αναδρομικός
Η κλίμακα, η σύνθεση και η σύνθεση των απειλών στον κυβερνοχώρο σε εφαρμογές εξελίσσονται με ταχείς ρυθμούς. Για πολλά χρόνια, οι χρήστες έχουν πρόσβαση σε εφαρμογές Ιστού μέσω του Διαδικτύου χρησιμοποιώντας δημοφιλή προγράμματα περιήγησης ιστού. Ήταν απαραίτητο να υποστηρίζονται 2-5 προγράμματα περιήγησης ιστού ανά πάσα στιγμή και το σύνολο των προτύπων για την ανάπτυξη και τη δοκιμή εφαρμογών Ιστού ήταν αρκετά περιορισμένο. Για παράδειγμα, σχεδόν όλες οι βάσεις δεδομένων δημιουργήθηκαν χρησιμοποιώντας SQL. Δυστυχώς, μετά από σύντομο χρονικό διάστημα, οι χάκερ έμαθαν να χρησιμοποιούν εφαρμογές Ιστού για να κλέψουν, να διαγράψουν ή να αλλάξουν δεδομένα. Απέκτησαν παράνομη πρόσβαση και κατάχρηση των δυνατοτήτων της εφαρμογής χρησιμοποιώντας μια ποικιλία τεχνικών, συμπεριλαμβανομένης της εξαπάτησης των χρηστών εφαρμογών, της ένεσης και της απομακρυσμένης εκτέλεσης κώδικα. Σύντομα, εμπορικά εργαλεία ασφάλειας διαδικτυακών εφαρμογών που ονομάζονται Web Application Firewalls (WAF) κυκλοφόρησαν στην αγορά και η κοινότητα ανταποκρίθηκε δημιουργώντας ένα ανοιχτό έργο ασφάλειας διαδικτυακών εφαρμογών, το Open Web Application Security Project (OWASP), για τον καθορισμό και τη διατήρηση προτύπων και μεθοδολογιών ανάπτυξης ασφαλείς εφαρμογές.
Βασική προστασία εφαρμογής
είναι το σημείο εκκίνησης για την ασφάλεια των εφαρμογών και περιέχει μια λίστα με τις πιο επικίνδυνες απειλές και εσφαλμένες διαμορφώσεις που μπορούν να οδηγήσουν σε τρωτά σημεία εφαρμογής, καθώς και τακτικές για τον εντοπισμό και την εξουδετέρωση επιθέσεων. Το OWASP Top 10 είναι ένα αναγνωρισμένο σημείο αναφοράς στον κλάδο της κυβερνοασφάλειας εφαρμογών παγκοσμίως και καθορίζει τον βασικό κατάλογο δυνατοτήτων που πρέπει να έχει ένα σύστημα ασφάλειας εφαρμογών Ιστού (WAF).
Επιπλέον, η λειτουργικότητα του WAF πρέπει να λαμβάνει υπόψη άλλες κοινές επιθέσεις σε εφαρμογές Ιστού, συμπεριλαμβανομένης της πλαστογράφησης αιτημάτων μεταξύ τοποθεσιών (CSRF), του clickjacking, της απόξεσης ιστού και της συμπερίληψης αρχείων (RFI/LFI).
Απειλές και προκλήσεις για τη διασφάλιση της ασφάλειας των σύγχρονων εφαρμογών
Σήμερα, δεν υλοποιούνται όλες οι εφαρμογές σε έκδοση δικτύου. Υπάρχουν εφαρμογές cloud, εφαρμογές για κινητά, API και στις πιο πρόσφατες αρχιτεκτονικές, ακόμη και προσαρμοσμένες λειτουργίες λογισμικού. Όλοι αυτοί οι τύποι εφαρμογών πρέπει να συγχρονίζονται και να ελέγχονται καθώς δημιουργούν, τροποποιούν και επεξεργάζονται τα δεδομένα μας. Με την έλευση των νέων τεχνολογιών και παραδειγμάτων, νέες πολυπλοκότητες και προκλήσεις προκύπτουν σε όλα τα στάδια του κύκλου ζωής της εφαρμογής. Αυτό περιλαμβάνει ενσωμάτωση ανάπτυξης και λειτουργιών (DevOps), κοντέινερ, Internet of Things (IoT), εργαλεία ανοιχτού κώδικα, API και άλλα.
Η κατανεμημένη ανάπτυξη εφαρμογών και η ποικιλομορφία των τεχνολογιών δημιουργεί περίπλοκες και σύνθετες προκλήσεις όχι μόνο για τους επαγγελματίες ασφάλειας πληροφοριών, αλλά και για τους προμηθευτές λύσεων ασφαλείας που δεν μπορούν πλέον να βασίζονται σε μια ενοποιημένη προσέγγιση. Τα μέτρα ασφαλείας των εφαρμογών πρέπει να λαμβάνουν υπόψη τις επιχειρηματικές τους ιδιαιτερότητες για την αποφυγή ψευδών θετικών στοιχείων και διαταραχών της ποιότητας των υπηρεσιών για τους χρήστες.
