بأثر رجعي
يتطور حجم وتكوين وتكوين التهديدات السيبرانية للتطبيقات بسرعة. لسنوات عديدة، تمكن المستخدمون من الوصول إلى تطبيقات الويب عبر الإنترنت باستخدام متصفحات الويب الشائعة. كان من الضروري دعم 2-5 متصفحات ويب في أي وقت، وكانت مجموعة المعايير لتطوير واختبار تطبيقات الويب محدودة للغاية. على سبيل المثال، تم إنشاء جميع قواعد البيانات تقريبًا باستخدام SQL. لسوء الحظ، بعد فترة قصيرة، تعلم المتسللون استخدام تطبيقات الويب لسرقة البيانات أو حذفها أو تغييرها. لقد حصلوا على وصول غير قانوني إلى إمكانيات التطبيق وأساءوا استغلاله باستخدام مجموعة متنوعة من التقنيات، بما في ذلك خداع مستخدمي التطبيق والحقن وتنفيذ التعليمات البرمجية عن بُعد. وسرعان ما ظهرت أدوات أمان تطبيقات الويب التجارية التي تسمى جدران حماية تطبيقات الويب (WAFs) في السوق، واستجاب المجتمع من خلال إنشاء مشروع أمان تطبيقات الويب المفتوحة، مشروع أمان تطبيقات الويب المفتوحة (OWASP)، لتحديد معايير ومنهجيات التطوير والحفاظ عليها. .تطبيقات آمنة.
حماية التطبيقات الأساسية
هي نقطة البداية لتأمين التطبيقات وتحتوي على قائمة بأخطر التهديدات والتكوينات الخاطئة التي يمكن أن تؤدي إلى ثغرات أمنية في التطبيقات، بالإضافة إلى تكتيكات لاكتشاف الهجمات وهزيمتها. يعد OWASP Top 10 معيارًا معترفًا به في صناعة الأمن السيبراني للتطبيقات في جميع أنحاء العالم ويحدد القائمة الأساسية للإمكانيات التي يجب أن يتمتع بها نظام أمان تطبيقات الويب (WAF).
بالإضافة إلى ذلك، يجب أن تأخذ وظيفة WAF في الاعتبار الهجمات الشائعة الأخرى على تطبيقات الويب، بما في ذلك تزوير الطلبات عبر المواقع (CSRF)، واختطاف النقرات، واستخراج الويب، وإدراج الملفات (RFI/LFI).
التهديدات والتحديات لضمان أمن التطبيقات الحديثة
اليوم، لا يتم تنفيذ كافة التطبيقات في إصدار الشبكة. هناك تطبيقات سحابية، وتطبيقات جوال، وواجهات برمجة التطبيقات، وفي أحدث البنى، وحتى وظائف البرامج المخصصة. تحتاج جميع هذه الأنواع من التطبيقات إلى المزامنة والتحكم فيها أثناء إنشاء بياناتنا وتعديلها ومعالجتها. مع ظهور تقنيات ونماذج جديدة، تنشأ تعقيدات وتحديات جديدة في جميع مراحل دورة حياة التطبيق. يتضمن ذلك تكامل التطوير والعمليات (DevOps)، والحاويات، وإنترنت الأشياء (IoT)، والأدوات مفتوحة المصدر، وواجهات برمجة التطبيقات، والمزيد.
يؤدي النشر الموزع للتطبيقات وتنوع التقنيات إلى خلق تحديات معقدة ومعقدة، ليس فقط لمحترفي أمن المعلومات، ولكن أيضًا لبائعي الحلول الأمنية الذين لم يعد بإمكانهم الاعتماد على نهج موحد. يجب أن تأخذ إجراءات أمان التطبيقات في الاعتبار تفاصيل أعمالها لمنع النتائج الإيجابية الكاذبة وتعطيل جودة الخدمات المقدمة للمستخدمين.
عادةً ما يكون الهدف النهائي للمتسللين إما سرقة البيانات أو تعطيل توفر الخدمات. يستفيد المهاجمون أيضًا من التطور التكنولوجي. أولا، يؤدي تطوير التكنولوجيات الجديدة إلى خلق المزيد من الفجوات ونقاط الضعف المحتملة. ثانياً، لديهم المزيد من الأدوات والمعرفة في ترسانتهم لتجاوز التدابير الأمنية التقليدية. وهذا يزيد بشكل كبير مما يسمى "سطح الهجوم" وتعرض المنظمات لمخاطر جديدة. يجب أن تتغير السياسات الأمنية باستمرار استجابة للتغيرات في التكنولوجيا والتطبيقات.
