tilbagevirkende kraft
Skalaen, sammensætningen og sammensætningen af cybertrusler mod applikationer er i hastig udvikling. I mange år har brugere tilgået webapplikationer over internettet ved hjælp af populære webbrowsere. Det var nødvendigt at understøtte 2-5 webbrowsere på et givet tidspunkt, og standardsættet for udvikling og test af webapplikationer var ret begrænset. For eksempel blev næsten alle databaser bygget ved hjælp af SQL. Desværre lærte hackere efter kort tid at bruge webapplikationer til at stjæle, slette eller ændre data. De fik ulovlig adgang til og misbrugte applikationskapaciteter ved hjælp af en række forskellige teknikker, herunder vildledning af applikationsbrugere, indsprøjtning og fjernudførelse af kode. Snart kom kommercielle webapplikationssikkerhedsværktøjer kaldet Web Application Firewalls (WAF'er) på markedet, og samfundet reagerede ved at oprette et åbent webapplikationssikkerhedsprojekt, Open Web Application Security Project (OWASP), for at definere og vedligeholde udviklingsstandarder og -metodologier sikre applikationer.
Grundlæggende applikationsbeskyttelse
er udgangspunktet for sikring af applikationer og indeholder en liste over de farligste trusler og fejlkonfigurationer, der kan føre til applikationssårbarheder, samt taktik til at opdage og bekæmpe angreb. OWASP Top 10 er et anerkendt benchmark i applikations-cybersikkerhedsindustrien over hele verden og definerer kernelisten over funktioner, som et webapplikationssikkerhedssystem (WAF) bør have.
Derudover skal WAF-funktionaliteten tage højde for andre almindelige angreb på webapplikationer, herunder cross-site request forgery (CSRF), clickjacking, web scraping og filinkludering (RFI/LFI).
Trusler og udfordringer for at sikre sikkerheden i moderne applikationer
I dag er ikke alle applikationer implementeret i en netværksversion. Der er cloud-apps, mobilapps, API'er og i de nyeste arkitekturer endda brugerdefinerede softwarefunktioner. Alle disse typer applikationer skal synkroniseres og kontrolleres, når de opretter, ændrer og behandler vores data. Med fremkomsten af nye teknologier og paradigmer opstår nye kompleksiteter og udfordringer på alle stadier af applikationens livscyklus. Dette inkluderer udvikling og operationsintegration (DevOps), containere, Internet of Things (IoT), open source-værktøjer, API'er og mere.
Den distribuerede udrulning af applikationer og mangfoldigheden af teknologier skaber komplekse og komplekse udfordringer, ikke kun for informationssikkerhedsprofessionelle, men også for leverandører af sikkerhedsløsninger, som ikke længere kan stole på en samlet tilgang. Applikationssikkerhedsforanstaltninger skal tage hensyn til deres virksomhedsspecifikationer for at forhindre falske positiver og forstyrrelse af kvaliteten af tjenester for brugerne.
Det ultimative mål for hackere er normalt enten at stjæle data eller forstyrre tilgængeligheden af tjenester. Angribere drager også fordel af den teknologiske udvikling. For det første skaber udviklingen af nye teknologier flere potentielle huller og sårbarheder. For det andet har de flere værktøjer og viden til at omgå traditionelle sikkerhedsforanstaltninger. Dette øger i høj grad den såkaldte "angrebsflade" og organisationers eksponering for nye risici. Sikkerhedspolitikker skal konstant ændres som reaktion på ændringer i teknologi og applikationer.
Applikationer skal således beskyttes mod et stadigt større udvalg af angrebsmetoder og kilder, og automatiserede angreb skal imødegås i realtid baseret på informerede beslutninger. Resultatet er øgede transaktionsomkostninger og manuelt arbejde kombineret med en svækket sikkerhedsstilling.
Opgave #1: Håndtering af bots
Mere end 60 % af internettrafikken genereres af bots, hvoraf halvdelen er "dårlig" trafik (iht. ). Organisationer investerer i at øge netværkskapaciteten, hvilket i det væsentlige tjener en fiktiv belastning. Nøjagtig skelnen mellem reel brugertrafik og bottrafik samt "gode" bots (for eksempel søgerobotter og prissammenligningstjenester) og "dårlige" bots kan resultere i betydelige omkostningsbesparelser og forbedret servicekvalitet for brugerne.
Bots vil ikke gøre denne opgave let, og de kan efterligne rigtige brugeres adfærd, omgå CAPTCHA'er og andre forhindringer. I tilfælde af angreb med dynamiske IP-adresser bliver beskyttelse baseret på IP-adressefiltrering desuden ineffektiv. Ofte bruges open source-udviklingsværktøjer (for eksempel Phantom JS), der kan håndtere JavaScript på klientsiden, til at starte brute-force-angreb, credential stuffing-angreb, DDoS-angreb og automatiserede botangreb. .