Ο απώτερος στόχος των χάκερ είναι συνήθως είτε να κλέψουν δεδομένα είτε να διαταράξουν τη διαθεσιμότητα των υπηρεσιών. Οι επιτιθέμενοι επωφελούνται επίσης από την τεχνολογική εξέλιξη. Πρώτον, η ανάπτυξη νέων τεχνολογιών δημιουργεί περισσότερα πιθανά κενά και τρωτά σημεία. Δεύτερον, έχουν περισσότερα εργαλεία και γνώσεις στο οπλοστάσιό τους για να παρακάμψουν τα παραδοσιακά μέτρα ασφαλείας. Αυτό αυξάνει σημαντικά τη λεγόμενη «επιφάνεια επίθεσης» και την έκθεση των οργανισμών σε νέους κινδύνους. Οι πολιτικές ασφαλείας πρέπει να αλλάζουν συνεχώς ως απάντηση στις αλλαγές στην τεχνολογία και τις εφαρμογές.
Έτσι, οι εφαρμογές πρέπει να προστατεύονται από μια ολοένα αυξανόμενη ποικιλία μεθόδων και πηγών επίθεσης και οι αυτοματοποιημένες επιθέσεις πρέπει να αντιμετωπίζονται σε πραγματικό χρόνο με βάση τεκμηριωμένες αποφάσεις. Το αποτέλεσμα είναι αυξημένο κόστος συναλλαγής και χειρωνακτική εργασία, σε συνδυασμό με εξασθενημένη στάση ασφαλείας.
Εργασία #1: Διαχείριση bots
Περισσότερο από το 60% της κίνησης στο Διαδίκτυο δημιουργείται από bots, το ήμισυ των οποίων είναι «κακή» κίνηση (σύμφωνα με ). Οι οργανισμοί επενδύουν στην αύξηση της χωρητικότητας του δικτύου, εξυπηρετώντας ουσιαστικά ένα πλασματικό φορτίο. Η ακριβής διάκριση μεταξύ πραγματικής επισκεψιμότητας χρηστών και επισκεψιμότητας bot, καθώς και "καλών" bots (για παράδειγμα, μηχανών αναζήτησης και υπηρεσιών σύγκρισης τιμών) και "κακών" bots μπορεί να οδηγήσει σε σημαντική εξοικονόμηση κόστους και βελτιωμένη ποιότητα υπηρεσιών για τους χρήστες.
Τα ρομπότ δεν πρόκειται να κάνουν αυτή την εργασία εύκολη και μπορούν να μιμηθούν τη συμπεριφορά πραγματικών χρηστών, να παρακάμψουν τα CAPTCHA και άλλα εμπόδια. Επιπλέον, στην περίπτωση επιθέσεων που χρησιμοποιούν δυναμικές διευθύνσεις IP, η προστασία που βασίζεται στο φιλτράρισμα διευθύνσεων IP καθίσταται αναποτελεσματική. Συχνά, εργαλεία ανάπτυξης ανοιχτού κώδικα (για παράδειγμα, Phantom JS) που μπορούν να χειριστούν JavaScript από την πλευρά του πελάτη χρησιμοποιούνται για την εκτόξευση επιθέσεων brute-force, επιθέσεων πλήρωσης διαπιστευτηρίων, επιθέσεων DDoS και αυτοματοποιημένων επιθέσεων bot.
Για την αποτελεσματική διαχείριση της κυκλοφορίας bot, απαιτείται μια μοναδική αναγνώριση της πηγής του (όπως ένα δακτυλικό αποτύπωμα). Δεδομένου ότι μια επίθεση bot δημιουργεί πολλαπλές εγγραφές, το δακτυλικό του αποτύπωμα του επιτρέπει να εντοπίζει ύποπτη δραστηριότητα και να εκχωρεί βαθμολογίες, βάσει των οποίων το σύστημα προστασίας της εφαρμογής λαμβάνει μια τεκμηριωμένη απόφαση - μπλοκ/επιτρέπει - με ελάχιστο ποσοστό ψευδών θετικών αποτελεσμάτων.
Πρόκληση #2: Προστασία του API
Πολλές εφαρμογές συλλέγουν πληροφορίες και δεδομένα από υπηρεσίες με τις οποίες αλληλεπιδρούν μέσω API. Κατά τη μετάδοση ευαίσθητων δεδομένων μέσω API, πάνω από το 50% των οργανισμών ούτε επικυρώνουν ούτε ασφαλίζουν τα API για τον εντοπισμό κυβερνοεπιθέσεων.
Παραδείγματα χρήσης του API:
- Ενοποίηση Internet of Things (IoT).
- Επικοινωνία από μηχανή με μηχανή
- