Rückblick
Das Ausmaß, die Zusammensetzung und die Zusammensetzung der Cyber-Bedrohungen für Anwendungen entwickeln sich rasant weiter. Seit vielen Jahren greifen Benutzer mit gängigen Webbrowsern über das Internet auf Webanwendungen zu. Es war notwendig, jeweils zwei bis fünf Webbrowser zu unterstützen, und die Standards für die Entwicklung und das Testen von Webanwendungen waren recht begrenzt. Beispielsweise wurden fast alle Datenbanken mit SQL erstellt. Leider haben Hacker schon nach kurzer Zeit gelernt, Webanwendungen zu nutzen, um Daten zu stehlen, zu löschen oder zu verändern. Sie verschafften sich illegalen Zugriff auf Anwendungsfunktionen und missbrauchten diese mithilfe verschiedener Techniken, darunter Täuschung von Anwendungsbenutzern, Einschleusung und Remote-Codeausführung. Bald kamen kommerzielle Webanwendungssicherheitstools namens Web Application Firewalls (WAFs) auf den Markt, und die Community reagierte mit der Schaffung eines offenen Webanwendungssicherheitsprojekts, dem Open Web Application Security Project (OWASP), um Entwicklungsstandards und -methoden zu definieren und aufrechtzuerhalten .sichere Anwendungen.
Grundlegender Anwendungsschutz
ist der Ausgangspunkt für die Sicherung von Anwendungen und enthält eine Liste der gefährlichsten Bedrohungen und Fehlkonfigurationen, die zu Anwendungsschwachstellen führen können, sowie Taktiken zur Erkennung und Abwehr von Angriffen. Die OWASP Top 10 sind ein anerkannter Maßstab in der Anwendungs-Cybersicherheitsbranche weltweit und definieren die Kernliste der Funktionen, die ein Webanwendungssicherheitssystem (WAF) haben sollte.
Darüber hinaus muss die WAF-Funktionalität andere häufige Angriffe auf Webanwendungen berücksichtigen, darunter Cross-Site Request Forgery (CSRF), Clickjacking, Web Scraping und File Inclusion (RFI/LFI).
Bedrohungen und Herausforderungen für die Gewährleistung der Sicherheit moderner Anwendungen
Heutzutage werden nicht alle Anwendungen in einer Netzwerkversion implementiert. Es gibt Cloud-Apps, mobile Apps, APIs und in den neuesten Architekturen sogar individuelle Softwarefunktionen. Alle diese Arten von Anwendungen müssen synchronisiert und gesteuert werden, während sie unsere Daten erstellen, ändern und verarbeiten. Mit dem Aufkommen neuer Technologien und Paradigmen entstehen in allen Phasen des Anwendungslebenszyklus neue Komplexitäten und Herausforderungen. Dazu gehören Entwicklungs- und Betriebsintegration (DevOps), Container, Internet der Dinge (IoT), Open-Source-Tools, APIs und mehr.
Die verteilte Bereitstellung von Anwendungen und die Vielfalt der Technologien stellen komplexe und komplexe Herausforderungen dar, nicht nur für Informationssicherheitsexperten, sondern auch für Anbieter von Sicherheitslösungen, die sich nicht mehr auf einen einheitlichen Ansatz verlassen können. Anwendungssicherheitsmaßnahmen müssen ihre geschäftlichen Besonderheiten berücksichtigen, um Fehlalarme und Beeinträchtigungen der Servicequalität für Benutzer zu verhindern.
Das ultimative Ziel von Hackern besteht in der Regel darin, Daten zu stehlen oder die Verfügbarkeit von Diensten zu stören. Auch Angreifer profitieren von der technologischen Entwicklung. Erstens schafft die Entwicklung neuer Technologien mehr potenzielle Lücken und Schwachstellen. Zweitens verfügen sie über mehr Tools und Wissen in ihrem Arsenal, um herkömmliche Sicherheitsmaßnahmen zu umgehen. Dies erhöht die sogenannte „Angriffsfläche“ und die Gefährdung von Organisationen durch neue Risiken erheblich. Sicherheitsrichtlinien müssen sich als Reaktion auf Änderungen in Technologie und Anwendungen ständig ändern.
