Retrospektiva
Obim, sastav i sastav sajber prijetnji aplikacijama se brzo razvijaju. Dugi niz godina korisnici pristupaju web aplikacijama preko Interneta koristeći popularne web pretraživače. Bilo je potrebno podržati 2-5 web pretraživača u svakom trenutku, a skup standarda za razvoj i testiranje web aplikacija bio je prilično ograničen. Na primjer, skoro sve baze podataka su napravljene pomoću SQL-a. Nažalost, nakon kratkog vremena, hakeri su naučili koristiti web aplikacije za krađu, brisanje ili promjenu podataka. Dobili su nezakonit pristup i zloupotrebili mogućnosti aplikacije koristeći različite tehnike, uključujući obmanu korisnika aplikacije, ubrizgavanje i daljinsko izvršavanje koda. Ubrzo su na tržište došli komercijalni alati za sigurnost web aplikacija pod nazivom Zaštitni zidovi web aplikacija (WAF), a zajednica je odgovorila kreiranjem projekta sigurnosti otvorenih web aplikacija, Open Web Application Security Project (OWASP), kako bi definirala i održavala razvojne standarde i metodologije. sigurne aplikacije.
Osnovna zaštita aplikacije
je polazna tačka za osiguranje aplikacija i sadrži listu najopasnijih prijetnji i pogrešnih konfiguracija koje mogu dovesti do ranjivosti aplikacija, kao i taktike za otkrivanje i suzbijanje napada. OWASP Top 10 je priznato mjerilo u industriji kibernetičke sigurnosti aplikacija širom svijeta i definira osnovnu listu mogućnosti koje sigurnosni sistem web aplikacija (WAF) treba da ima.
Osim toga, funkcionalnost WAF-a mora uzeti u obzir druge uobičajene napade na web aplikacije, uključujući krivotvorenje zahtjeva na više lokacija (CSRF), clickjacking, web scraping i uključivanje datoteka (RFI/LFI).
Prijetnje i izazovi za osiguranje sigurnosti modernih aplikacija
Danas nisu sve aplikacije implementirane u mrežnoj verziji. Postoje aplikacije u oblaku, mobilne aplikacije, API-ji, a u najnovijim arhitekturama, čak i prilagođene softverske funkcije. Sve ove vrste aplikacija moraju biti sinkronizirane i kontrolirane dok kreiraju, modificiraju i obrađuju naše podatke. Sa pojavom novih tehnologija i paradigmi, pojavljuju se nove složenosti i izazovi u svim fazama životnog ciklusa aplikacije. Ovo uključuje integraciju razvoja i operacija (DevOps), kontejnere, Internet stvari (IoT), alate otvorenog koda, API-je i još mnogo toga.
Distribuirana implementacija aplikacija i raznolikost tehnologija stvara složene i složene izazove ne samo za profesionalce za sigurnost informacija, već i za proizvođače sigurnosnih rješenja koji se više ne mogu osloniti na jedinstven pristup. Sigurnosne mjere aplikacije moraju uzeti u obzir njihove poslovne specifičnosti kako bi se spriječile lažne pozitive i narušavanje kvaliteta usluga za korisnike.
Krajnji cilj hakera je obično ili krađa podataka ili ometanje dostupnosti usluga. Napadači također imaju koristi od tehnološke evolucije. Prvo, razvoj novih tehnologija stvara više potencijalnih praznina i ranjivosti. Drugo, imaju više alata i znanja u svom arsenalu da zaobiđu tradicionalne sigurnosne mjere. Ovo uvelike povećava takozvanu „površinu napada“ i izloženost organizacija novim rizicima. Sigurnosne politike moraju se stalno mijenjati kao odgovor na promjene u tehnologiji i aplikacijama.
Stoga, aplikacije moraju biti zaštićene od sve većeg broja metoda i izvora napada, a automatizirani napadi se moraju suprotstaviti u realnom vremenu na osnovu informiranih odluka. Rezultat su povećani transakcioni troškovi i ručni rad, zajedno sa oslabljenim sigurnosnim položajem.
Zadatak #1: Upravljanje botovima
Više od 60% internet saobraćaja generišu botovi, od čega je polovina "loš" saobraćaj (prema ). Organizacije ulažu u povećanje kapaciteta mreže, u suštini služeći fiktivnom opterećenju. Precizno razlikovanje stvarnog korisničkog prometa i prometa botova, kao i „dobrih“ botova (na primjer, tražilice i usluge upoređivanja cijena) i „loših“ botova može rezultirati značajnim uštedama i poboljšanom kvalitetom usluge za korisnike.
Botovi neće olakšati ovaj zadatak, a mogu imitirati ponašanje stvarnih korisnika, zaobići CAPTCHA i druge prepreke. Štaviše, u slučaju napada pomoću dinamičkih IP adresa, zaštita zasnovana na filtriranju IP adresa postaje neefikasna. Često se alati za razvoj otvorenog koda (na primjer, Phantom JS) koji mogu rukovati JavaScript-om na strani klijenta, koriste se za pokretanje brute force napada, napada na kršenje vjerodajnica, DDoS napada i automatiziranih napada.
Za efikasno upravljanje prometom bota potrebna je jedinstvena identifikacija njegovog izvora (poput otiska prsta). Budući da napad botom generiše više zapisa, njegov otisak prsta mu omogućava da identifikuje sumnjivu aktivnost i dodeli rezultate, na osnovu kojih sistem zaštite aplikacija donosi informisanu odluku – blokira/dozvoli – sa minimalnom stopom lažnih pozitivnih rezultata.
