Ôl-weithredol
Mae maint, cyfansoddiad a chyfansoddiad bygythiadau seiber i gymwysiadau yn datblygu'n gyflym. Ers blynyddoedd lawer, mae defnyddwyr wedi cyrchu cymwysiadau gwe dros y Rhyngrwyd gan ddefnyddio porwyr gwe poblogaidd. Roedd angen cefnogi 2-5 o borwyr gwe ar unrhyw adeg benodol, ac roedd y set o safonau ar gyfer datblygu a phrofi cymwysiadau gwe yn eithaf cyfyngedig. Er enghraifft, adeiladwyd bron pob cronfa ddata gan ddefnyddio SQL. Yn anffodus, ar ôl cyfnod byr, dysgodd hacwyr ddefnyddio cymwysiadau gwe i ddwyn, dileu neu newid data. Cawsant fynediad anghyfreithlon a chamddefnyddio galluoedd cymhwysiad gan ddefnyddio amrywiaeth o dechnegau, gan gynnwys twyllo defnyddwyr cymwysiadau, pigiad, a gweithredu cod o bell. Yn fuan, daeth offer diogelwch cymwysiadau gwe masnachol o'r enw Web Application Firewalls (WAFs) i'r farchnad, ac ymatebodd y gymuned trwy greu prosiect diogelwch cymwysiadau gwe agored, y Prosiect Diogelwch Cymwysiadau Gwe Agored (OWASP), i ddiffinio a chynnal safonau a methodolegau datblygu ■ cymwysiadau diogel.
Diogelu cais sylfaenol
yw'r man cychwyn ar gyfer sicrhau cymwysiadau ac mae'n cynnwys rhestr o'r bygythiadau a'r camgyfluniadau mwyaf peryglus a all arwain at wendidau cymwysiadau, yn ogystal â thactegau ar gyfer canfod a threchu ymosodiadau. Mae'r OWASP Top 10 yn feincnod cydnabyddedig yn y diwydiant seiberddiogelwch cymwysiadau ledled y byd ac mae'n diffinio'r rhestr graidd o alluoedd y dylai system diogelwch cymwysiadau gwe (WAF) ei chael.
Yn ogystal, rhaid i ymarferoldeb WAF ystyried ymosodiadau cyffredin eraill ar gymwysiadau gwe, gan gynnwys ffugio ceisiadau traws-safle (CSRF), clicio, sgrapio gwe, a chynnwys ffeiliau (RFI/LFI).
Bygythiadau a heriau ar gyfer sicrhau diogelwch cymwysiadau modern
Heddiw, nid yw pob cais yn cael ei weithredu mewn fersiwn rhwydwaith. Mae yna apiau cwmwl, apiau symudol, APIs, ac yn y pensaernïaeth ddiweddaraf, hyd yn oed swyddogaethau meddalwedd arferol. Mae angen cysoni a rheoli pob un o'r mathau hyn o geisiadau wrth iddynt greu, addasu a phrosesu ein data. Gyda dyfodiad technolegau a phatrymau newydd, mae cymhlethdodau a heriau newydd yn codi ym mhob cam o gylch bywyd y cais. Mae hyn yn cynnwys integreiddio datblygu a gweithrediadau (DevOps), cynwysyddion, Internet of Things (IoT), offer ffynhonnell agored, APIs, a mwy.
Mae'r defnydd gwasgaredig o gymwysiadau ac amrywiaeth y technolegau yn creu heriau cymhleth a chymhleth nid yn unig i weithwyr proffesiynol diogelwch gwybodaeth, ond hefyd i werthwyr datrysiadau diogelwch na allant ddibynnu ar ddull unedig mwyach. Rhaid i fesurau diogelwch cymwysiadau ystyried manylion eu busnes er mwyn atal pethau cadarnhaol ffug ac amharu ar ansawdd gwasanaethau i ddefnyddwyr.
Nod eithaf hacwyr fel arfer yw naill ai dwyn data neu amharu ar argaeledd gwasanaethau. Mae ymosodwyr hefyd yn elwa o esblygiad technolegol. Yn gyntaf, mae datblygu technolegau newydd yn creu mwy o fylchau a gwendidau posibl. Yn ail, mae ganddyn nhw fwy o offer a gwybodaeth yn eu arsenal i osgoi mesurau diogelwch traddodiadol. Mae hyn yn cynyddu’n fawr yr hyn a elwir yn “wyneb ymosodiad” ac amlygiad sefydliadau i risgiau newydd. Rhaid i bolisïau diogelwch newid yn gyson mewn ymateb i newidiadau mewn technoleg a chymwysiadau.
