Π€ΡƒΠ½ΠΊΡ†ΠΈΠΎΠ½Π°Π» соврСмСнных систСм Π·Π°Ρ‰ΠΈΡ‚Ρ‹ ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ (WAF) Π΄ΠΎΠ»ΠΆΠ΅Π½ Π±Ρ‹Ρ‚ΡŒ Π³ΠΎΡ€Π°Π·Π΄ΠΎ ΡˆΠΈΡ€Π΅ списка уязвимостСй ΠΈΠ· OWASP Π’ΠΎΠΏ 10

РСтроспСктива

ΠœΠ°ΡΡˆΡ‚Π°Π±, состав ΠΈ структура ΠΊΠΈΠ±Π΅Ρ€ΡƒΠ³Ρ€ΠΎΠ· для ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ быстро ΡΠ²ΠΎΠ»ΡŽΡ†ΠΈΠΎΠ½ΠΈΡ€ΡƒΡŽΡ‚. Π”ΠΎΠ»Π³ΠΈΠ΅ Π³ΠΎΠ΄Ρ‹ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»ΠΈ ΠΏΠΎΠ»ΡƒΡ‡Π°Π»ΠΈ доступ ΠΊ Π²Π΅Π±-прилоТСниям Ρ‡Π΅Ρ€Π΅Π· ΠΈΠ½Ρ‚Π΅Ρ€Π½Π΅Ρ‚ с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ популярных Π²Π΅Π±-Π±Ρ€Π°ΡƒΠ·Π΅Ρ€ΠΎΠ². Π’ ΠΊΠ°ΠΆΠ΄Ρ‹ΠΉ ΠΌΠΎΠΌΠ΅Π½Ρ‚ Π²Ρ€Π΅ΠΌΠ΅Π½ΠΈ Π±Ρ‹Π»ΠΎ Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΠΎ ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΈΠ²Π°Ρ‚ΡŒ 2-5 Π²Π΅Π±-Π±Ρ€Π°ΡƒΠ·Π΅Ρ€ΠΎΠ², ΠΈ Π½Π°Π±ΠΎΡ€ стандартов Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚ΠΊΠΈ ΠΈ тСстирования Π²Π΅Π±-ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ Π±Ρ‹Π» Π² достаточной стСпСни ΠΎΠ³Ρ€Π°Π½ΠΈΡ‡Π΅Π½. НапримСр, ΠΏΠΎΡ‡Ρ‚ΠΈ всС Π±Π°Π·Ρ‹ Π΄Π°Π½Π½Ρ‹Ρ… Π±Ρ‹Π»ΠΈ построСны с использованиСм SQL. К соТалСнию, спустя Π½Π΅Π΄ΠΎΠ»Π³ΠΎΠ΅ врСмя, Ρ…Π°ΠΊΠ΅Ρ€Ρ‹ Π½Π°ΡƒΡ‡ΠΈΠ»ΠΈΡΡŒ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒ Π²Π΅Π±-прилоТСния для ΠΊΡ€Π°ΠΆΠΈ, удалСния ΠΈΠ»ΠΈ измСнСния Π΄Π°Π½Π½Ρ‹Ρ…. Они ΠΏΠΎΠ»ΡƒΡ‡Π°Π»ΠΈ Π½Π΅Π·Π°ΠΊΠΎΠ½Π½Ρ‹ΠΉ доступ ΠΈ злоупотрСбляли возмоТностями ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ с использованиСм Ρ€Π°Π·Π»ΠΈΡ‡Π½Ρ‹Ρ… ΠΏΡ€ΠΈΠ΅ΠΌΠΎΠ², Π²ΠΊΠ»ΡŽΡ‡Π°Ρ ΠΎΠ±ΠΌΠ°Π½ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΉ ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ, Π²Π½Π΅Π΄Ρ€Π΅Π½ΠΈΠ΅ ΠΈ ΡƒΠ΄Π°Π»Π΅Π½Π½ΡƒΡŽ ΠΎΡ‚Ρ€Π°Π±ΠΎΡ‚ΠΊΡƒ ΠΊΠΎΠ΄Π°. ВскорС Π½Π° Ρ€Ρ‹Π½ΠΊΠ΅ появились коммСрчСскиС срСдства Π·Π°Ρ‰ΠΈΡ‚Ρ‹ Π²Π΅Π±-ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ, Π½Π°Π·Π²Π°Π½Π½Ρ‹Π΅ Web Application Firewalls (WAF), Π° общСство ΠΎΡ‚Ρ€Π΅Π°Π³ΠΈΡ€ΠΎΠ²Π°Π»ΠΎ созданиСм ΠΎΡ‚ΠΊΡ€Ρ‹Ρ‚ΠΎΠ³ΠΎ ΠΏΡ€ΠΎΠ΅ΠΊΡ‚Π° для обСспСчСния бСзопасности Π²Π΅Π±-ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ, Open Web Application Security Project (OWASP), с Ρ†Π΅Π»ΡŒΡŽ опрСдСлСния ΠΈ поддСрТания стандартов ΠΈ ΠΌΠ΅Ρ‚ΠΎΠ΄ΠΎΠ»ΠΎΠ³ΠΈΠΉ Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚ΠΊΠΈ бСзопасных ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ.

Базовая Π·Π°Ρ‰ΠΈΡ‚Π° ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ

Бписок OWASP Π’ΠΎΠΏ 10 являСтся ΠΎΡ‚ΠΏΡ€Π°Π²Π½ΠΎΠΉ Ρ‚ΠΎΡ‡ΠΊΠΎΠΉ обСспСчСния Π·Π°Ρ‰ΠΈΡ‚Ρ‹ ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ ΠΈ содСрТит ΠΏΠ΅Ρ€Π΅Ρ‡Π΅Π½ΡŒ самых опасных ΡƒΠ³Ρ€ΠΎΠ· ΠΈ Π½Π΅ΠΏΡ€Π°Π²ΠΈΠ»ΡŒΠ½Ρ‹Ρ… настроСк, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΌΠΎΠ³ΡƒΡ‚ привСсти ΠΊ уязвимостям ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ, Π° Ρ‚Π°ΠΊΠΆΠ΅ Ρ‚Π°ΠΊΡ‚ΠΈΠΊ обнаруТСния ΠΈ отраТСния Π°Ρ‚Π°ΠΊ. OWASP Π’ΠΎΠΏ 10 являСтся ΠΏΡ€ΠΈΠ·Π½Π°Π½Π½Ρ‹ΠΌ ΠΎΡ€ΠΈΠ΅Π½Ρ‚ΠΈΡ€ΠΎΠΌ Π² индустрии кибСрбСзопасности ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ Π²ΠΎ всСм ΠΌΠΈΡ€Π΅ ΠΈ опрСдСляСт Π±Π°Π·ΠΎΠ²Ρ‹ΠΉ список возмоТностСй, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΌ Π΄ΠΎΠ»ΠΆΠ½Π° ΠΎΠ±Π»Π°Π΄Π°Ρ‚ΡŒ систСма Π·Π°Ρ‰ΠΈΡ‚Ρ‹ Π²Π΅Π±-ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ (WAF).