وبالتالي، يجب حماية التطبيقات من مجموعة متزايدة باستمرار من أساليب ومصادر الهجوم، ويجب مواجهة الهجمات الآلية في الوقت الفعلي بناءً على قرارات مستنيرة. والنتيجة هي زيادة تكاليف المعاملات والعمل اليدوي، إلى جانب ضعف الوضع الأمني.
المهمة رقم 1: إدارة الروبوتات
أكثر من 60% من حركة المرور على الإنترنت يتم إنشاؤها بواسطة الروبوتات، نصفها عبارة عن حركة مرور "سيئة" (وفقًا لـ ). تستثمر المؤسسات في زيادة سعة الشبكة، مما يخدم بشكل أساسي حملًا وهميًا. إن التمييز الدقيق بين حركة المستخدم الحقيقية وحركة الروبوتات، وكذلك الروبوتات "الجيدة" (على سبيل المثال، محركات البحث وخدمات مقارنة الأسعار) والروبوتات "السيئة" يمكن أن يؤدي إلى توفير كبير في التكاليف وتحسين جودة الخدمة للمستخدمين.
لن تجعل الروبوتات هذه المهمة سهلة، ويمكنها تقليد سلوك المستخدمين الحقيقيين، وتجاوز اختبارات CAPTCHA وغيرها من العوائق. علاوة على ذلك، في حالة الهجمات التي تستخدم عناوين IP الديناميكية، تصبح الحماية المستندة إلى تصفية عنوان IP غير فعالة. في كثير من الأحيان، تُستخدم أدوات التطوير مفتوحة المصدر (على سبيل المثال، Phantom JS) التي يمكنها التعامل مع جافا سكريبت من جانب العميل لإطلاق هجمات القوة الغاشمة، وهجمات حشو بيانات الاعتماد، وهجمات DDoS، وهجمات الروبوت الآلية.
لإدارة حركة مرور الروبوت بشكل فعال، يلزم تحديد فريد لمصدرها (مثل بصمة الإصبع). نظرًا لأن هجوم الروبوت ينشئ سجلات متعددة، فإن بصمة إصبعه تسمح له بتحديد الأنشطة المشبوهة وتعيين النتائج، والتي بناءً عليها يتخذ نظام حماية التطبيق قرارًا مستنيرًا - حظر/سماح - مع الحد الأدنى من النتائج الإيجابية الخاطئة.
التحدي رقم 2: حماية واجهة برمجة التطبيقات (API).
تقوم العديد من التطبيقات بجمع المعلومات والبيانات من الخدمات التي تتفاعل معها من خلال واجهات برمجة التطبيقات. عند نقل البيانات الحساسة عبر واجهات برمجة التطبيقات، فإن أكثر من 50% من المؤسسات لا تقوم بالتحقق من صحة واجهات برمجة التطبيقات أو تأمينها لاكتشاف الهجمات الإلكترونية.
أمثلة على استخدام واجهة برمجة التطبيقات:
- تكامل إنترنت الأشياء (IoT).
- التواصل من آلة إلى آلة
- بيئات بدون خادم
- تطبيقات المحمول
- التطبيقات التي تعتمد على الأحداث
تشبه ثغرات واجهة برمجة التطبيقات (API) ثغرات التطبيقات وتشمل عمليات الحقن وهجمات البروتوكول ومعالجة المعلمات وعمليات إعادة التوجيه وهجمات الروبوتات. تساعد بوابات API المخصصة على ضمان التوافق بين خدمات التطبيقات التي تتفاعل عبر واجهات برمجة التطبيقات. ومع ذلك، فهي لا توفر أمانًا شاملاً للتطبيقات مثل WAF مع أدوات الأمان الأساسية مثل تحليل رأس HTTP، وقائمة التحكم في الوصول إلى الطبقة 7 (ACL)، وتحليل حمولة JSON/XML وفحصها، والحماية ضد جميع الثغرات الأمنية من قائمة OWASP لأفضل 10. ويتم تحقيق ذلك من خلال فحص قيم واجهة برمجة التطبيقات الرئيسية باستخدام النماذج الإيجابية والسلبية.
