Αναδρομικός
Η κλίμακα, η σύνθεση και η δομή των κυβερνοαπειλών για τις εφαρμογές εξελίσσονται ραγδαία. Για πολλά χρόνια, οι χρήστες είχαν πρόσβαση σε διαδικτυακές εφαρμογές μέσω του Διαδικτύου χρησιμοποιώντας δημοφιλή προγράμματα περιήγησης ιστού. Σε κάθε δεδομένη στιγμή, έπρεπε να υποστηρίζονται 2-5 προγράμματα περιήγησης ιστού και το σύνολο των προτύπων για την ανάπτυξη και τον έλεγχο διαδικτυακών εφαρμογών ήταν αρκετά περιορισμένο. Για παράδειγμα, σχεδόν όλες οι βάσεις δεδομένων δημιουργήθηκαν χρησιμοποιώντας SQL. Δυστυχώς, δεν χρειάστηκε πολύς χρόνος για τους χάκερ να μάθουν πώς να εκμεταλλεύονται τις διαδικτυακές εφαρμογές για να κλέψουν, να διαγράψουν ή να τροποποιήσουν δεδομένα. Απέκτησαν παράνομη πρόσβαση και καταχράστηκαν εφαρμογές χρησιμοποιώντας μια ποικιλία τεχνικών, όπως εξαπάτηση των χρηστών εφαρμογών, εισαγωγή κώδικα και απομακρυσμένη εκτέλεση κώδικα. Σύντομα, εμφανίστηκαν στην αγορά εμπορικά εργαλεία ασφάλειας διαδικτυακών εφαρμογών που ονομάζονται Web Application Firewalls (WAFs) και η κοινότητα ανταποκρίθηκε δημιουργώντας ένα έργο ανοιχτού κώδικα για την ασφάλεια διαδικτυακών εφαρμογών, το Open Web Application Security Project (OWASP), για να ορίσει και να διατηρήσει πρότυπα και μεθοδολογίες για την ανάπτυξη ασφαλών εφαρμογών.
Βασική ασφάλεια εφαρμογών
είναι το σημείο εκκίνησης για την ασφάλεια εφαρμογών και περιέχει μια λίστα με τις πιο επικίνδυνες απειλές και λανθασμένες ρυθμίσεις που μπορούν να οδηγήσουν σε ευπάθειες εφαρμογών, καθώς και τακτικές για την ανίχνευση και τον μετριασμό επιθέσεων. Το OWASP Top 10 είναι ένα αναγνωρισμένο σημείο αναφοράς στον κλάδο της κυβερνοασφάλειας εφαρμογών παγκοσμίως και ορίζει μια βασική λίστα δυνατοτήτων που πρέπει να διαθέτει ένα σύστημα προστασίας διαδικτυακών εφαρμογών (WAF).
Επιπλέον, η λειτουργικότητα του WAF πρέπει να λαμβάνει υπόψη άλλες συνηθισμένες επιθέσεις σε εφαρμογές ιστού, όπως η πλαστογράφηση αιτημάτων μεταξύ ιστοτόπων (CSRF), το clickjacking, το web scraping και η συμπερίληψη αρχείων (RFI/LFI).
Απειλές και προκλήσεις για την ασφάλεια των σύγχρονων εφαρμογών
Σήμερα, δεν υλοποιούνται όλες οι εφαρμογές σε δικτυακή έκδοση. Υπάρχουν εφαρμογές cloud, εφαρμογές για κινητά, API, και στις νεότερες αρχιτεκτονικές, ακόμη και μεμονωμένες λειτουργίες λογισμικού. Όλοι αυτοί οι τύποι εφαρμογών πρέπει να συγχρονίζονται και να ελέγχονται, επειδή δημιουργούν, αλλάζουν και επεξεργάζονται τα δεδομένα μας. Με την έλευση νέων τεχνολογιών και παραδειγμάτων, προκύπτουν νέες πολυπλοκότητες και προκλήσεις σε όλα τα στάδια του κύκλου ζωής των εφαρμογών. Αυτό περιλαμβάνει DevOps, containers, το Διαδίκτυο των Πραγμάτων (IoT), εργαλεία ανοιχτού κώδικα, API, κ.λπ.
