Рэтраспектыва
Маштаб, склад і структура кіберпагроз для прыкладанняў хутка эвалюцыянуюць. Доўгія гады карыстачы атрымлівалі доступ да вэб-прыкладанняў праз інтэрнэт з дапамогай папулярных вэб-браўзэраў. У кожны момант часу было неабходна падтрымліваць 2-5 вэб-браўзэраў, і набор стандартаў распрацоўкі і тэсціравання вэб-прыкладанняў быў у дастатковай ступені абмежаваны. Напрыклад, амаль усе базы дадзеных былі пабудаваны з выкарыстаннем SQL. Нажаль, праз нядоўгі час, хакеры навучыліся выкарыстоўваць вэб-прыкладанні для крадзяжу, выдаленні або змены дадзеных. Яны атрымлівалі незаконны доступ і марнатравілі магчымасцямі прыкладанняў з выкарыстаннем розных прыёмаў, уключаючы зман карыстачоў прыкладанняў, укараненне і выдаленую адпрацоўку кода. Неўзабаве на рынку з'явіліся камерцыйныя сродкі абароны вэб-прыкладанняў, названыя Web Application Firewalls (WAF), а грамадства адрэагавала стварэннем адчыненага праекту для забеспячэння бяспекі вэб-прыкладанняў, Open Web Application Security Project (OWASP), з мэтай вызначэння і падтрыманні стандартаў і метадалогій распрацоўкі бяспечных прыкладанняў.
Базавая абарона прыкладанняў
з'яўляецца адпраўным пунктам забеспячэння абароны прыкладанняў і змяшчае пералік самых небяспечных пагроз і няправільных налад, якія могуць прывесці да ўразлівасцяў прыкладанняў, а таксама тактык выяўлення і адбіцця нападаў. OWASP Топ 10 з'яўляецца прызнаным арыенцірам у індустрыі кібербяспекі прыкладанняў ва ўсім свеце і вызначае базавы спіс магчымасцяў, якім павінна валодаць сістэма абароны вэб-прыкладанняў (WAF).
Акрамя таго, функцыянал WAF павінен улічваць іншыя распаўсюджаныя напады на вэб-прыкладанні, уключаючы падробку міжсайтавых запытаў (CSRF), клікджэкінг (Clickjacking), вэб-скрапінг (web scraping) і ўключэнне файлаў (RFI/LFI).
Пагрозы і задачы забеспячэння бяспекі сучасных дадаткаў
На сённяшні дзень далёка не ўсе прыкладанні выкананы ў сеткавым варыянце. Існуюць хмарныя прыкладанні, мабільныя прыкладанні, API, а ў найноўшых архітэктурах нават індывідуальныя праграмныя функцыі. Усе гэтыя віды прыкладанняў неабходна сінхранізаваць і кантраляваць, паколькі яны ствараюць, змяняюць і апрацоўваюць нашы дадзеныя. Са з'яўленнем новых тэхналогій і парадыгмаў узнікаюць новыя складанасці і задачы на ўсіх этапах жыццёвага цыкла прыкладанняў. Гэта ўключае інтэграцыю распрацоўкі і эксплуатацыі (DevOps), кантэйнеры, Інтэрнэт рэчаў (IoT), прылады з адчыненым зыходным кодам, API і інш.
Размеркаванае размяшчэнне дадаткаў і разнастайнасць тэхналогій стварае складаныя і комплексныя задачы не толькі для спецыялістаў па інфармацыйнай бяспецы, але і для вытворцаў рашэнняў бяспекі, якія больш не могуць спадзявацца на уніфікаваны падыход. Сродкі абароны прыкладанняў павінны ўлічваць іх бізнэс-спецыфіку для прадухілення памылковых спрацоўванняў і парушэнні якасці сэрвісаў для карыстачоў.
Канчатковай мэтай хакераў звычайна з'яўляюцца або крадзеж дадзеных, або парушэнне даступнасці сэрвісаў. Зламыснікі таксама атрымліваюць перавагі падчас тэхналагічнай эвалюцыі. Па-першае, развіццё новых тэхналогій стварае больш патэнцыйных праломаў і ўразлівасцяў. Па-другое, у іх арсенале з'яўляецца больш прылад і ведаў для абыходу традыцыйных сродкаў абароны. Гэта нашмат павялічвае так званую «паверхню нападу» і схільнасць арганізацый да новых рызык. Палітыкі бяспекі павінны ўвесь час змяняцца ўслед за зменамі ў тэхналогіях і прыкладаннях.