Felly, rhaid amddiffyn ceisiadau rhag amrywiaeth gynyddol o ddulliau a ffynonellau ymosod, a rhaid gwrthsefyll ymosodiadau awtomataidd mewn amser real yn seiliedig ar benderfyniadau gwybodus. Y canlyniad yw costau trafodion uwch a llafur llaw, ynghyd ag ystum diogelwch gwannach.
Tasg #1: Rheoli bots
Mae mwy na 60% o draffig Rhyngrwyd yn cael ei gynhyrchu gan bots, a hanner ohonynt yn draffig “drwg” (yn ôl ). Mae sefydliadau'n buddsoddi mewn cynyddu capasiti rhwydwaith, gan wasanaethu llwyth ffug yn y bôn. Gall gwahaniaethu'n gywir rhwng traffig defnyddwyr go iawn a thraffig bot, yn ogystal â botiau “da” (er enghraifft, peiriannau chwilio a gwasanaethau cymharu prisiau) a botiau “drwg” arwain at arbedion cost sylweddol a gwell ansawdd gwasanaeth i ddefnyddwyr.
Nid yw bots yn mynd i wneud y dasg hon yn hawdd, a gallant efelychu ymddygiad defnyddwyr go iawn, osgoi CAPTCHAs a rhwystrau eraill. Ar ben hynny, yn achos ymosodiadau gan ddefnyddio cyfeiriadau IP deinamig, mae amddiffyniad yn seiliedig ar hidlo cyfeiriad IP yn dod yn aneffeithiol. Yn aml, defnyddir offer datblygu ffynhonnell agored (er enghraifft, Phantom JS) sy'n gallu trin JavaScript ochr y cleient i lansio ymosodiadau 'n Ysgrublaidd, ymosodiadau stwffio credential, ymosodiadau DDoS, ac ymosodiadau bot awtomataidd.
Er mwyn rheoli traffig bot yn effeithiol, mae angen adnabyddiaeth unigryw o'i ffynhonnell (fel olion bysedd). Gan fod ymosodiad bot yn cynhyrchu cofnodion lluosog, mae ei olion bysedd yn caniatáu iddo nodi gweithgaredd amheus a phennu sgoriau, ar sail y mae'r system amddiffyn cymwysiadau yn gwneud penderfyniad gwybodus - blocio / caniatáu - gydag isafswm cyfradd o bethau positif ffug.
Her #2: Diogelu'r API
Mae llawer o gymwysiadau yn casglu gwybodaeth a data o wasanaethau y maent yn rhyngweithio â nhw trwy APIs. Wrth drosglwyddo data sensitif trwy APIs, nid yw mwy na 50% o sefydliadau yn dilysu nac yn diogelu APIs i ganfod ymosodiadau seibr.
Enghreifftiau o ddefnyddio'r API:
- Integreiddio Rhyngrwyd Pethau (IoT).
- Cyfathrebu peiriant-i-beiriant
- Amgylcheddau Di-weinydd
- Apiau symudol
- Cymwysiadau a yrrir gan Ddigwyddiadau
Mae gwendidau API yn debyg i wendidau cymhwysiad ac maent yn cynnwys pigiadau, ymosodiadau protocol, trin paramedr, ailgyfeiriadau, ac ymosodiadau bot. Mae pyrth API pwrpasol yn helpu i sicrhau cysondeb rhwng gwasanaethau cymhwysiad sy'n rhyngweithio trwy APIs. Fodd bynnag, nid ydynt yn darparu diogelwch cymhwysiad o'r dechrau i'r diwedd fel can WAF gydag offer diogelwch hanfodol fel dosrannu pennawd HTTP, rhestr rheoli mynediad Haen 7 (ACL), dosrannu ac archwilio llwyth tâl JSON / XML, ac amddiffyniad rhag pob bregusrwydd rhag Rhestr OWASP Top 10. Cyflawnir hyn trwy arolygu gwerthoedd API allweddol gan ddefnyddio modelau cadarnhaol a negyddol.