Izazov #2: Zaštita API-ja
Mnoge aplikacije prikupljaju informacije i podatke od usluga s kojima komuniciraju putem API-ja. Prilikom prijenosa osjetljivih podataka putem API-ja, više od 50% organizacija niti validira niti osigurava API-je za otkrivanje sajber napada.
Primjeri korištenja API-ja:
- Internet of Things (IoT) integracija
- Komunikacija mašina-mašina
- Okruženje bez servera
- Mobilne aplikacije
- Aplikacije vođene događajima
Ranjivosti API-ja su slične ranjivostima aplikacija i uključuju injekcije, napade na protokol, manipulaciju parametrima, preusmjeravanja i napade botovima. Namjenski API gatewayi pomažu u osiguravanju kompatibilnosti između aplikacijskih usluga koje komuniciraju putem API-ja. Međutim, oni ne pružaju end-to-end sigurnost aplikacija kao što to WAF može s osnovnim sigurnosnim alatima kao što su raščlanjivanje HTTP zaglavlja, lista kontrole pristupa sloja 7 (ACL), JSON/XML raščlanjivanje i inspekcija korisnog opterećenja i zaštita od svih ranjivosti od OWASP Top 10 lista Ovo se postiže provjerom ključnih API vrijednosti korištenjem pozitivnih i negativnih modela.
Izazov #3: Uskraćivanje usluge
Stari vektor napada, uskraćivanje usluge (DoS), nastavlja da dokazuje svoju efikasnost u napadu na aplikacije. Napadači imaju niz uspješnih tehnika za ometanje usluga aplikacija, uključujući HTTP ili HTTPS poplave, niske i spore napade (npr. SlowLoris, LOIC, Torshammer), napade pomoću dinamičkih IP adresa, prelivanje bafera, napade grubom silom i mnoge druge . S razvojem Interneta stvari i kasnijom pojavom IoT botnet-a, napadi na aplikacije postali su glavni fokus DDoS napada. Većina WAF-ova sa stanjem može podnijeti samo ograničenu količinu opterećenja. Međutim, oni mogu provjeriti tokove HTTP/S prometa i ukloniti promet napada i zlonamjerne veze. Jednom kada je napad identificiran, nema smisla ponovno proći ovaj saobraćaj. Budući da je kapacitet WAF-a da odbije napade ograničen, potrebno je dodatno rješenje na perimetru mreže kako bi se automatski blokirali sljedeći "loši" paketi. Za ovaj sigurnosni scenarij, oba rješenja moraju biti u mogućnosti međusobno komunicirati radi razmjene informacija o napadima.
Slika 1. Organizacija sveobuhvatne zaštite mreže i aplikacija na primjeru Radware rješenja
Izazov #4: Kontinuirana zaštita
Aplikacije se često mijenjaju. Metodologije razvoja i implementacije, kao što su ažuriranja u toku, znače da se modifikacije dešavaju bez ljudske intervencije ili kontrole. U takvim dinamičnim okruženjima, teško je održavati sigurnosne politike koje adekvatno funkcionišu bez velikog broja lažnih pozitivnih rezultata. Mobilne aplikacije se ažuriraju mnogo češće od web aplikacija. Aplikacije trećih strana se mogu promijeniti bez vašeg znanja. Neke organizacije traže veću kontrolu i vidljivost kako bi bile u toku sa potencijalnim rizicima. Međutim, to nije uvijek ostvarivo, a pouzdana zaštita aplikacija mora koristiti moć strojnog učenja kako bi se uračunali i vizualizirali dostupni resursi, analizirale potencijalne prijetnje i kreirale i optimizovane sigurnosne politike u slučaju izmjena aplikacije.
nalazi
Kako aplikacije igraju sve važniju ulogu u svakodnevnom životu, one postaju glavna meta hakera. Potencijalne nagrade za kriminalce i potencijalni gubici za preduzeća su enormni. Složenost sigurnosnog zadatka aplikacije ne može se precijeniti s obzirom na broj i varijacije aplikacija i prijetnji.
Srećom, nalazimo se u trenutku kada nam umjetna inteligencija može priskočiti u pomoć. Algoritmi zasnovani na mašinskom učenju pružaju prilagodljivu zaštitu u realnom vremenu od najnaprednijih sajber pretnji usmerenih na aplikacije. Oni također automatski ažuriraju sigurnosne politike kako bi zaštitili web, mobilne i cloud aplikacije – i API-je – bez lažnih pozitivnih rezultata.
Teško je sa sigurnošću predvidjeti koja će biti sljedeća generacija kibernetičkih prijetnji aplikacija (vjerovatno također zasnovanih na mašinskom učenju). Ali organizacije svakako mogu poduzeti korake za zaštitu podataka o klijentima, zaštitu intelektualnog vlasništva i osiguranje dostupnosti usluga uz velike poslovne prednosti.
Učinkoviti pristupi i metode za osiguranje sigurnosti aplikacija, glavni tipovi i vektori napada, rizična područja i praznine u sajber zaštiti web aplikacija, kao i globalno iskustvo i najbolje prakse predstavljeni su u Radware studiji i izvještaju “".
izvor: www.habr.com