ΠšΡ€ΠΎΠΌΠ΅ Ρ‚ΠΎΠ³ΠΎ, Ρ„ΡƒΠ½ΠΊΡ†ΠΈΠΎΠ½Π°Π» WAF Π΄ΠΎΠ»ΠΆΠ΅Π½ ΡƒΡ‡ΠΈΡ‚Ρ‹Π²Π°Ρ‚ΡŒ Π΄Ρ€ΡƒΠ³ΠΈΠ΅ распространСнныС Π°Ρ‚Π°ΠΊΠΈ Π½Π° Π²Π΅Π±-прилоТСния, Π²ΠΊΠ»ΡŽΡ‡Π°Ρ ΠΏΠΎΠ΄Π΄Π΅Π»ΠΊΡƒ мСТсайтовых запросов (CSRF), ΠΊΠ»ΠΈΠΊΠ΄ΠΆΠ΅ΠΊΠΈΠ½Π³ (Clickjacking), Π²Π΅Π±-скрапинг (web scraping) ΠΈ Π²ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΠ΅ Ρ„Π°ΠΉΠ»ΠΎΠ² (RFI/LFI).

Π£Π³Ρ€ΠΎΠ·Ρ‹ ΠΈ Π·Π°Π΄Π°Ρ‡ΠΈ обСспСчСния бСзопасности соврСмСнных ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ

На сСгодняшний дСнь Π΄Π°Π»Π΅ΠΊΠΎ Π½Π΅ всС прилоТСния исполнСны Π² сСтСвом Π²Π°Ρ€ΠΈΠ°Π½Ρ‚Π΅. Π‘ΡƒΡ‰Π΅ΡΡ‚Π²ΡƒΡŽΡ‚ ΠΎΠ±Π»Π°Ρ‡Π½Ρ‹Π΅ прилоТСния, ΠΌΠΎΠ±ΠΈΠ»ΡŒΠ½Ρ‹Π΅ прилоТСния, API, Π° Π² Π½ΠΎΠ²Π΅ΠΉΡˆΠΈΡ… Π°Ρ€Ρ…ΠΈΡ‚Π΅ΠΊΡ‚ΡƒΡ€Π°Ρ… Π΄Π°ΠΆΠ΅ ΠΈΠ½Π΄ΠΈΠ²ΠΈΠ΄ΡƒΠ°Π»ΡŒΠ½Ρ‹Π΅ ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΠ½Ρ‹Π΅ Ρ„ΡƒΠ½ΠΊΡ†ΠΈΠΈ. ВсС эти Π²ΠΈΠ΄Ρ‹ ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΠΎ ΡΠΈΠ½Ρ…Ρ€ΠΎΠ½ΠΈΠ·ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ ΠΈ ΠΊΠΎΠ½Ρ‚Ρ€ΠΎΠ»ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ, ΠΏΠΎΡΠΊΠΎΠ»ΡŒΠΊΡƒ ΠΎΠ½ΠΈ ΡΠΎΠ·Π΄Π°ΡŽΡ‚, ΠΈΠ·ΠΌΠ΅Π½ΡΡŽΡ‚ ΠΈ ΠΎΠ±Ρ€Π°Π±Π°Ρ‚Ρ‹Π²Π°ΡŽΡ‚ наши Π΄Π°Π½Π½Ρ‹Π΅. Π‘ появлСниСм Π½ΠΎΠ²Ρ‹Ρ… Ρ‚Π΅Ρ…Π½ΠΎΠ»ΠΎΠ³ΠΈΠΉ ΠΈ ΠΏΠ°Ρ€Π°Π΄ΠΈΠ³ΠΌ Π²ΠΎΠ·Π½ΠΈΠΊΠ°ΡŽΡ‚ Π½ΠΎΠ²Ρ‹Π΅ слоТности ΠΈ Π·Π°Π΄Π°Ρ‡ΠΈ Π½Π° всСх этапах ΠΆΠΈΠ·Π½Π΅Π½Π½ΠΎΠ³ΠΎ Ρ†ΠΈΠΊΠ»Π° ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ. Π­Ρ‚ΠΎ Π²ΠΊΠ»ΡŽΡ‡Π°Π΅Ρ‚ ΠΈΠ½Ρ‚Π΅Π³Ρ€Π°Ρ†ΠΈΡŽ Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚ΠΊΠΈ ΠΈ эксплуатации (DevOps), ΠΊΠΎΠ½Ρ‚Π΅ΠΉΠ½Π΅Ρ€Ρ‹, Π˜Π½Ρ‚Π΅Ρ€Π½Π΅Ρ‚ Π²Π΅Ρ‰Π΅ΠΉ (IoT), инструмСнты с ΠΎΡ‚ΠΊΡ€Ρ‹Ρ‚Ρ‹ΠΌ исходным ΠΊΠΎΠ΄ΠΎΠΌ, API ΠΈ Π΄Ρ€.

РаспрСдСлСнноС Ρ€Π°Π·ΠΌΠ΅Ρ‰Π΅Π½ΠΈΠ΅ ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ ΠΈ Ρ€Π°Π·Π½ΠΎΠΎΠ±Ρ€Π°Π·ΠΈΠ΅ Ρ‚Π΅Ρ…Π½ΠΎΠ»ΠΎΠ³ΠΈΠΉ создаСт слоТныС ΠΈ комплСксныС Π·Π°Π΄Π°Ρ‡ΠΈ Π½Π΅ Ρ‚ΠΎΠ»ΡŒΠΊΠΎ для спСциалистов ΠΏΠΎ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΎΠ½Π½ΠΎΠΉ бСзопасности, Π½ΠΎ ΠΈ для ΠΏΡ€ΠΎΠΈΠ·Π²ΠΎΠ΄ΠΈΡ‚Π΅Π»Π΅ΠΉ Ρ€Π΅ΡˆΠ΅Π½ΠΈΠΉ бСзопасности, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ большС Π½Π΅ ΠΌΠΎΠ³ΡƒΡ‚ ΠΏΠΎΠ»Π°Π³Π°Ρ‚ΡŒΡΡ Π½Π° ΡƒΠ½ΠΈΡ„ΠΈΡ†ΠΈΡ€ΠΎΠ²Π°Π½Π½Ρ‹ΠΉ ΠΏΠΎΠ΄Ρ…ΠΎΠ΄. БрСдства Π·Π°Ρ‰ΠΈΡ‚Ρ‹ ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ Π΄ΠΎΠ»ΠΆΠ½Ρ‹ ΡƒΡ‡ΠΈΡ‚Ρ‹Π²Π°Ρ‚ΡŒ ΠΈΡ… бизнСс-спСцифику для прСдотвращСния ΠΎΡˆΠΈΠ±ΠΎΡ‡Π½Ρ‹Ρ… срабатываний ΠΈ Π½Π°Ρ€ΡƒΡˆΠ΅Π½ΠΈΡ качСства сСрвисов для ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΉ.

