Функционалността на съвременните системи за сигурност на приложенията (WAF) трябва да бъде много по-широка от списъка с уязвимости от Топ 10 на OWASP

Ретроспективен

Мащабът, съставът и съставът на киберзаплахите за приложенията се развиват бързо. В продължение на много години потребителите имат достъп до уеб приложения през Интернет, използвайки популярни уеб браузъри. Беше необходимо да се поддържат 2-5 уеб браузъра във всеки един момент, а наборът от стандарти за разработване и тестване на уеб приложения беше доста ограничен. Например, почти всички бази данни са изградени с помощта на SQL. За съжаление, след кратко време хакерите се научиха да използват уеб приложения за кражба, изтриване или промяна на данни. Те са получили незаконен достъп до и са злоупотребявали с възможностите на приложението, използвайки различни техники, включително измама на потребителите на приложението, инжектиране и дистанционно изпълнение на код. Скоро на пазара излязоха комерсиални инструменти за сигурност на уеб приложенията, наречени защитни стени на уеб приложения (WAF), и общността отговори, като създаде отворен проект за сигурност на уеб приложенията, Open Web Application Security Project (OWASP), за да дефинира и поддържа стандарти и методологии за разработка защитени приложения.

Основна защита на приложението

Топ 10 списък на OWASP е отправната точка за защита на приложенията и съдържа списък с най-опасните заплахи и неправилни конфигурации, които могат да доведат до уязвимости на приложенията, както и тактики за откриване и побеждаване на атаки. Топ 10 на OWASP е признат еталон в индустрията за киберсигурност на приложенията в световен мащаб и определя основния списък от възможности, които една система за сигурност на уеб приложения (WAF) трябва да има.

Освен това функционалността на WAF трябва да вземе предвид други често срещани атаки срещу уеб приложения, включително фалшифициране на заявки между сайтове (CSRF), кликване, уеб скрапинг и включване на файлове (RFI/LFI).

Заплахи и предизвикателства за осигуряване сигурността на съвременните приложения

Днес не всички приложения се реализират в мрежова версия. Има облачни приложения, мобилни приложения, API, а в най-новите архитектури дори персонализирани софтуерни функции. Всички тези видове приложения трябва да бъдат синхронизирани и контролирани, докато създават, променят и обработват нашите данни. С появата на нови технологии и парадигми възникват нови сложности и предизвикателства на всички етапи от жизнения цикъл на приложението. Това включва интегриране на разработки и операции (DevOps), контейнери, Интернет на нещата (IoT), инструменти с отворен код, API и др.

Разпределеното внедряване на приложения и разнообразието от технологии създава сложни и сложни предизвикателства не само за професионалистите по информационна сигурност, но и за доставчиците на решения за сигурност, които вече не могат да разчитат на унифициран подход. Мерките за сигурност на приложенията трябва да вземат предвид техните бизнес специфики, за да предотвратят фалшиви положителни резултати и нарушаване на качеството на услугите за потребителите.

Крайната цел на хакерите обикновено е или да откраднат данни, или да нарушат достъпността на услугите. Нападателите също се възползват от технологичната еволюция. Първо, развитието на нови технологии създава повече потенциални пропуски и уязвимости. Второ, те имат повече инструменти и знания в своя арсенал, за да заобиколят традиционните мерки за сигурност. Това значително увеличава така наречената „повърхност на атака“ и излагането на организациите на нови рискове. Политиките за сигурност трябва постоянно да се променят в отговор на промените в технологиите и приложенията.

По този начин приложенията трябва да бъдат защитени от все по-голямо разнообразие от методи и източници на атака, а автоматизираните атаки трябва да бъдат противодействани в реално време въз основа на информирани решения. Резултатът е повишени транзакционни разходи и ръчен труд, съчетани с отслабена позиция на сигурност.

Задача №1: Управление на ботове

Повече от 60% от интернет трафика се генерира от ботове, половината от които е „лош“ трафик (според Доклад за сигурността на Radware). Организациите инвестират в увеличаване на капацитета на мрежата, като по същество обслужват фиктивен товар. Точното разграничаване между реален потребителски трафик и трафик на ботове, както и „добри“ ботове (например търсачки и услуги за сравнение на цени) и „лоши“ ботове може да доведе до значителни икономии на разходи и подобрено качество на услугата за потребителите.

Ботовете няма да направят тази задача лесна и те могат да имитират поведението на реални потребители, да заобикалят CAPTCHA и други препятствия. Освен това, в случай на атаки, използващи динамични IP адреси, защитата, базирана на филтриране на IP адреси, става неефективна. Често инструменти за разработка с отворен код (например Phantom JS), които могат да обработват JavaScript от страна на клиента, се използват за стартиране на атаки с груба сила, атаки с пълнене на идентификационни данни, DDoS атаки и автоматизирани бот атаки.