Η κατανεμημένη ανάπτυξη εφαρμογών και η ποικιλομορφία των τεχνολογιών δημιουργούν σύνθετες και ολοκληρωμένες προκλήσεις όχι μόνο για τους ειδικούς στην ασφάλεια πληροφοριών, αλλά και για τους προμηθευτές λύσεων ασφαλείας, οι οποίοι δεν μπορούν πλέον να βασίζονται σε μια ενοποιημένη προσέγγιση. Τα εργαλεία προστασίας εφαρμογών πρέπει να λαμβάνουν υπόψη τις επιχειρηματικές τους ιδιαιτερότητες, ώστε να αποτρέπονται τα ψευδώς θετικά αποτελέσματα και η διατάραξη της ποιότητας των υπηρεσιών για τους χρήστες.
Ο τελικός στόχος των χάκερ είναι συνήθως είτε να κλέψουν δεδομένα είτε να διαταράξουν τη διαθεσιμότητα των υπηρεσιών. Οι εισβολείς επωφελούνται επίσης από την τεχνολογική εξέλιξη. Πρώτον, η ανάπτυξη νέων τεχνολογιών δημιουργεί περισσότερα πιθανά κενά και ευπάθειες. Δεύτερον, διαθέτουν περισσότερα εργαλεία και γνώσεις για να παρακάμψουν τα παραδοσιακά μέτρα ασφαλείας. Αυτό αυξάνει σημαντικά την λεγόμενη «επιφάνεια επίθεσης» και την έκθεση των οργανισμών σε νέους κινδύνους. Οι πολιτικές ασφαλείας πρέπει να εξελίσσονται συνεχώς ως απάντηση στις αλλαγές στην τεχνολογία και τις εφαρμογές.
Συνεπώς, οι εφαρμογές πρέπει να προστατεύονται από μια συνεχώς αυξανόμενη ποικιλία μεθόδων και πηγών επίθεσης, και οι αυτοματοποιημένες επιθέσεις πρέπει να μετριάζονται σε πραγματικό χρόνο χρησιμοποιώντας τεκμηριωμένες αποφάσεις. Αυτό έχει ως αποτέλεσμα αυξημένο λειτουργικό κόστος και χειρωνακτική εργασία, ενώ παράλληλα αποδυναμώνει τις θέσεις ασφαλείας.
Εργασία #1: Διαχείριση Bot
Περισσότερο από το 60% της διαδικτυακής κίνησης παράγεται από bots, εκ των οποίων η μισή είναι «κακή» κίνηση (σύμφωνα με στοιχεία) ). Οι οργανισμοί επενδύουν στην αύξηση της χωρητικότητας του δικτύου, εξυπηρετώντας ουσιαστικά ένα πλασματικό φορτίο. Η ακριβής διάκριση μεταξύ της πραγματικής επισκεψιμότητας χρηστών και της επισκεψιμότητας από bot, καθώς και μεταξύ των «καλών» bots (όπως οι μηχανές αναζήτησης και οι υπηρεσίες σύγκρισης τιμών) και των «κακών» bots, μπορεί να οδηγήσει σε σημαντική εξοικονόμηση κόστους και βελτιωμένη εξυπηρέτηση για τους χρήστες.
Τα bots δεν πρόκειται να διευκολύνουν αυτό το έργο και μπορούν να μιμηθούν τη συμπεριφορά πραγματικών χρηστών, να παρακάμψουν τα CAPTCHA και άλλα εμπόδια. Επιπλέον, στην περίπτωση επιθέσεων που χρησιμοποιούν δυναμικές διευθύνσεις IP, η προστασία που βασίζεται στο φιλτράρισμα IP καθίσταται αναποτελεσματική. Συχνά, εργαλεία ανάπτυξης ανοιχτού κώδικα (για παράδειγμα, Phantom JS) που μπορούν να επεξεργαστούν JavaScript από την πλευρά του πελάτη χρησιμοποιούνται για την εκκίνηση επιθέσεων brute-force, επιθέσεων stuffing credential, επιθέσεων DDoS και αυτοματοποιημένων επιθέσεων bot.