ΠšΠΎΠ½Π΅Ρ‡Π½ΠΎΠΉ Ρ†Π΅Π»ΡŒΡŽ Ρ…Π°ΠΊΠ΅Ρ€ΠΎΠ² ΠΎΠ±Ρ‹Ρ‡Π½ΠΎ ΡΠ²Π»ΡΡŽΡ‚ΡΡ Π»ΠΈΠ±ΠΎ ΠΊΡ€Π°ΠΆΠ° Π΄Π°Π½Π½Ρ‹Ρ…, Π»ΠΈΠ±ΠΎ Π½Π°Ρ€ΡƒΡˆΠ΅Π½ΠΈΠ΅ доступности сСрвисов. Π—Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠΈ Ρ‚ΠΎΠΆΠ΅ ΠΏΠΎΠ»ΡƒΡ‡Π°ΡŽΡ‚ прСимущСства Π² Ρ…ΠΎΠ΄Π΅ тСхнологичСской ΡΠ²ΠΎΠ»ΡŽΡ†ΠΈΠΈ. Π’ΠΎ-ΠΏΠ΅Ρ€Π²Ρ‹Ρ…, Ρ€Π°Π·Π²ΠΈΡ‚ΠΈΠ΅ Π½ΠΎΠ²Ρ‹Ρ… Ρ‚Π΅Ρ…Π½ΠΎΠ»ΠΎΠ³ΠΈΠΉ создаСт большС ΠΏΠΎΡ‚Π΅Π½Ρ†ΠΈΠ°Π»ΡŒΠ½Ρ‹Ρ… Π±Ρ€Π΅ΡˆΠ΅ΠΉ ΠΈ уязвимостСй. Π’ΠΎ-Π²Ρ‚ΠΎΡ€Ρ‹Ρ…, Π² ΠΈΡ… арсСналС появляСтся большС инструмСнтов ΠΈ Π·Π½Π°Π½ΠΈΠΉ для ΠΎΠ±Ρ…ΠΎΠ΄Π° Ρ‚Ρ€Π°Π΄ΠΈΡ†ΠΈΠΎΠ½Π½Ρ‹Ρ… срСдств Π·Π°Ρ‰ΠΈΡ‚Ρ‹. Π­Ρ‚ΠΎ Π½Π°ΠΌΠ½ΠΎΠ³ΠΎ ΡƒΠ²Π΅Π»ΠΈΡ‡ΠΈΠ²Π°Π΅Ρ‚ Ρ‚Π°ΠΊ Π½Π°Π·Ρ‹Π²Π°Π΅ΠΌΡƒΡŽ Β«ΠΏΠΎΠ²Π΅Ρ€Ρ…Π½ΠΎΡΡ‚ΡŒ Π°Ρ‚Π°ΠΊΠΈΒ» ΠΈ ΠΏΠΎΠ΄Π²Π΅Ρ€ΠΆΠ΅Π½Π½ΠΎΡΡ‚ΡŒ ΠΎΡ€Π³Π°Π½ΠΈΠ·Π°Ρ†ΠΈΠΉ Π½ΠΎΠ²Ρ‹ΠΌ рискам. ΠŸΠΎΠ»ΠΈΡ‚ΠΈΠΊΠΈ бСзопасности Π΄ΠΎΠ»ΠΆΠ½Ρ‹ постоянно ΠΈΠ·ΠΌΠ΅Π½ΡΡ‚ΡŒΡΡ вслСд Π·Π° измСнСниями Π² тСхнологиях ΠΈ прилоТСниях.

Π’Π°ΠΊΠΈΠΌ ΠΎΠ±Ρ€Π°Π·ΠΎΠΌ, прилоТСния Π΄ΠΎΠ»ΠΆΠ½Ρ‹ Π±Ρ‹Ρ‚ΡŒ Π·Π°Ρ‰ΠΈΡ‰Π΅Π½Ρ‹ ΠΎΡ‚ постоянно растущСго многообразия ΠΌΠ΅Ρ‚ΠΎΠ΄ΠΎΠ² ΠΈ источников Π°Ρ‚Π°ΠΊ, Π° ΠΎΡ‚Ρ€Π°ΠΆΠ΅Π½ΠΈΠ΅ автоматичСских Π°Ρ‚Π°ΠΊ Π΄ΠΎΠ»ΠΆΠ½ΠΎ ΠΎΡΡƒΡ‰Π΅ΡΡ‚Π²Π»ΡΡ‚ΡŒΡΡ Π² Ρ€Π΅Π°Π»ΡŒΠ½ΠΎΠΌ Π²Ρ€Π΅ΠΌΠ΅Π½ΠΈ Π½Π° основС ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠΈΡ€ΠΎΠ²Π°Π½Π½Ρ‹Ρ… Ρ€Π΅ΡˆΠ΅Π½ΠΈΠΉ. Π’ Ρ€Π΅Π·ΡƒΠ»ΡŒΡ‚Π°Ρ‚Π΅ ΡƒΠ²Π΅Π»ΠΈΡ‡ΠΈΠ²Π°ΡŽΡ‚ΡΡ ΠΎΠΏΠ΅Ρ€Π°Ρ†ΠΈΠΎΠ½Π½Ρ‹Π΅ ΠΈΠ·Π΄Π΅Ρ€ΠΆΠΊΠΈ ΠΈ Ρ€ΡƒΡ‡Π½ΠΎΠΉ Ρ‚Ρ€ΡƒΠ΄ Π½Π° Ρ„ΠΎΠ½Π΅ ослаблСнных ΠΏΠΎΠ·ΠΈΡ†ΠΈΠΉ Π² бСзопасности.