За ефективно управление на трафика на бот е необходима уникална идентификация на неговия източник (като пръстов отпечатък). Тъй като атаката на бот генерира множество записи, неговият пръстов отпечатък му позволява да идентифицира подозрителна активност и да присвоява резултати, въз основа на които системата за защита на приложението взема информирано решение - блокиране/разрешаване - с минимален процент фалшиви положителни резултати.

Предизвикателство №2: Защита на API

Много приложения събират информация и данни от услуги, с които взаимодействат чрез API. Когато предават чувствителни данни чрез API, повече от 50% от организациите нито валидират, нито защитават API за откриване на кибератаки.

Примери за използване на API:

• Интеграция на Интернет на нещата (IoT).
• Комуникация машина-машина
• Безсървърни среди
• Мобилни Apps
• Приложения, управлявани от събития

Уязвимостите на API са подобни на уязвимостите на приложенията и включват инжекции, атаки на протоколи, манипулиране на параметри, пренасочвания и бот атаки. Специализираните API шлюзове помагат да се осигури съвместимост между услугите на приложенията, които взаимодействат чрез API. Въпреки това, те не осигуряват цялостна сигурност на приложението като WAF може с основни инструменти за сигурност, като синтактичен анализ на HTTP заглавка, списък за контрол на достъпа на слой 7 (ACL), анализ и проверка на полезния товар на JSON/XML и защита срещу всички уязвимости от Списък на OWASP Топ 10. Това се постига чрез проверка на ключови стойности на API с помощта на положителни и отрицателни модели.

Предизвикателство #3: Отказ от услуга

Стар вектор на атака, отказ на услуга (DoS), продължава да доказва своята ефективност при атакуване на приложения. Нападателите разполагат с набор от успешни техники за прекъсване на услугите на приложенията, включително HTTP или HTTPS наводнения, атаки с ниска и бавна скорост (напр. SlowLoris, LOIC, Torshammer), атаки, използващи динамични IP адреси, препълване на буфер, атаки с груба сила и много други . С развитието на Интернет на нещата и последвалата поява на IoT ботнети, атаките срещу приложения се превърнаха в основен фокус на DDoS атаките. Повечето WAF със състояние могат да се справят само с ограничено количество натоварване. Те обаче могат да проверяват потоците на HTTP/S трафик и да премахват трафика на атаки и злонамерените връзки. След като веднъж бъде идентифицирана атака, няма смисъл този трафик да се пропуска повторно. Тъй като капацитетът на WAF за отблъскване на атаки е ограничен, необходимо е допълнително решение в мрежовия периметър за автоматично блокиране на следващите „лоши“ пакети. За този сценарий на сигурност и двете решения трябва да могат да комуникират помежду си, за да обменят информация за атаки.

Фигура 1. Организация на цялостна защита на мрежата и приложенията на примера на Radware решения

Предизвикателство #4: Непрекъсната защита

Приложенията се променят често. Методологиите за разработване и внедряване, като непрекъснати актуализации, означават, че модификациите се извършват без човешка намеса или контрол. В такива динамични среди е трудно да се поддържат адекватно функциониращи политики за сигурност без голям брой фалшиви положителни резултати. Мобилните приложения се актуализират много по-често от уеб приложенията. Приложенията на трети страни може да се променят без ваше знание. Някои организации търсят по-голям контрол и видимост, за да бъдат в крак с потенциалните рискове. Това обаче не винаги е постижимо и надеждната защита на приложенията трябва да използва силата на машинното обучение, за да отчете и визуализира наличните ресурси, да анализира потенциални заплахи и да създаде и оптимизира политики за сигурност в случай на модификации на приложението.

Данни

Тъй като приложенията играят все по-важна роля в ежедневието, те стават основна мишена за хакерите. Потенциалните награди за престъпниците и потенциалните загуби за бизнеса са огромни. Сложността на задачата за сигурност на приложението не може да бъде надценена предвид броя и вариациите на приложенията и заплахите.

За щастие се намираме в момент, в който изкуственият интелект може да ни се притече на помощ. Алгоритмите, базирани на машинно обучение, осигуряват адаптивна защита в реално време срещу най-модерните кибер заплахи, насочени към приложения. Те също така автоматично актуализират правилата за сигурност, за да защитят уеб, мобилните и облачните приложения – и API – без фалшиви положителни резултати.

Трудно е да се предвиди със сигурност какво ще бъде следващото поколение киберзаплахи за приложения (вероятно също базирани на машинно обучение). Но организациите със сигурност могат да предприемат стъпки за защита на клиентските данни, защита на интелектуалната собственост и осигуряване на наличност на услугата с големи ползи за бизнеса.

Ефективни подходи и методи за гарантиране на сигурността на приложенията, основните типове и вектори на атаки, рискови зони и пропуски в киберзащитата на уеб приложенията, както и глобален опит и най-добри практики са представени в изследването и доклада на Radware “Сигурност на уеб приложенията в дигитално свързан свят".

Източник: www.habr.com