Daher müssen Anwendungen vor immer vielfältigeren Angriffsmethoden und -quellen geschützt und automatisierten Angriffen in Echtzeit auf der Grundlage fundierter Entscheidungen begegnet werden. Das Ergebnis sind erhöhte Transaktionskosten und manuelle Arbeit, gepaart mit einer geschwächten Sicherheitslage.
Aufgabe Nr. 1: Bots verwalten
Mehr als 60 % des Internetverkehrs werden von Bots erzeugt, die Hälfte davon ist „schlechter“ Verkehr (laut ). Organisationen investieren in die Erhöhung der Netzwerkkapazität und bedienen im Wesentlichen eine fiktive Last. Die genaue Unterscheidung zwischen echtem Benutzerverkehr und Bot-Verkehr sowie zwischen „guten“ Bots (zum Beispiel Suchmaschinen und Preisvergleichsdienste) und „schlechten“ Bots kann zu erheblichen Kosteneinsparungen und einer verbesserten Servicequalität für Benutzer führen.
Bots werden Ihnen diese Aufgabe nicht leicht machen, und sie können das Verhalten echter Benutzer nachahmen, CAPTCHAs und andere Hindernisse umgehen. Darüber hinaus wird bei Angriffen mit dynamischen IP-Adressen der Schutz durch IP-Adressfilterung wirkungslos. Häufig werden Open-Source-Entwicklungstools (z. B. Phantom JS), die clientseitiges JavaScript verarbeiten können, zum Starten von Brute-Force-Angriffen, Credential-Stuffing-Angriffen, DDoS-Angriffen und automatisierten Bot-Angriffen verwendet.
Um den Bot-Verkehr effektiv zu verwalten, ist eine eindeutige Identifizierung seiner Quelle (z. B. ein Fingerabdruck) erforderlich. Da ein Bot-Angriff mehrere Datensätze generiert, kann er anhand seines Fingerabdrucks verdächtige Aktivitäten identifizieren und Bewertungen zuweisen, auf deren Grundlage das Anwendungsschutzsystem eine fundierte Entscheidung – Blockieren/Zulassen – mit einer minimalen Rate an Fehlalarmen trifft.
Herausforderung Nr. 2: Schutz der API
Viele Anwendungen sammeln Informationen und Daten von Diensten, mit denen sie über APIs interagieren. Bei der Übertragung sensibler Daten über APIs validieren oder sichern mehr als 50 % der Unternehmen APIs weder, um Cyberangriffe zu erkennen.
Beispiele für die Verwendung der API:
- Integration des Internets der Dinge (IoT).
- Maschine-zu-Maschine-Kommunikation
- Serverlose Umgebungen
- Mobile Apps
- Ereignisgesteuerte Anwendungen
API-Schwachstellen ähneln Anwendungsschwachstellen und umfassen Injektionen, Protokollangriffe, Parametermanipulation, Weiterleitungen und Bot-Angriffe. Dedizierte API-Gateways tragen dazu bei, die Kompatibilität zwischen Anwendungsdiensten sicherzustellen, die über APIs interagieren. Sie bieten jedoch keine durchgängige Anwendungssicherheit wie eine WAF mit wesentlichen Sicherheitstools wie HTTP-Header-Analyse, Layer-7-Zugriffskontrollliste (ACL), JSON/XML-Payload-Analyse und -Inspektion sowie Schutz vor allen Schwachstellen von OWASP-Top-10-Liste. Dies wird durch die Überprüfung wichtiger API-Werte mithilfe positiver und negativer Modelle erreicht.
