retrospektivní
Rozsah, složení a složení kybernetických hrozeb pro aplikace se rychle vyvíjí. Po mnoho let uživatelé přistupovali k webovým aplikacím přes internet pomocí oblíbených webových prohlížečů. V každém okamžiku bylo nutné podporovat 2-5 webových prohlížečů a soubor standardů pro vývoj a testování webových aplikací byl značně omezený. Například téměř všechny databáze byly vytvořeny pomocí SQL. Hackeři se bohužel po krátké době naučili využívat webové aplikace ke krádeži, mazání či změně dat. Získali nelegální přístup k funkcím aplikací a zneužili je pomocí různých technik, včetně klamání uživatelů aplikací, vkládání a vzdáleného spouštění kódu. Brzy se na trh dostaly komerční nástroje pro zabezpečení webových aplikací zvané Web Application Firewalls (WAF) a komunita reagovala vytvořením projektu zabezpečení otevřených webových aplikací, Open Web Application Security Project (OWASP), který definoval a udržoval vývojové standardy a metodiky. zabezpečené aplikace.
Základní ochrana aplikace
je výchozím bodem pro zabezpečení aplikací a obsahuje seznam nejnebezpečnějších hrozeb a chybných konfigurací, které mohou vést k zranitelnosti aplikací, a také taktiky pro odhalování a porážení útoků. Top 10 OWASP je celosvětově uznávaným měřítkem v odvětví kybernetické bezpečnosti aplikací a definuje základní seznam schopností, které by měl mít systém zabezpečení webových aplikací (WAF).
Kromě toho musí funkce WAF brát v úvahu další běžné útoky na webové aplikace, včetně padělání požadavků mezi stránkami (CSRF), clickjacking, web scraping a začlenění souborů (RFI/LFI).
Hrozby a výzvy pro zajištění bezpečnosti moderních aplikací
Dnes nejsou všechny aplikace implementovány v síťové verzi. Existují cloudové aplikace, mobilní aplikace, API a v nejnovějších architekturách dokonce i vlastní softwarové funkce. Všechny tyto typy aplikací musí být synchronizovány a řízeny, protože vytvářejí, upravují a zpracovávají naše data. S příchodem nových technologií a paradigmat vyvstávají ve všech fázích životního cyklu aplikace nové složitosti a výzvy. To zahrnuje vývojovou a provozní integraci (DevOps), kontejnery, internet věcí (IoT), open source nástroje, API a další.
Distribuované nasazení aplikací a rozmanitost technologií vytváří složité a komplexní výzvy nejen pro profesionály v oblasti informační bezpečnosti, ale také pro dodavatele bezpečnostních řešení, kteří se již nemohou spolehnout na jednotný přístup. Bezpečnostní opatření aplikací musí zohledňovat jejich obchodní specifika, aby nedocházelo k falešným poplachům a narušení kvality služeb pro uživatele.
Konečným cílem hackerů je obvykle buď ukrást data, nebo narušit dostupnost služeb. Útočníci také těží z technologického vývoje. Za prvé, vývoj nových technologií vytváří další potenciální mezery a zranitelnosti. Za druhé, mají ve svém arzenálu více nástrojů a znalostí, jak obejít tradiční bezpečnostní opatření. To značně zvyšuje takzvanou „útočnou plochu“ a vystavení organizací novým rizikům. Bezpečnostní politika se musí neustále měnit v reakci na změny v technologii a aplikacích.
Aplikace tedy musí být chráněny před stále se rozšiřujícími různými způsoby a zdroji útoků a automatizovaným útokům je třeba čelit v reálném čase na základě informovaných rozhodnutí. Výsledkem jsou zvýšené transakční náklady a manuální práce spolu s oslabenou bezpečnostní pozicí.
Úkol č. 1: Správa robotů
Více než 60 % internetového provozu je generováno roboty, z nichž polovinu tvoří „špatný“ provoz (podle ). Organizace investují do zvýšení kapacity sítě, která v podstatě slouží fiktivní zátěži. Přesné rozlišení mezi skutečným uživatelským provozem a provozem botů, stejně jako mezi „dobrými“ roboty (například vyhledávače a služby srovnávání cen) a „špatnými“ roboty, může vést k výrazným úsporám nákladů a zlepšení kvality služeb pro uživatele.
Boti tento úkol neusnadní a dokážou napodobit chování skutečných uživatelů, obejít CAPTCHA a další překážky. Navíc v případě útoků pomocí dynamických IP adres se ochrana založená na filtrování IP adres stává neúčinnou. Nástroje pro vývoj s otevřeným zdrojovým kódem (například Phantom JS), které dokážou zpracovat JavaScript na straně klienta, se často používají ke spouštění útoků hrubou silou, útoků na credential stuffing, DDoS útoků a automatických útoků botů.
Aby bylo možné efektivně spravovat provoz botů, je vyžadována jedinečná identifikace jeho zdroje (např. otisk prstu). Vzhledem k tomu, že útok bota generuje více záznamů, jeho otisk umožňuje identifikovat podezřelou aktivitu a přiřadit skóre, na základě kterého systém ochrany aplikací učiní informované rozhodnutí – blokovat/povolit – s minimální mírou falešných poplachů.
