواعد الأمان المعدلة هذه من عدد الإيجابيات الزائفة لجدار الحماية.
الآن قليلاً عن ميزات WAFs السحابية من حيث المشكلات التنظيمية والإدارة:
- الانتقال إلى OpEx. في حالة WAFs السحابية ، ستكون تكلفة التنفيذ صفرًا ، نظرًا لأن الموفر قد دفع بالفعل جميع الأجهزة والتراخيص ، يتم دفع رسوم الخدمة عن طريق الاشتراك.
- خطط تعريفة مختلفة. يمكن لمستخدم الخدمة السحابية تمكين الخيارات الإضافية أو تعطيلها بسرعة. تتم إدارة الوظائف من لوحة تحكم واحدة ، وهي محمية أيضًا. يتم الوصول إليه عبر HTTPS ، بالإضافة إلى وجود آلية مصادقة ثنائية تستند إلى بروتوكول TOTP (خوارزمية كلمة المرور لمرة واحدة على أساس الوقت).
- اتصال DNS. يمكنك تغيير DNS وتكوين توجيه الشبكة بنفسك. لحل هذه المشاكل ، ليس من الضروري تعيين وتدريب المتخصصين الأفراد. كقاعدة عامة ، يمكن أن يساعد الدعم الفني للموفر في التكوين.
تطورت تقنيات WAF من جدران الحماية البسيطة ذات القواعد الأساسية إلى أنظمة الحماية المعقدة باستخدام خوارزميات التعلم الآلي. تحتوي الآن جدران حماية التطبيقات على مجموعة واسعة من الميزات التي كان من الصعب تنفيذها في التسعينيات. من نواح كثيرة ، أصبح ظهور وظائف جديدة ممكنًا بفضل التقنيات السحابية. تستمر حلول WAF ومكوناتها في التطور. تمامًا مثل مجالات أمن المعلومات الأخرى.
أعد النص ألكسندر كاربوزيكوف ، مدير تطوير منتجات IS لمزود خدمة السحابة #CloudMTS.
المصدر: www.habr.com