Π—Π°Π΄Π°Ρ‡Π° β„–1: Π£ΠΏΡ€Π°Π²Π»Π΅Π½ΠΈΠ΅ Π±ΠΎΡ‚Π°ΠΌΠΈ

Π‘ΠΎΠ»Π΅Π΅ 60% ΠΈΠ½Ρ‚Π΅Ρ€Π½Π΅Ρ‚-Ρ‚Ρ€Π°Ρ„ΠΈΠΊΠ° гСнСрируСтся Π±ΠΎΡ‚Π°ΠΌΠΈ, ΠΏΠΎΠ»ΠΎΠ²ΠΈΠ½Π° ΠΈΠ· ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠ³ΠΎ относится ΠΊ Β«ΠΏΠ»ΠΎΡ…ΠΎΠΌΡƒΒ» Ρ‚Ρ€Π°Ρ„ΠΈΠΊΡƒ (согласно Π΄Π°Π½Π½Ρ‹ΠΌ ΠΎΡ‚Ρ‡Π΅Ρ‚Π° ΠΏΠΎ бСзопасности Radware). ΠžΡ€Π³Π°Π½ΠΈΠ·Π°Ρ†ΠΈΠΈ ΠΈΠ½Π²Π΅ΡΡ‚ΠΈΡ€ΡƒΡŽΡ‚ Π² ΡƒΠ²Π΅Π»ΠΈΡ‡Π΅Π½ΠΈΠ΅ пропускной способности сСти, ΠΏΠΎ сути, обслуТивая Ρ„ΠΈΠΊΡ‚ΠΈΠ²Π½ΡƒΡŽ Π½Π°Π³Ρ€ΡƒΠ·ΠΊΡƒ. Π’ΠΎΡ‡Π½ΠΎΠ΅ Ρ€Π°Π·Π³Ρ€Π°Π½ΠΈΡ‡Π΅Π½ΠΈΠ΅ ΠΌΠ΅ΠΆΠ΄Ρƒ Ρ€Π΅Π°Π»ΡŒΠ½Ρ‹ΠΌ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»ΡŒΡΠΊΠΈΠΌ Ρ‚Ρ€Π°Ρ„ΠΈΠΊΠΎΠΌ ΠΈ Ρ‚Ρ€Π°Ρ„ΠΈΠΊΠΎΠΌ Π±ΠΎΡ‚ΠΎΠ², Π° Ρ‚Π°ΠΊΠΆΠ΅ Β«Ρ…ΠΎΡ€ΠΎΡˆΠΈΠΌΠΈΒ» Π±ΠΎΡ‚Π°ΠΌΠΈ (Π½Π°ΠΏΡ€ΠΈΠΌΠ΅Ρ€, поисковыС Ρ€ΠΎΠ±ΠΎΡ‚Ρ‹ ΠΈ сСрвисы сравнСния Ρ†Π΅Π½) ΠΈ Β«ΠΏΠ»ΠΎΡ…ΠΈΠΌΠΈΒ» Π±ΠΎΡ‚Π°ΠΌΠΈ ΠΌΠΎΠΆΠ΅Ρ‚ Π²Ρ‹Ρ€Π°Π·ΠΈΡ‚ΡŒΡΡ Π² Π·Π½Π°Ρ‡ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎΠΉ экономии срСдств ΠΈ ΠΏΠΎΠ²Ρ‹ΡˆΠ΅Π½ΠΈΠΈ качСства сСрвисов для ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΉ.

Π‘ΠΎΡ‚Ρ‹ Π½Π΅ ΡΠΎΠ±ΠΈΡ€Π°ΡŽΡ‚ΡΡ ΠΎΠ±Π»Π΅Π³Ρ‡Π°Ρ‚ΡŒ эту Π·Π°Π΄Π°Ρ‡Ρƒ, ΠΈ ΠΎΠ½ΠΈ ΠΌΠΎΠ³ΡƒΡ‚ ΠΈΠΌΠΈΡ‚ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ ΠΏΠΎΠ²Π΅Π΄Π΅Π½ΠΈΠ΅ Ρ€Π΅Π°Π»ΡŒΠ½Ρ‹Ρ… ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΉ, ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΡ‚ΡŒ CAPTCHA ΠΈ Π΄Ρ€ΡƒΠ³ΠΈΠ΅ прСпятствия. Π‘ΠΎΠ»Π΅Π΅ Ρ‚ΠΎΠ³ΠΎ, Π² случаС Π°Ρ‚Π°ΠΊ с использованиСм динамичСских IP-адрСсов Π·Π°Ρ‰ΠΈΡ‚Π° Π½Π° основС Ρ„ΠΈΠ»ΡŒΡ‚Ρ€Π°Ρ†ΠΈΠΈ ΠΏΠΎ IP-адрСсу становится нСэффСктивной. Π—Π°Ρ‡Π°ΡΡ‚ΡƒΡŽ, срСдства Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚ΠΊΠΈ с ΠΎΡ‚ΠΊΡ€Ρ‹Ρ‚Ρ‹ΠΌ исходным ΠΊΠΎΠ΄ΠΎΠΌ (для ΠΏΡ€ΠΈΠΌΠ΅Ρ€Π°, Phantom JS), ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΌΠΎΠ³ΡƒΡ‚ ΠΎΡ‚Ρ€Π°Π±Π°Ρ‚Ρ‹Π²Π°Ρ‚ΡŒ клиСнтский JavaScript, ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡŽΡ‚ΡΡ для запуска брутфорс-Π°Ρ‚Π°ΠΊ (brute-force), стаффинг-Π°Ρ‚Π°ΠΊ (credential stuffing), DDoS-Π°Ρ‚Π°ΠΊ ΠΈ автоматичСских Π±ΠΎΡ‚-Π°Ρ‚Π°ΠΊ.

Для эффСктивного управлСния Ρ‚Ρ€Π°Ρ„ΠΈΠΊΠΎΠΌ Π±ΠΎΡ‚ΠΎΠ² трСбуСтся ΡƒΠ½ΠΈΠΊΠ°Π»ΡŒΠ½Π°Ρ идСнтификация Π΅Π³ΠΎ источника (ΠΊΠ°ΠΊ ΠΎΡ‚ΠΏΠ΅Ρ‡Π°Ρ‚ΠΎΠΊ ΠΏΠ°Π»ΡŒΡ†Π°). ΠŸΠΎΡΠΊΠΎΠ»ΡŒΠΊΡƒ Π² случаС Π±ΠΎΡ‚-Π°Ρ‚Π°ΠΊΠΈ Π²ΠΎΠ·Π½ΠΈΠΊΠ°Π΅Ρ‚ мноТСство записСй, Π΅Π΅ ΠΎΡ‚ΠΏΠ΅Ρ‡Π°Ρ‚ΠΎΠΊ позволяСт Π²Ρ‹ΡΠ²Π»ΡΡ‚ΡŒ ΠΏΠΎΠ΄ΠΎΠ·Ρ€ΠΈΡ‚Π΅Π»ΡŒΠ½ΡƒΡŽ Π°ΠΊΡ‚ΠΈΠ²Π½ΠΎΡΡ‚ΡŒ ΠΈ ΠΏΡ€ΠΈΡΠ²Π°ΠΈΠ²Π°Ρ‚ΡŒ Π±Π°Π»Π»Ρ‹, Π½Π° основС ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Ρ… систСма Π·Π°Ρ‰ΠΈΡ‚Ρ‹ ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ ΠΏΡ€ΠΈΠ½ΠΈΠΌΠ°Π΅Ρ‚ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠΈΡ€ΠΎΠ²Π°Π½Π½ΠΎΠ΅ Ρ€Π΅ΡˆΠ΅Π½ΠΈΠ΅ – Π±Π»ΠΎΠΊΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ/Ρ€Π°Π·Ρ€Π΅ΡˆΠΈΡ‚ΡŒ – с ΠΌΠΈΠ½ΠΈΠΌΠ°Π»ΡŒΠ½Ρ‹ΠΌ ΠΏΠΎΠΊΠ°Π·Π°Ρ‚Π΅Π»Π΅ΠΌ Π»ΠΎΠΆΠ½ΠΎΠΏΠΎΠ»ΠΎΠΆΠΈΡ‚Π΅Π»ΡŒΠ½Ρ‹Ρ… Ρ€Π΅Π·ΡƒΠ»ΡŒΡ‚Π°Ρ‚ΠΎΠ².