For effektivt at administrere bottrafik kræves en unik identifikation af dens kilde (som et fingeraftryk). Da et botangreb genererer flere registreringer, giver dets fingeraftryk det mulighed for at identificere mistænkelig aktivitet og tildele scores, baseret på hvilke applikationsbeskyttelsessystemet træffer en informeret beslutning - bloker/tillad - med en minimumsrate af falske positiver.
Udfordring #2: Beskyttelse af API
Mange applikationer indsamler information og data fra tjenester, de interagerer med via API'er. Når der overføres følsomme data via API'er, hverken validerer eller sikrer mere end 50% af organisationerne API'er til at opdage cyberangreb.
Eksempler på brug af API:
- Internet of Things (IoT) integration
- Maskin-til-maskine kommunikation
- Serverløse miljøer
- Mobile Apps
- Hændelsesdrevne applikationer
API-sårbarheder ligner applikationssårbarheder og omfatter injektioner, protokolangreb, parametermanipulation, omdirigeringer og botangreb. Dedikerede API-gateways hjælper med at sikre kompatibilitet mellem applikationstjenester, der interagerer via API'er. De giver dog ikke ende-til-ende applikationssikkerhed som en WAF kan med essentielle sikkerhedsværktøjer såsom HTTP header parsing, Layer 7 access control list (ACL), JSON/XML nyttelast parsing og inspektion og beskyttelse mod alle sårbarheder fra OWASP Top 10 liste. Dette opnås ved at inspicere nøgle API-værdier ved hjælp af positive og negative modeller.
Udfordring #3: Denial of Service
En gammel angrebsvektor, denial of service (DoS), fortsætter med at bevise sin effektivitet i at angribe applikationer. Angribere har en række vellykkede teknikker til at forstyrre applikationstjenester, herunder HTTP- eller HTTPS-oversvømmelser, lav-og-langsomme angreb (f.eks. SlowLoris, LOIC, Torshammer), angreb ved hjælp af dynamiske IP-adresser, bufferoverløb, brute force-angreb og mange andre . Med udviklingen af Internet of Things og den efterfølgende fremkomst af IoT-botnets er angreb på applikationer blevet hovedfokus for DDoS-angreb. De fleste stateful WAF'er kan kun håndtere en begrænset mængde belastning. De kan dog inspicere HTTP/S-trafikstrømme og fjerne angrebstrafik og ondsindede forbindelser. Når først et angreb er blevet identificeret, nytter det ikke noget at passere denne trafik igen. Da WAF's kapacitet til at afvise angreb er begrænset, er der behov for en ekstra løsning ved netværkets perimeter for automatisk at blokere de næste "dårlige" pakker. For dette sikkerhedsscenarie skal begge løsninger være i stand til at kommunikere med hinanden for at udveksle information om angreb.
Fig. 1. Organisering af omfattende netværks- og applikationsbeskyttelse ved hjælp af eksemplet med Radware-løsninger
Udfordring #4: Kontinuerlig beskyttelse
Ansøgninger ændres ofte. Udviklings- og implementeringsmetoder såsom rullende opdateringer betyder, at ændringer sker uden menneskelig indgriben eller kontrol. I sådanne dynamiske miljøer er det vanskeligt at opretholde tilstrækkeligt fungerende sikkerhedspolitikker uden et stort antal falske positiver. Mobilapplikationer opdateres meget hyppigere end webapplikationer. Tredjepartsapplikationer kan ændre sig uden din viden. Nogle organisationer søger større kontrol og synlighed for at holde sig på toppen af potentielle risici. Dette er dog ikke altid muligt, og pålidelig applikationsbeskyttelse skal bruge kraften i maskinlæring til at redegøre for og visualisere tilgængelige ressourcer, analysere potentielle trusler og oprette og optimere sikkerhedspolitikker i tilfælde af applikationsændringer.
Fund
Da apps spiller en stadig vigtigere rolle i hverdagen, bliver de et primært mål for hackere. De potentielle belønninger for kriminelle og de potentielle tab for virksomheder er enorme. Kompleksiteten af applikationssikkerhedsopgaven kan ikke overvurderes i betragtning af antallet og variationerne af applikationer og trusler.
Heldigvis er vi på et tidspunkt, hvor kunstig intelligens kan komme os til hjælp. Maskinlæringsbaserede algoritmer giver adaptiv beskyttelse i realtid mod de mest avancerede cybertrusler rettet mod applikationer. De opdaterer også automatisk sikkerhedspolitikker for at beskytte web-, mobil- og cloudapplikationer – og API'er – uden falske positiver.
Det er svært at forudsige med sikkerhed, hvad den næste generation af applikationscybertrusler (muligvis også baseret på machine learning) bliver. Men organisationer kan bestemt tage skridt til at beskytte kundedata, beskytte intellektuel ejendom og sikre servicetilgængelighed med store forretningsmæssige fordele.
Effektive tilgange og metoder til at sikre applikationssikkerhed, hovedtyperne og vektorerne for angreb, risikoområder og huller i cyberbeskyttelse af webapplikationer samt global erfaring og bedste praksis præsenteres i Radware-undersøgelsen og rapporten "".
Kilde: www.habr.com