التحدي رقم 3: الحرمان من الخدمة
يستمر ناقل الهجوم القديم، وهو رفض الخدمة (DoS)، في إثبات فعاليته في مهاجمة التطبيقات. يمتلك المهاجمون مجموعة من التقنيات الناجحة لتعطيل خدمات التطبيقات، بما في ذلك تدفقات HTTP أو HTTPS، والهجمات المنخفضة والبطيئة (مثل SlowLoris، وLOIC، وTorshammer)، والهجمات باستخدام عناوين IP الديناميكية، وتجاوز سعة المخزن المؤقت، وهجمات القوة الغاشمة، وغيرها الكثير. . مع تطور إنترنت الأشياء والظهور اللاحق لشبكات الروبوت الخاصة بإنترنت الأشياء، أصبحت الهجمات على التطبيقات هي المحور الرئيسي لهجمات DDoS. لا تستطيع معظم WAFs ذات الحالة التعامل إلا مع كمية محدودة من الحمل. ومع ذلك، يمكنهم فحص تدفقات حركة مرور HTTP/S وإزالة حركة مرور الهجوم والاتصالات الضارة. بمجرد التعرف على الهجوم، ليس هناك أي فائدة في إعادة تمرير حركة المرور هذه. نظرًا لأن قدرة WAF على صد الهجمات محدودة، يلزم وجود حل إضافي في محيط الشبكة لحظر الحزم "السيئة" التالية تلقائيًا. بالنسبة لهذا السيناريو الأمني، يجب أن يكون كلا الحلين قادرين على التواصل مع بعضهما البعض لتبادل المعلومات حول الهجمات.
الشكل 1. تنظيم الحماية الشاملة للشبكة والتطبيقات باستخدام حلول Radware كمثال
التحدي رقم 4: الحماية المستمرة
تتغير التطبيقات بشكل متكرر. تعني منهجيات التطوير والتنفيذ مثل التحديثات المستمرة أن التعديلات تحدث دون تدخل أو سيطرة بشرية. في مثل هذه البيئات الديناميكية، من الصعب الحفاظ على سياسات أمنية تعمل بشكل مناسب دون وجود عدد كبير من النتائج الإيجابية الكاذبة. يتم تحديث تطبيقات الهاتف المحمول بشكل متكرر أكثر من تطبيقات الويب. قد تتغير تطبيقات الطرف الثالث دون علمك. تسعى بعض المنظمات إلى مزيد من التحكم والرؤية للبقاء على اطلاع على المخاطر المحتملة. ومع ذلك، لا يمكن تحقيق ذلك دائمًا، ويجب أن تستخدم حماية التطبيقات الموثوقة قوة التعلم الآلي لحساب الموارد المتاحة وتصورها، وتحليل التهديدات المحتملة، وإنشاء سياسات أمنية وتحسينها في حالة إجراء تعديلات على التطبيق.
النتائج
نظرًا لأن التطبيقات تلعب دورًا متزايد الأهمية في الحياة اليومية، فإنها تصبح هدفًا رئيسيًا للمتسللين. إن المكافآت المحتملة للمجرمين والخسائر المحتملة للشركات هائلة. لا يمكن المبالغة في تعقيد مهمة أمان التطبيق نظرًا لعدد التطبيقات والتهديدات وتنوعها.
ولحسن الحظ، وصلنا إلى مرحلة زمنية حيث يمكن للذكاء الاصطناعي أن يساعدنا. توفر الخوارزميات القائمة على التعلم الآلي حماية تكيفية في الوقت الفعلي ضد التهديدات السيبرانية الأكثر تقدمًا التي تستهدف التطبيقات. كما يقومون أيضًا بتحديث سياسات الأمان تلقائيًا لحماية تطبيقات الويب والهاتف المحمول والسحابة - وواجهات برمجة التطبيقات - دون نتائج إيجابية كاذبة.
من الصعب التنبؤ على وجه اليقين بما سيكون عليه الجيل القادم من التهديدات السيبرانية التطبيقية (ربما تعتمد أيضًا على التعلم الآلي). ولكن يمكن للمؤسسات بالتأكيد اتخاذ خطوات لحماية بيانات العملاء، وحماية الملكية الفكرية، وضمان توفر الخدمة مع فوائد تجارية كبيرة.
يتم عرض الأساليب والأساليب الفعالة لضمان أمان التطبيقات، والأنواع الرئيسية للهجمات ونواقلها، ومجالات المخاطر والثغرات في الحماية السيبرانية لتطبيقات الويب، بالإضافة إلى الخبرة العالمية وأفضل الممارسات في دراسة وتقرير Radware.".
المصدر: www.habr.com