Π€ΡƒΠ½ΠΊΡ†ΠΈΠΎΠ½Π°Π» соврСмСнных систСм Π·Π°Ρ‰ΠΈΡ‚Ρ‹ ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ (WAF) Π΄ΠΎΠ»ΠΆΠ΅Π½ Π±Ρ‹Ρ‚ΡŒ Π³ΠΎΡ€Π°Π·Π΄ΠΎ ΡˆΠΈΡ€Π΅ списка уязвимостСй ΠΈΠ· OWASP Π’ΠΎΠΏ 10

Π—Π°Π΄Π°Ρ‡Π° β„–2: Π—Π°Ρ‰ΠΈΡ‚Π° API

МногиС прилоТСния ΡΠΎΠ±ΠΈΡ€Π°ΡŽΡ‚ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΡŽ ΠΈ Π΄Π°Π½Π½Ρ‹Π΅ ΠΎΡ‚ сСрвисов, с ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΌΠΈ ΠΎΠ½ΠΈ Π²Π·Π°ΠΈΠΌΠΎΠ΄Π΅ΠΉΡΡ‚Π²ΡƒΡŽΡ‚ Ρ‡Π΅Ρ€Π΅Π· API. ΠŸΡ€ΠΈ ΠΏΠ΅Ρ€Π΅Π΄Π°Ρ‡Π΅ ΠΊΠΎΠ½Ρ„ΠΈΠ΄Π΅Π½Ρ†ΠΈΠ°Π»ΡŒΠ½Ρ‹Ρ… Π΄Π°Π½Π½Ρ‹Ρ… Ρ‡Π΅Ρ€Π΅Π· API Π±ΠΎΠ»Π΅ 50% ΠΎΡ€Π³Π°Π½ΠΈΠ·Π°Ρ†ΠΈΠΉ Π½Π΅ производят Π½ΠΈ ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΡƒ, Π½ΠΈ Π·Π°Ρ‰ΠΈΡ‚Ρƒ APIs для выявлСния ΠΊΠΈΠ±Π΅Ρ€Π°Ρ‚Π°ΠΊ.

ΠŸΡ€ΠΈΠΌΠ΅Ρ€Ρ‹ использования API:

  • Π˜Π½Ρ‚Π΅Π³Ρ€Π°Ρ†ΠΈΡ Π˜Π½Ρ‚Π΅Ρ€Π½Π΅Ρ‚Π° Π²Π΅Ρ‰Π΅ΠΉ (IoT)
  • МСТмашинноС взаимодСйствиС
  • БСссСрвСрныС срСды
  • ΠœΠΎΠ±ΠΈΠ»ΡŒΠ½Ρ‹Π΅ прилоТСния
  • УправляСмыС событиями прилоТСния

Уязвимости API ΠΏΠΎΡ…ΠΎΠΆΠΈ Π½Π° уязвимости ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ ΠΈ Π²ΠΊΠ»ΡŽΡ‡Π°ΡŽΡ‚ ΠΈΠ½ΡŠΠ΅ΠΊΡ†ΠΈΠΈ, Π°Ρ‚Π°ΠΊΠΈ Π½Π° ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ»Ρ‹, манипуляции ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€Π°ΠΌΠΈ, Ρ€Π΅Π΄ΠΈΡ€Π΅ΠΊΡ‚Ρ‹ ΠΈ Π°Ρ‚Π°ΠΊΠΈ Π±ΠΎΡ‚ΠΎΠ². Π’Ρ‹Π΄Π΅Π»Π΅Π½Π½Ρ‹Π΅ API ΡˆΠ»ΡŽΠ·Ρ‹ ΠΏΠΎΠ·Π²ΠΎΠ»ΡΡŽΡ‚ Π³Π°Ρ€Π°Π½Ρ‚ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ ΡΠΎΠ²ΠΌΠ΅ΡΡ‚ΠΈΠΌΠΎΡΡ‚ΡŒ сСрвисов ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ Π²Π·Π°ΠΈΠΌΠΎΠ΄Π΅ΠΉΡΡ‚Π²ΡƒΡŽΡ‚ Ρ‡Π΅Ρ€Π΅Π· API. Однако ΠΎΠ½ΠΈ Π½Π΅ ΠΎΠ±Π΅ΡΠΏΠ΅Ρ‡ΠΈΠ²Π°ΡŽΡ‚ ΡΠΊΠ²ΠΎΠ·Π½ΡƒΡŽ Π±Π΅Π·ΠΎΠΏΠ°ΡΠ½ΠΎΡΡ‚ΡŒ ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠ΅, ΠΊΠ°ΠΊ это позволяСт ΡΠ΄Π΅Π»Π°Ρ‚ΡŒ WAF c Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΡ‹ΠΌΠΈ инструмСнтами бСзопасности, Ρ‚Π°ΠΊΠΈΠΌΠΈ ΠΊΠ°ΠΊ парсинг HTTP-Π·Π°Π³ΠΎΠ»ΠΎΠ²ΠΊΠΎΠ², список управлСния доступом Layer 7 (ACL), парсинг ΠΈ ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠ° ΠΏΠΎΠ»Π΅Π·Π½ΠΎΠΉ Π½Π°Π³Ρ€ΡƒΠ·ΠΊΠΈ JSON/XML, Π° Ρ‚Π°ΠΊΠΆΠ΅ Π·Π°Ρ‰ΠΈΡ‚ΠΎΠΉ ΠΎΡ‚ всСх уязвимостСй ΠΈΠ· списка OWASP Π’ΠΎΠΏ 10. Π­Ρ‚ΠΎ достигаСтся Π·Π° счСт инспСкции ΠΊΠ»ΡŽΡ‡Π΅Π²Ρ‹Ρ… Π·Π½Π°Ρ‡Π΅Π½ΠΈΠΉ API с использованиСм ΠΏΠΎΠ·ΠΈΡ‚ΠΈΠ²Π½ΠΎΠΉ ΠΈ Π½Π΅Π³Π°Ρ‚ΠΈΠ²Π½ΠΎΠΉ ΠΌΠΎΠ΄Π΅Π»Π΅ΠΉ.