Такім чынам, прыкладанні павінны быць абаронены ад стала расце разнастайнасці метадаў і крыніц нападаў, а адлюстраванне аўтаматычных нападаў павінна ажыццяўляцца ў рэальным часе на аснове інфармаваных рашэнняў. У выніку павялічваюцца аперацыйныя выдаткі і ручная праца на фоне аслабленых пазіцый у бяспецы.
Задача №1: Упраўленне ботамі
Больш за 60% інтэрнэт-трафіку генеруецца ботамі, палова з якога ставіцца да "дрэннага" трафіку (паводле дадзеных ). Арганізацыі інвесціруюць у павелічэнне прапускной здольнасці сеткі, па сутнасці, абслугоўваючы фіктыўную нагрузку. Дакладнае размежаванне паміж рэальным карыстацкім трафікам і трафікам робатаў, а таксама «добрымі» ботамі (напрыклад, пошукавыя робаты і сэрвісы параўнання коштаў) і «дрэннымі» ботамі можа выказацца ў значнай эканоміі сродкаў і павышэнні якасці сэрвісаў для карыстальнікаў.
Боты не збіраюцца палягчаць гэтую задачу, і яны могуць імітаваць паводзіны рэальных карыстальнікаў, абыходзіць CAPTCHA і іншыя перашкоды. Больш за тое, у выпадку нападаў з выкарыстаннем дынамічных IP-адрасоў абарона на аснове фільтрацыі па IP-адрасе становіцца неэфектыўнай. Часцяком, сродкі распрацоўкі з адчыненым зыходным кодам (для прыкладу, Phantom JS), якія могуць адпрацоўваць кліенцкі JavaScript, выкарыстоўваюцца для запуску брутфорс-нападаў (brute-force), стафінг-нападаў (credential stuffing), DDoS-нападаў і аўтаматычных бот-нападаў .
Для эфектыўнага кіравання трафікам робатаў патрабуецца ўнікальная ідэнтыфікацыя яго крыніцы (як адбітак пальца). Паколькі ў выпадку бот-напады ўзнікае мноства запісаў, яе адбітак дазваляе выяўляць падазроную актыўнасць і прысвойваць балы, на аснове якіх сістэма абароны прыкладанняў прымае інфармаванае рашэнне - блакаваць/дазволіць - з мінімальным паказчыкам прытворнададатных вынікаў.
Задача №2: Абарона API
Многія прыкладанні збіраюць інфармацыю і дадзеныя ад сэрвісаў, з якімі яны ўзаемадзейнічаюць праз API. Пры перадачы канфідэнцыйных дадзеных праз API больш за 50% арганізацый не вырабляюць ні праверку, ні абарону APIs для выяўлення кібератак.
Прыклады выкарыстання API:
- Інтэграцыя Інтэрнэту рэчаў (IoT)
- Міжмашыннае ўзаемадзеянне
- Бессерверныя асяроддзі
- мабільныя прыкладання
- Кіраваныя падзеямі прыкладання
Уразлівасці API падобныя на ўразлівасці прыкладанняў і ўключаюць ін'екцыі, напады на пратаколы, маніпуляцыі параметрамі, рэдырэкты і напады ботаў. Вылучаныя API шлюзы дазваляюць гарантаваць сумяшчальнасць сэрвісаў прыкладанняў, якія ўзаемадзейнічаюць праз API. Аднак яны не забяспечваюць скразную бяспеку дадатак, як гэта дазваляе зрабіць WAF c неабходнымі прыладамі бяспекі, такімі як парсінг HTTP-загалоўкаў, спіс кіравання доступам Layer 7 (ACL), парсінг і праверка карыснай нагрузкі JSON/XML, а таксама абаронай ад усіх уразлівасцяў з спісу OWASP Топ 10. Гэта дасягаецца за кошт інспекцыі ключавых значэнняў API з выкарыстаннем пазітыўнай і негатыўнай мадэляў.