Η αποτελεσματική διαχείριση της επισκεψιμότητας των bot απαιτεί μοναδική αναγνώριση της πηγής της (όπως ένα δακτυλικό αποτύπωμα). Δεδομένου ότι μια επίθεση bot δημιουργεί πολλά αρχεία, το δακτυλικό της αποτύπωμα επιτρέπει τον εντοπισμό ύποπτης δραστηριότητας και την εκχώρηση μιας βαθμολογίας, βάσει της οποίας το σύστημα προστασίας εφαρμογών λαμβάνει μια τεκμηριωμένη απόφαση - αποκλεισμός/επιτροπή - με ένα ελάχιστο ποσοστό ψευδώς θετικών αποτελεσμάτων.
Πρόκληση #2: Προστασία του API
Πολλές εφαρμογές συλλέγουν πληροφορίες και δεδομένα από υπηρεσίες με τις οποίες αλληλεπιδρούν μέσω API. Κατά τη μετάδοση ευαίσθητων δεδομένων μέσω API, περισσότερο από το 50% των οργανισμών δεν ελέγχουν ούτε προστατεύουν τα API για την ανίχνευση κυβερνοεπιθέσεων.
Παραδείγματα χρήσης API:
- Ενσωμάτωση του Διαδικτύου των Πραγμάτων (IoT)
- Επικοινωνία μηχανής με μηχανή
- Περιβάλλοντα χωρίς διακομιστή
- Mobile Apps
- Εφαρμογές που βασίζονται σε συμβάντα
Τα τρωτά σημεία των API είναι παρόμοια με τα τρωτά σημεία των εφαρμογών και περιλαμβάνουν ενέσεις, επιθέσεις πρωτοκόλλου, χειρισμό παραμέτρων, ανακατευθύνσεις και επιθέσεις bot. Οι αποκλειστικές πύλες API βοηθούν στη διασφάλιση της συμβατότητας των υπηρεσιών εφαρμογών που αλληλεπιδρούν μέσω API. Ωστόσο, δεν παρέχουν ασφάλεια εφαρμογών από άκρο σε άκρο, όπως κάνει ένα WAF με τα απαραίτητα εργαλεία ασφαλείας, όπως η ανάλυση κεφαλίδας HTTP, η λίστα ελέγχου πρόσβασης Layer 7 (ACL), η ανάλυση και η επικύρωση ωφέλιμου φορτίου JSON/XML, και η προστασία από όλα τα τρωτά σημεία της λίστας OWASP Top 10. Αυτό επιτυγχάνεται με την επιθεώρηση των τιμών κλειδιών API χρησιμοποιώντας θετικά και αρνητικά μοντέλα.
Πρόβλημα #3: Άρνηση παροχής υπηρεσίας
Ένας παλιός φορέας επίθεσης, η άρνηση υπηρεσίας (DoS), συνεχίζει να αποδεικνύει την αποτελεσματικότητά του στις επιθέσεις σε εφαρμογές. Οι επιτιθέμενοι διαθέτουν μια ολόκληρη σειρά επιτυχημένων τεχνικών για να διαταράσσουν τις υπηρεσίες εφαρμογών, συμπεριλαμβανομένων των πλημμυρών HTTP ή HTTPS, των επιθέσεων χαμηλής ισχύος και αργών επιθέσεων (π.χ. SlowLoris, LOIC, Torshammer), των δυναμικών επιθέσεων IP, των υπερχειλίσεων buffer, των επιθέσεων brute-force και πολλών άλλων. Με την άνοδο του Διαδικτύου των Πραγμάτων και την επακόλουθη εμφάνιση των botnet του IoT, οι επιθέσεις εφαρμογών έχουν γίνει το κύριο επίκεντρο των επιθέσεων DDoS. Τα περισσότερα stateful WAF μπορούν να αντέξουν μόνο μια περιορισμένη ποσότητα κίνησης. Ωστόσο, μπορούν να επιθεωρήσουν τις ροές κίνησης HTTP/S και να αφαιρέσουν την κίνηση επίθεσης και τις κακόβουλες συνδέσεις. Μόλις εντοπιστεί μια επίθεση, δεν έχει νόημα να επαναδιαβιβαστεί αυτή η κίνηση. Δεδομένου ότι το WAF έχει περιορισμένη απόδοση για την αντιμετώπιση επιθέσεων, απαιτείται μια πρόσθετη λύση στην περίμετρο του δικτύου για να μπλοκάρει αυτόματα περαιτέρω «κακά» πακέτα. Για αυτό το σενάριο ασφαλείας, και οι δύο λύσεις πρέπει να είναι σε θέση να επικοινωνούν μεταξύ τους για να ανταλλάσσουν πληροφορίες σχετικά με τις επιθέσεις.