Π—Π°Π΄Π°Ρ‡Π° β„–3: ΠžΡ‚ΠΊΠ°Π· Π² обслуТивании

Π‘Ρ‚Π°Ρ€Ρ‹ΠΉ Π²Π΅ΠΊΡ‚ΠΎΡ€ Π°Ρ‚Π°ΠΊ β€” ΠΎΡ‚ΠΊΠ°Π· Π² обслуТивании (DoS) β€” ΠΏΡ€ΠΎΠ΄ΠΎΠ»ΠΆΠ°Π΅Ρ‚ Π΄ΠΎΠΊΠ°Π·Ρ‹Π²Π°Ρ‚ΡŒ свою ΡΡ„Ρ„Π΅ΠΊΡ‚ΠΈΠ²Π½ΠΎΡΡ‚ΡŒ Π² Π°Ρ‚Π°ΠΊΠ°Ρ… Π½Π° прилоТСния. Π—Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠΈ Ρ€Π°ΡΠΏΠΎΠ»Π°Π³Π°ΡŽΡ‚ Ρ†Π΅Π»Ρ‹ΠΌ Π½Π°Π±ΠΎΡ€ΠΎΠΌ ΡƒΡΠΏΠ΅ΡˆΠ½Ρ‹Ρ… Ρ‚Π΅Ρ…Π½ΠΈΠΊ Π½Π°Ρ€ΡƒΡˆΠ΅Π½ΠΈΡ Ρ€Π°Π±ΠΎΡ‚Ρ‹ сСрвисов ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ, Π²ΠΊΠ»ΡŽΡ‡Π°Ρ HTTP ΠΈΠ»ΠΈ HTTPS Ρ„Π»ΡƒΠ΄Ρ‹, ΠΌΠ°Π»ΠΎΠΌΠΎΡ‰Π½Ρ‹Π΅ ΠΈ ΠΌΠ΅Π΄Π»Π΅Π½Π½Ρ‹Π΅ Π°Ρ‚Π°ΠΊΠΈ (Β«low-and-slowΒ», Π½Π°ΠΏΡ€ΠΈΠΌΠ΅Ρ€ SlowLoris, LOIC, Torshammer), Π°Ρ‚Π°ΠΊΠΈ с использованиСм динамичСских IP-адрСсов, ΠΏΠ΅Ρ€Π΅ΠΏΠΎΠ»Π½Π΅Π½ΠΈΠ΅ Π±ΡƒΡ„Π΅Ρ€Π°, брутфорс-Π°Ρ‚Π°ΠΊΠΈ, ΠΈ ΠΌΠ½ΠΎΠ³ΠΈΠ΅ Π΄Ρ€ΡƒΠ³ΠΈΠ΅. Π‘ Ρ€Π°Π·Π²ΠΈΡ‚ΠΈΠ΅ΠΌ Π˜Π½Ρ‚Π΅Ρ€Π½Π΅Ρ‚Π° Π²Π΅Ρ‰Π΅ΠΉ ΠΈ послСдовавшим появлСниСм IoT-Π±ΠΎΡ‚Π½Π΅Ρ‚ΠΎΠ² Π°Ρ‚Π°ΠΊΠΈ Π½Π° прилоТСния стали основным Π½Π°ΠΏΡ€Π°Π²Π»Π΅Π½ΠΈΠ΅ΠΌ DDoS-Π°Ρ‚Π°ΠΊ. Π‘ΠΎΠ»ΡŒΡˆΠΈΠ½ΡΡ‚Π²ΠΎ WAF с отслСТиваниСм состояния соСдинСний ΠΌΠΎΠ³ΡƒΡ‚ ΠΏΡ€ΠΎΡ‚ΠΈΠ²ΠΎΡΡ‚ΠΎΡΡ‚ΡŒ Ρ‚ΠΎΠ»ΡŒΠΊΠΎ ΠΎΠ³Ρ€Π°Π½ΠΈΡ‡Π΅Π½Π½ΠΎΠΌΡƒ ΠΎΠ±ΡŠΡ‘ΠΌΡƒ Π½Π°Π³Ρ€ΡƒΠ·ΠΊΠΈ. Однако, ΠΎΠ½ΠΈ ΠΌΠΎΠ³ΡƒΡ‚ ΠΈΠ½ΡΠΏΠ΅ΠΊΡ‚ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ ΠΏΠΎΡ‚ΠΎΠΊΠΈ HTTP/S Ρ‚Ρ€Π°Ρ„ΠΈΠΊΠ° ΠΈ ΡƒΠ΄Π°Π»ΡΡ‚ΡŒ Ρ‚Ρ€Π°Ρ„ΠΈΠΊ Π°Ρ‚Π°ΠΊ ΠΈ врСдоносныС ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΡ. ПослС выявлСния Π°Ρ‚Π°ΠΊΠΈ Π½Π΅Ρ‚ смысла ΠΏΠΎΠ²Ρ‚ΠΎΡ€Π½ΠΎ ΠΏΡ€ΠΎΠΏΡƒΡΠΊΠ°Ρ‚ΡŒ этот Ρ‚Ρ€Π°Ρ„ΠΈΠΊ. ΠŸΠΎΡΠΊΠΎΠ»ΡŒΠΊΡƒ пропускная ΡΠΏΠΎΡΠΎΠ±Π½ΠΎΡΡ‚ΡŒ WAF для отраТСния Π°Ρ‚Π°ΠΊ ΠΎΠ³Ρ€Π°Π½ΠΈΡ‡Π΅Π½Π°, Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΠΎ Π΄ΠΎΠΏΠΎΠ»Π½ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎΠ΅ Ρ€Π΅ΡˆΠ΅Π½ΠΈΠ΅ Π½Π° ΠΏΠ΅Ρ€ΠΈΠΌΠ΅Ρ‚Ρ€Π΅ сСти для автоматичСского блокирования ΡΠ»Π΅Π΄ΡƒΡŽΡ‰ΠΈΠΉ Β«ΠΏΠ»ΠΎΡ…ΠΈΡ…Β» ΠΏΠ°ΠΊΠ΅Ρ‚ΠΎΠ². Для Π΄Π°Π½Π½ΠΎΠ³ΠΎ сцСнария Π·Π°Ρ‰ΠΈΡ‚Ρ‹ ΠΎΠ±Π° Ρ€Π΅ΡˆΠ΅Π½ΠΈΡ Π΄ΠΎΠ»ΠΆΠ½Ρ‹ ΠΈΠΌΠ΅Ρ‚ΡŒ ΡΠΏΠΎΡΠΎΠ±Π½ΠΎΡΡ‚ΡŒ Π²Π·Π°ΠΈΠΌΠΎΠ΄Π΅ΠΉΡΡ‚Π²ΠΎΠ²Π°Ρ‚ΡŒ ΠΌΠ΅ΠΆΠ΄Ρƒ собой для ΠΎΠ±ΠΌΠ΅Π½Π° ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠ΅ΠΉ ΠΎΠ± Π°Ρ‚Π°ΠΊΠ°Ρ….