Задача №3: Адмова ў абслугоўванні
Стары вектар нападаў – адмова ў абслугоўванні (DoS) – працягвае даказваць сваю эфектыўнасць у нападах на прыкладанні. Зламыснікі размяшчаюць цэлым наборам паспяховых тэхнік парушэнні працы сэрвісаў прыкладанняў, уключаючы HTTP або HTTPS флуды, маламагутныя і павольныя напады («low-and-slow», напрыклад SlowLoris, LOIC, Torshammer), напады з выкарыстаннем дынамічных IP-адрасоў, перапаўненне буфера, брутфар -атакі, і многія іншыя. З развіццём Інтэрнэту рэчаў і наступным з'яўленнем IoT-ботнэтаў напады на прыкладанні сталі асноўным кірункам DDoS-нападаў. Большасць WAF з адсочваннем стану злучэнняў могуць супрацьстаяць толькі абмежаванаму аб'ёму нагрузкі. Аднак, яны могуць правяраць патокі HTTP/S трафіку і выдаляць трафік нападаў і шкоднасныя падлучэнні. Пасля выяўлення нападу няма сэнсу паўторна прапускаць гэты трафік. Паколькі прапускная здольнасць WAF для адлюстравання нападаў абмежаваная, неабходна дадатковае рашэнне на перыметры сеткі для аўтаматычнага блакавання наступны "дрэнных" пакетаў. Для дадзенага сцэнара абароны абодва рашэнні павінны мець здольнасць узаемадзейнічаць паміж сабой для абмену інфармацыяй аб нападах.
Рыс 1. Арганізацыя комплекснай абароны сеткі і дадаткаў на прыкладзе рашэнняў Radware
Задача №4: Бесперапынная абарона
Прыкладанні часта падвяргаюцца зменам. Метадалогіі распрацоўкі і ўкараненні, такія як бесперапыннасць абнаўленняў, азначаюць, што мадыфікацыі здзяйсняюцца без чалавечага ўдзелу і кантролю. У такіх дынамічных умовах складана падтрымліваць адэкватна працуючыя палітыкі бяспекі без высокай колькасці прытворнададатных спрацоўванняў. Мабільныя прыкладанні абнаўляюцца значна часцей вэб-прыкладанняў. Прыкладанні іншых вытворцаў могуць змяніцца без вашага ведама. Некаторыя арганізацыі імкнуцца атрымаць большы кантроль і візуалізацыю, каб заставацца ў курсе патэнцыйных рызык. Аднак гэта не заўсёды дасягальна, і надзейная абарона прыкладанняў павінна выкарыстоўваць магчымасці машыннага навучання для ўліку і візуальнага прадстаўлення наяўных рэсурсаў, аналізу патэнцыйных пагроз, стварэння і аптымізацыі палітык бяспекі ў выпадку мадыфікацыі прыкладанняў.
Высновы
Па меры таго, як прыкладанні гуляюць усё больш і важнейшую ролю ў паўсядзённым жыцці, яны становяцца асноўнай мэтай для хакераў. Патэнцыйны куш для зламыснікаў і патэнцыйныя страты для бізнесу вялізныя. Складанасць задачы забеспячэння бяспекі прыкладанняў не можа быць перабольшана, улічваючы колькасць і варыяцыі прыкладанняў і пагроз.
На шчасце, мы знаходзімся ў такім моманце часу, калі штучны інтэлект можа прыйсці нам на дапамогу. Алгарытмы, заснаваныя на машынным навучанні, забяспечваюць адаптыўную абарону ў рэжыме рэальнага часу ад самых прасунутых кіберпагроз, накіраваных на прыкладанні. Яны таксама аўтаматычна абнаўляюць палітыкі бяспекі для абароны вэб-, мабільных і хмарных прыкладанняў – а таксама API – без прытворнададатных спрацоўванняў.
Складана з дакладнасцю прадказаць, якім будзе новае пакаленне кіберпагроз для прыкладанняў (магчыма, таксама заснаванае на машынным навучанні). Але арганізацыі сапраўды могуць зрабіць крокі для абароны дадзеных кліентаў, інтэлектуальнай уласнасці і гарантыі даступнасці сэрвісаў з вялікай выгадай для бізнэсу.
Эфектыўныя падыходы і метады забеспячэння бяспекі прыкладанняў, асноўныя тыпы і вектары нападаў, зоны рызыкі і прабелы ў кіберабароне вэб-прыкладанняў, а таксама сусветны досвед і лепшыя практыкі прадстаўлены ў даследаванні і справаздачы Radware “».
Крыніца: habr.com