Σχήμα 1. Οργάνωση ολοκληρωμένης προστασίας του δικτύου και των εφαρμογών χρησιμοποιώντας λύσεις Radware ως παράδειγμα
Εργασία #4: Συνεχής προστασία
Οι εφαρμογές αλλάζουν συχνά. Οι μεθοδολογίες ανάπτυξης και ανάπτυξης, όπως οι συνεχείς ενημερώσεις, σημαίνουν ότι οι τροποποιήσεις γίνονται χωρίς ανθρώπινη παρέμβαση και έλεγχο. Σε ένα τόσο δυναμικό περιβάλλον, είναι δύσκολο να διατηρηθούν επαρκείς πολιτικές ασφαλείας χωρίς υψηλό ποσοστό ψευδώς θετικών αποτελεσμάτων. Οι εφαρμογές για κινητά ενημερώνονται πολύ πιο συχνά από τις εφαρμογές ιστού. Οι εφαρμογές τρίτων μπορούν να αλλάξουν χωρίς να το γνωρίζετε. Ορισμένοι οργανισμοί αναζητούν μεγαλύτερο έλεγχο και ορατότητα για να παραμένουν στην κορυφή των πιθανών κινδύνων. Ωστόσο, αυτό δεν είναι πάντα εφικτό και η ισχυρή ασφάλεια εφαρμογών πρέπει να αξιοποιεί τη μηχανική μάθηση για να λαμβάνει υπόψη και να απεικονίζει υπάρχοντα περιουσιακά στοιχεία, να αναλύει πιθανές απειλές και να δημιουργεί και να βελτιστοποιεί πολιτικές ασφαλείας σε περίπτωση τροποποιήσεων εφαρμογών.
Ευρήματα
Καθώς οι εφαρμογές διαδραματίζουν ολοένα και πιο σημαντικό ρόλο στην καθημερινή ζωή, γίνονται πρωταρχικός στόχος για τους χάκερ. Οι πιθανές ανταμοιβές για τους επιτιθέμενους και οι πιθανές απώλειες για τις επιχειρήσεις είναι τεράστιες. Η πολυπλοκότητα του έργου της διασφάλισης της ασφάλειας των εφαρμογών δεν μπορεί να υπερεκτιμηθεί, δεδομένου του αριθμού και της ποικιλίας των εφαρμογών και των απειλών.
Ευτυχώς, βρισκόμαστε σε μια χρονική στιγμή όπου η τεχνητή νοημοσύνη μπορεί να μας σώσει. Οι αλγόριθμοι που βασίζονται στη μηχανική μάθηση παρέχουν προσαρμοστική προστασία σε πραγματικό χρόνο έναντι των πιο προηγμένων κυβερνοαπειλών που στοχεύουν σε εφαρμογές. Επίσης, ενημερώνουν αυτόματα τις πολιτικές ασφαλείας για την προστασία των εφαρμογών ιστού, κινητών και cloud — και των API — χωρίς ψευδώς θετικά αποτελέσματα.
Είναι δύσκολο να προβλέψουμε με ακρίβεια ποια θα είναι η επόμενη γενιά κυβερνοαπειλών εφαρμογών (πιθανώς βασισμένων και στη μηχανική μάθηση). Ωστόσο, οι οργανισμοί μπορούν σίγουρα να λάβουν μέτρα για την προστασία των δεδομένων των πελατών, της πνευματικής ιδιοκτησίας και να διασφαλίσουν τη διαθεσιμότητα υπηρεσιών με σημαντικά επιχειρηματικά οφέλη.
Αποτελεσματικές προσεγγίσεις και μέθοδοι για τη διασφάλιση της ασφάλειας των εφαρμογών, οι κύριοι τύποι και οι φορείς επιθέσεων, οι περιοχές κινδύνου και τα κενά στην κυβερνοπροστασία των διαδικτυακών εφαρμογών, καθώς και η παγκόσμια εμπειρία και οι βέλτιστες πρακτικές παρουσιάζονται στη μελέτη και την έκθεση Radware "".
Πηγή: www.habr.com