Π€ΡƒΠ½ΠΊΡ†ΠΈΠΎΠ½Π°Π» соврСмСнных систСм Π·Π°Ρ‰ΠΈΡ‚Ρ‹ ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ (WAF) Π΄ΠΎΠ»ΠΆΠ΅Π½ Π±Ρ‹Ρ‚ΡŒ Π³ΠΎΡ€Π°Π·Π΄ΠΎ ΡˆΠΈΡ€Π΅ списка уязвимостСй ΠΈΠ· OWASP Π’ΠΎΠΏ 10
Рис 1. ΠžΡ€Π³Π°Π½ΠΈΠ·Π°Ρ†ΠΈΡ комплСксной Π·Π°Ρ‰ΠΈΡ‚Ρ‹ сСти ΠΈ ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ Π½Π° ΠΏΡ€ΠΈΠΌΠ΅Ρ€Π΅ Ρ€Π΅ΡˆΠ΅Π½ΠΈΠΉ Radware

Π—Π°Π΄Π°Ρ‡Π° β„–4: НСпрСрывная Π·Π°Ρ‰ΠΈΡ‚Π°

ΠŸΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΡ часто ΠΏΠΎΠ΄Π²Π΅Ρ€Π³Π°ΡŽΡ‚ΡΡ измСнСниям. ΠœΠ΅Ρ‚ΠΎΠ΄ΠΎΠ»ΠΎΠ³ΠΈΠΈ Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚ΠΊΠΈ ΠΈ внСдрСния, Ρ‚Π°ΠΊΠΈΠ΅ ΠΊΠ°ΠΊ Π½Π΅ΠΏΡ€Π΅Ρ€Ρ‹Π²Π½ΠΎΡΡ‚ΡŒ ΠΎΠ±Π½ΠΎΠ²Π»Π΅Π½ΠΈΠΉ, ΠΎΠ·Π½Π°Ρ‡Π°ΡŽΡ‚, Ρ‡Ρ‚ΠΎ ΠΌΠΎΠ΄ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ ΠΎΡΡƒΡ‰Π΅ΡΡ‚Π²Π»ΡΡŽΡ‚ΡΡ Π±Π΅Π· чСловСчСского участия ΠΈ контроля. Π’ Ρ‚Π°ΠΊΠΈΡ… динамичСских условиях слоТно ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΈΠ²Π°Ρ‚ΡŒ Π°Π΄Π΅ΠΊΠ²Π°Ρ‚Π½ΠΎ Ρ€Π°Π±ΠΎΡ‚Π°ΡŽΡ‰ΠΈΠ΅ ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΠΈ бСзопасности Π±Π΅Π· высокого числа Π»ΠΎΠΆΠ½ΠΎΠΏΠΎΠ»ΠΎΠΆΠΈΡ‚Π΅Π»ΡŒΠ½Ρ‹Ρ… срабатываний. ΠœΠΎΠ±ΠΈΠ»ΡŒΠ½Ρ‹Π΅ прилоТСния ΠΎΠ±Π½ΠΎΠ²Π»ΡΡŽΡ‚ΡΡ Π³ΠΎΡ€Π°Π·Π΄ΠΎ Ρ‡Π°Ρ‰Π΅ Π²Π΅Π±-ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ. ΠŸΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΡ сторонних ΠΏΡ€ΠΎΠΈΠ·Π²ΠΎΠ΄ΠΈΡ‚Π΅Π»Π΅ΠΉ ΠΌΠΎΠ³ΡƒΡ‚ ΠΈΠ·ΠΌΠ΅Π½ΠΈΡ‚ΡŒΡΡ Π±Π΅Π· вашСго Π²Π΅Π΄ΠΎΠΌΠ°. НСкоторыС ΠΎΡ€Π³Π°Π½ΠΈΠ·Π°Ρ†ΠΈΠΈ стрСмятся ΠΏΠΎΠ»ΡƒΡ‡ΠΈΡ‚ΡŒ больший ΠΊΠΎΠ½Ρ‚Ρ€ΠΎΠ»ΡŒ ΠΈ Π²ΠΈΠ·ΡƒΠ°Π»ΠΈΠ·Π°Ρ†ΠΈΡŽ, Ρ‡Ρ‚ΠΎΠ±Ρ‹ ΠΎΡΡ‚Π°Π²Π°Ρ‚ΡŒΡΡ Π² курсС ΠΏΠΎΡ‚Π΅Π½Ρ†ΠΈΠ°Π»ΡŒΠ½Ρ‹Ρ… рисков. Однако это Π½Π΅ всСгда достиТимо, ΠΈ надСТная Π·Π°Ρ‰ΠΈΡ‚Π° ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ Π΄ΠΎΠ»ΠΆΠ½Π° ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒ возмоТности машинного обучСния для ΡƒΡ‡Π΅Ρ‚Π° ΠΈ Π²ΠΈΠ·ΡƒΠ°Π»ΡŒΠ½ΠΎΠ³ΠΎ прСдставлСния ΠΈΠΌΠ΅ΡŽΡ‰ΠΈΡ…ΡΡ рСсурсов, Π°Π½Π°Π»ΠΈΠ·Π° ΠΏΠΎΡ‚Π΅Π½Ρ†ΠΈΠ°Π»ΡŒΠ½Ρ‹Ρ… ΡƒΠ³Ρ€ΠΎΠ·, создания ΠΈ ΠΎΠΏΡ‚ΠΈΠΌΠΈΠ·Π°Ρ†ΠΈΠΈ ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊ бСзопасности Π² случаС ΠΌΠΎΠ΄ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ.

Π’Ρ‹Π²ΠΎΠ΄Ρ‹

По ΠΌΠ΅Ρ€Π΅ Ρ‚ΠΎΠ³ΠΎ, ΠΊΠ°ΠΊ прилоТСния ΠΈΠ³Ρ€Π°ΡŽΡ‚ всС Π±ΠΎΠ»Π΅Π΅ ΠΈ Π±ΠΎΠ»Π΅Π΅ Π²Π°ΠΆΠ½ΡƒΡŽ Ρ€ΠΎΠ»ΡŒ Π² повсСднСвной ΠΆΠΈΠ·Π½ΠΈ, ΠΎΠ½ΠΈ становятся основной Ρ†Π΅Π»ΡŒΡŽ для Ρ…Π°ΠΊΠ΅Ρ€ΠΎΠ². ΠŸΠΎΡ‚Π΅Π½Ρ†ΠΈΠ°Π»ΡŒΠ½Ρ‹ΠΉ ΠΊΡƒΡˆ для Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠΎΠ² ΠΈ ΠΏΠΎΡ‚Π΅Π½Ρ†ΠΈΠ°Π»ΡŒΠ½Ρ‹Π΅ ΠΏΠΎΡ‚Π΅Ρ€ΠΈ для бизнСса ΠΎΠ³Ρ€ΠΎΠΌΠ½Ρ‹. Π‘Π»ΠΎΠΆΠ½ΠΎΡΡ‚ΡŒ Π·Π°Π΄Π°Ρ‡ΠΈ обСспСчСния бСзопасности ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ Π½Π΅ ΠΌΠΎΠΆΠ΅Ρ‚ Π±Ρ‹Ρ‚ΡŒ ΠΏΡ€Π΅ΡƒΠ²Π΅Π»ΠΈΡ‡Π΅Π½Π°, учитывая количСство ΠΈ Π²Π°Ρ€ΠΈΠ°Ρ†ΠΈΠΈ ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ ΠΈ ΡƒΠ³Ρ€ΠΎΠ·.