Herausforderung Nr. 3: Denial of Service
Ein alter Angriffsvektor, Denial of Service (DoS), beweist weiterhin seine Wirksamkeit beim Angriff auf Anwendungen. Angreifer verfügen über eine Reihe erfolgreicher Techniken, um Anwendungsdienste zu stören, darunter HTTP- oder HTTPS-Floods, Low-and-Slow-Angriffe (z. B. SlowLoris, LOIC, Torshammer), Angriffe mit dynamischen IP-Adressen, Pufferüberlauf, Brute-Force-Angriffe und viele andere . Mit der Entwicklung des Internets der Dinge und dem darauffolgenden Aufkommen von IoT-Botnetzen sind Angriffe auf Anwendungen zum Hauptschwerpunkt von DDoS-Angriffen geworden. Die meisten zustandsbehafteten WAFs können nur eine begrenzte Lastmenge bewältigen. Sie können jedoch HTTP/S-Verkehrsflüsse untersuchen und Angriffsverkehr und bösartige Verbindungen entfernen. Sobald ein Angriff erkannt wurde, macht es keinen Sinn, diesen Datenverkehr erneut weiterzuleiten. Da die Fähigkeit der WAF, Angriffe abzuwehren, begrenzt ist, ist eine zusätzliche Lösung am Netzwerkperimeter erforderlich, um die nächsten „schlechten“ Pakete automatisch zu blockieren. Für dieses Sicherheitsszenario müssen beide Lösungen miteinander kommunizieren können, um Informationen über Angriffe auszutauschen.
Abb. 1. Organisation eines umfassenden Netzwerk- und Anwendungsschutzes am Beispiel von Radware-Lösungen
Herausforderung Nr. 4: Kontinuierlicher Schutz
Anwendungen ändern sich häufig. Entwicklungs- und Implementierungsmethoden wie fortlaufende Updates bedeuten, dass Änderungen ohne menschliches Eingreifen oder Kontrolle erfolgen. In solch dynamischen Umgebungen ist es schwierig, angemessen funktionierende Sicherheitsrichtlinien aufrechtzuerhalten, ohne dass es zu einer hohen Anzahl falsch positiver Ergebnisse kommt. Mobile Anwendungen werden viel häufiger aktualisiert als Webanwendungen. Anwendungen Dritter können sich ohne Ihr Wissen ändern. Einige Unternehmen streben nach mehr Kontrolle und Transparenz, um potenzielle Risiken im Auge zu behalten. Dies ist jedoch nicht immer erreichbar, und ein zuverlässiger Anwendungsschutz muss die Leistungsfähigkeit des maschinellen Lernens nutzen, um verfügbare Ressourcen zu berücksichtigen und zu visualisieren, potenzielle Bedrohungen zu analysieren und Sicherheitsrichtlinien für den Fall von Anwendungsänderungen zu erstellen und zu optimieren.
Befund
Da Apps im Alltag eine immer wichtigere Rolle spielen, werden sie zum Hauptziel von Hackern. Die potenziellen Gewinne für Kriminelle und die potenziellen Verluste für Unternehmen sind enorm. Die Komplexität der Anwendungssicherheitsaufgabe kann angesichts der Anzahl und Variationen von Anwendungen und Bedrohungen nicht hoch genug eingeschätzt werden.
Glücklicherweise sind wir an einem Punkt angelangt, an dem künstliche Intelligenz uns helfen kann. Auf maschinellem Lernen basierende Algorithmen bieten adaptiven Echtzeitschutz vor den fortschrittlichsten Cyberbedrohungen, die auf Anwendungen abzielen. Außerdem aktualisieren sie automatisch Sicherheitsrichtlinien, um Web-, Mobil- und Cloud-Anwendungen – und APIs – ohne Fehlalarme zu schützen.
Es ist schwierig, mit Sicherheit vorherzusagen, wie die nächste Generation von Cyberbedrohungen für Anwendungen aussehen wird (die möglicherweise auch auf maschinellem Lernen basieren). Aber Unternehmen können sicherlich Maßnahmen ergreifen, um Kundendaten zu schützen, geistiges Eigentum zu schützen und die Verfügbarkeit von Diensten sicherzustellen, was große geschäftliche Vorteile mit sich bringt.
Wirksame Ansätze und Methoden zur Gewährleistung der Anwendungssicherheit, die wichtigsten Angriffsarten und -vektoren, Risikobereiche und Lücken im Cyberschutz von Webanwendungen sowie globale Erfahrungen und Best Practices werden in der Radware-Studie und dem Bericht vorgestellt.".
Source: habr.com