Her #3: Gwrthod Gwasanaeth
Mae hen fector ymosodiad, gwrthod gwasanaeth (DoS), yn parhau i brofi ei effeithiolrwydd wrth ymosod ar geisiadau. Mae gan ymosodwyr amrywiaeth o dechnegau llwyddiannus i amharu ar wasanaethau cymhwysiad, gan gynnwys llifogydd HTTP neu HTTPS, ymosodiadau isel ac araf (e.e. SlowLoris, LOIC, Torshammer), ymosodiadau gan ddefnyddio cyfeiriadau IP deinamig, gorlif byffer, ymosodiadau grym 'n ysgrublaidd, a llawer o rai eraill . Gyda datblygiad Rhyngrwyd Pethau ac ymddangosiad dilynol botnets IoT, mae ymosodiadau ar gymwysiadau wedi dod yn brif ffocws ymosodiadau DDoS. Dim ond swm cyfyngedig o lwyth y gall y rhan fwyaf o WAFs taleithiol ei drin. Fodd bynnag, gallant archwilio llif traffig HTTP/S a chael gwared ar draffig ymosod a chysylltiadau maleisus. Unwaith y bydd ymosodiad wedi'i nodi, nid oes unrhyw ddiben ail-basio'r traffig hwn. Gan fod gallu WAF i wrthyrru ymosodiadau yn gyfyngedig, mae angen ateb ychwanegol ar berimedr y rhwydwaith i rwystro'r pecynnau "drwg" nesaf yn awtomatig. Ar gyfer y senario diogelwch hwn, rhaid i'r ddau ddatrysiad allu cyfathrebu â'i gilydd i gyfnewid gwybodaeth am ymosodiadau.
Ffig 1. Trefniadaeth rhwydwaith cynhwysfawr a diogelwch cymwysiadau gan ddefnyddio'r enghraifft o atebion Radware
Her #4: Amddiffyniad Parhaus
Mae ceisiadau'n newid yn aml. Mae methodolegau datblygu a gweithredu fel diweddariadau treigl yn golygu bod addasiadau'n digwydd heb ymyrraeth na rheolaeth ddynol. Mewn amgylcheddau deinamig o'r fath, mae'n anodd cynnal polisïau diogelwch sy'n gweithredu'n ddigonol heb nifer uchel o bethau cadarnhaol ffug. Mae cymwysiadau symudol yn cael eu diweddaru'n llawer amlach na chymwysiadau gwe. Gall ceisiadau trydydd parti newid heb yn wybod ichi. Mae rhai sefydliadau yn ceisio mwy o reolaeth a gwelededd i gadw ar ben risgiau posibl. Fodd bynnag, nid yw hyn bob amser yn gyraeddadwy, a rhaid i amddiffyniad cymwysiadau dibynadwy ddefnyddio pŵer dysgu peirianyddol i gyfrif am yr adnoddau sydd ar gael a'u delweddu, dadansoddi bygythiadau posibl, a chreu a gwneud y gorau o bolisïau diogelwch os bydd addasiadau i gymwysiadau.
Canfyddiadau
Wrth i apps chwarae rhan gynyddol bwysig mewn bywyd bob dydd, maent yn dod yn brif darged i hacwyr. Mae'r manteision posibl i droseddwyr a'r colledion posibl i fusnesau yn enfawr. Ni ellir gorbwysleisio cymhlethdod y dasg diogelwch cymhwysiad o ystyried nifer ac amrywiadau'r cymwysiadau a'r bygythiadau.
Yn ffodus, rydym mewn cyfnod lle gall deallusrwydd artiffisial fod o gymorth inni. Mae algorithmau sy'n seiliedig ar ddysgu peiriannau yn darparu amddiffyniad addasol amser real yn erbyn y bygythiadau seiber mwyaf datblygedig sy'n targedu cymwysiadau. Maent hefyd yn diweddaru polisïau diogelwch yn awtomatig i amddiffyn cymwysiadau gwe, symudol a chymylau - ac APIs - heb bethau cadarnhaol ffug.
Mae'n anodd rhagweld yn bendant beth fydd y genhedlaeth nesaf o seiberfygythiadau (yn seiliedig ar ddysgu peirianyddol o bosibl). Ond yn sicr gall sefydliadau gymryd camau i ddiogelu data cwsmeriaid, diogelu eiddo deallusol, a sicrhau bod gwasanaethau ar gael gyda manteision busnes gwych.
Cyflwynir dulliau a dulliau effeithiol ar gyfer sicrhau diogelwch cymwysiadau, y prif fathau a fectorau o ymosodiadau, meysydd risg a bylchau mewn amddiffyniad seiber o gymwysiadau gwe, yn ogystal â phrofiad byd-eang ac arferion gorau yn astudiaeth ac adroddiad Radware “".
Ffynhonnell: hab.com