К ΡΡ‡Π°ΡΡ‚ΡŒΡŽ, ΠΌΡ‹ находимся Π² Ρ‚Π°ΠΊΠΎΠΌ ΠΌΠΎΠΌΠ΅Π½Ρ‚Π΅ Π²Ρ€Π΅ΠΌΠ΅Π½ΠΈ, ΠΊΠΎΠ³Π΄Π° искусствСнный ΠΈΠ½Ρ‚Π΅Π»Π»Π΅ΠΊΡ‚ ΠΌΠΎΠΆΠ΅Ρ‚ ΠΏΡ€ΠΈΠΉΡ‚ΠΈ Π½Π°ΠΌ Π½Π° ΠΏΠΎΠΌΠΎΡ‰ΡŒ. Алгоритмы, основанныС Π½Π° машинном ΠΎΠ±ΡƒΡ‡Π΅Π½ΠΈΠΈ, ΠΎΠ±Π΅ΡΠΏΠ΅Ρ‡ΠΈΠ²Π°ΡŽΡ‚ Π°Π΄Π°ΠΏΡ‚ΠΈΠ²Π½ΡƒΡŽ Π·Π°Ρ‰ΠΈΡ‚Ρƒ Π² Ρ€Π΅ΠΆΠΈΠΌΠ΅ Ρ€Π΅Π°Π»ΡŒΠ½ΠΎΠ³ΠΎ Π²Ρ€Π΅ΠΌΠ΅Π½ΠΈ ΠΎΡ‚ самых ΠΏΡ€ΠΎΠ΄Π²ΠΈΠ½ΡƒΡ‚Ρ‹Ρ… ΠΊΠΈΠ±Π΅Ρ€ΡƒΠ³Ρ€ΠΎΠ·, Π½Π°ΠΏΡ€Π°Π²Π»Π΅Π½Π½Ρ‹Ρ… Π½Π° прилоТСния. Они Ρ‚Π°ΠΊΠΆΠ΅ автоматичСски ΠΎΠ±Π½ΠΎΠ²Π»ΡΡŽΡ‚ ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΠΈ бСзопасности для Π·Π°Ρ‰ΠΈΡ‚Ρ‹ Π²Π΅Π±-, ΠΌΠΎΠ±ΠΈΠ»ΡŒΠ½Ρ‹Ρ… ΠΈ ΠΎΠ±Π»Π°Ρ‡Π½Ρ‹Ρ… ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ β€” Π° Ρ‚Π°ΠΊΠΆΠ΅ API β€” Π±Π΅Π· Π»ΠΎΠΆΠ½ΠΎΠΏΠΎΠ»ΠΎΠΆΠΈΡ‚Π΅Π»ΡŒΠ½Ρ‹Ρ… срабатываний.

Π‘Π»ΠΎΠΆΠ½ΠΎ с Ρ‚ΠΎΡ‡Π½ΠΎΡΡ‚ΡŒΡŽ ΠΏΡ€Π΅Π΄ΡΠΊΠ°Π·Π°Ρ‚ΡŒ, ΠΊΠ°ΠΊΠΈΠΌ Π±ΡƒΠ΄Π΅Ρ‚ Π½ΠΎΠ²ΠΎΠ΅ ΠΏΠΎΠΊΠΎΠ»Π΅Π½ΠΈΠ΅ ΠΊΠΈΠ±Π΅Ρ€ΡƒΠ³Ρ€ΠΎΠ· для ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ (Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎ, Ρ‚Π°ΠΊΠΆΠ΅ основанноС Π½Π° машинном ΠΎΠ±ΡƒΡ‡Π΅Π½ΠΈΠΈ). Но ΠΎΡ€Π³Π°Π½ΠΈΠ·Π°Ρ†ΠΈΠΈ Ρ‚ΠΎΡ‡Π½ΠΎ ΠΌΠΎΠ³ΡƒΡ‚ ΡΠ΄Π΅Π»Π°Ρ‚ΡŒ шаги для Π·Π°Ρ‰ΠΈΡ‚Ρ‹ Π΄Π°Π½Π½Ρ‹Ρ… ΠΊΠ»ΠΈΠ΅Π½Ρ‚ΠΎΠ², ΠΈΠ½Ρ‚Π΅Π»Π»Π΅ΠΊΡ‚ΡƒΠ°Π»ΡŒΠ½ΠΎΠΉ собствСнности ΠΈ Π³Π°Ρ€Π°Π½Ρ‚ΠΈΠΈ доступности сСрвисов с большой Π²Ρ‹Π³ΠΎΠ΄ΠΎΠΉ для бизнСса.

Π­Ρ„Ρ„Π΅ΠΊΡ‚ΠΈΠ²Π½Ρ‹Π΅ ΠΏΠΎΠ΄Ρ…ΠΎΠ΄Ρ‹ ΠΈ ΠΌΠ΅Ρ‚ΠΎΠ΄Ρ‹ обСспСчСния бСзопасности ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ, основныС Ρ‚ΠΈΠΏΡ‹ ΠΈ Π²Π΅ΠΊΡ‚ΠΎΡ€Ρ‹ Π°Ρ‚Π°ΠΊ, Π·ΠΎΠ½Ρ‹ риска ΠΈ ΠΏΡ€ΠΎΠ±Π΅Π»Ρ‹ Π² ΠΊΠΈΠ±Π΅Ρ€Π·Π°Ρ‰ΠΈΡ‚Π΅ Π²Π΅Π±-ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ, Π° Ρ‚Π°ΠΊΠΆΠ΅ ΠΌΠΈΡ€ΠΎΠ²ΠΎΠΉ ΠΎΠΏΡ‹Ρ‚ ΠΈ Π»ΡƒΡ‡ΡˆΠΈΠ΅ ΠΏΡ€Π°ΠΊΡ‚ΠΈΠΊΠΈ прСдставлСны Π² исслСдовании ΠΈ ΠΎΡ‚Ρ‡Ρ‘Ρ‚Π΅ Radware β€œWeb Application Security in a Digitally Connected World”.

Π˜ΡΡ‚ΠΎΡ‡Π½ΠΈΠΊ: habr.com

Π”ΠΎΠ±Π°Π²ΠΈΡ‚ΡŒ ΠΊΠΎΠΌΠΌΠ΅Π½Ρ‚Π°Ρ€ΠΈΠΉ