Výzva č. 2: Ochrana API
Mnoho aplikací shromažďuje informace a data ze služeb, se kterými interagují prostřednictvím rozhraní API. Při přenosu citlivých dat prostřednictvím rozhraní API více než 50 % organizací neověřuje ani nezabezpečuje rozhraní API pro detekci kybernetických útoků.
Příklady použití API:
- Integrace internetu věcí (IoT).
- Komunikace mezi stroji
- Prostředí bez serveru
- Mobilní Apps
- Aplikace řízené událostmi
Zranitelnosti API jsou podobné zranitelnostem aplikací a zahrnují injekce, protokolové útoky, manipulaci s parametry, přesměrování a útoky botů. Vyhrazené brány API pomáhají zajistit kompatibilitu mezi aplikačními službami, které interagují prostřednictvím rozhraní API. Neposkytují však komplexní zabezpečení aplikací jako WAF se základními bezpečnostními nástroji, jako je analýza hlaviček HTTP, seznam řízení přístupu na vrstvě 7 (ACL), analýza a kontrola dat JSON/XML a ochrana proti všem zranitelnostem Seznam OWASP Top 10. Toho je dosaženo kontrolou klíčových hodnot API pomocí pozitivních a negativních modelů.
Výzva č. 3: Odepření služby
Starý vektor útoku, denial of service (DoS), nadále prokazuje svou účinnost při útocích na aplikace. Útočníci mají řadu úspěšných technik k narušení aplikačních služeb, včetně záplav HTTP nebo HTTPS, nízkých a pomalých útoků (např. SlowLoris, LOIC, Torshammer), útoků pomocí dynamických IP adres, přetečení vyrovnávací paměti, útoků hrubou silou a mnoha dalších. . S rozvojem internetu věcí a následným vznikem IoT botnetů se útoky na aplikace staly hlavním ohniskem DDoS útoků. Většina stavových WAF zvládne pouze omezené množství zátěže. Mohou však kontrolovat toky provozu HTTP/S a odstraňovat útoky a škodlivá připojení. Jakmile je útok identifikován, nemá smysl tento provoz znovu procházet. Vzhledem k tomu, že schopnost WAF odrážet útoky je omezená, je potřeba další řešení na perimetru sítě, které automaticky zablokuje další „špatné“ pakety. Pro tento bezpečnostní scénář musí být obě řešení schopna vzájemně komunikovat za účelem výměny informací o útocích.
Obr. 1. Organizace komplexní ochrany sítě a aplikací na příkladu řešení Radware
Výzva č. 4: Nepřetržitá ochrana
Aplikace se často mění. Metodologie vývoje a implementace, jako jsou průběžné aktualizace, znamenají, že k úpravám dochází bez lidského zásahu nebo kontroly. V takto dynamických prostředích je obtížné udržovat adekvátně fungující bezpečnostní zásady bez vysokého počtu falešných poplachů. Mobilní aplikace jsou aktualizovány mnohem častěji než webové aplikace. Aplikace třetích stran se mohou změnit bez vašeho vědomí. Některé organizace hledají větší kontrolu a viditelnost, aby si udržely přehled o potenciálních rizicích. To však není vždy dosažitelné a spolehlivá ochrana aplikací musí využívat sílu strojového učení k zohlednění a vizualizaci dostupných zdrojů, analýze potenciálních hrozeb a vytváření a optimalizaci bezpečnostních politik v případě úprav aplikací.
Závěry
Protože aplikace hrají v každodenním životě stále důležitější roli, stávají se hlavním cílem hackerů. Potenciální odměny pro zločince a potenciální ztráty pro podniky jsou obrovské. Složitost úkolu zabezpečení aplikace nelze přeceňovat vzhledem k počtu a variantám aplikací a hrozeb.
Naštěstí jsme v okamžiku, kdy nám umělá inteligence může přijít na pomoc. Algoritmy založené na strojovém učení poskytují adaptivní ochranu v reálném čase proti nejpokročilejším kybernetickým hrozbám zaměřeným na aplikace. Automaticky také aktualizují zásady zabezpečení, aby chránily webové, mobilní a cloudové aplikace – a rozhraní API – bez falešných poplachů.
Je těžké s jistotou předvídat, jaká bude další generace aplikačních kybernetických hrozeb (možná i založených na strojovém učení). Organizace však jistě mohou podniknout kroky k ochraně zákaznických dat, ochraně duševního vlastnictví a zajištění dostupnosti služeb s velkými obchodními výhodami.
Efektivní přístupy a metody pro zajištění bezpečnosti aplikací, hlavní typy a vektory útoků, rizikové oblasti a mezery v kybernetické ochraně webových aplikací, stejně jako globální zkušenosti a osvědčené postupy jsou uvedeny ve studii a zprávě Radware „".
Zdroj: www.habr.com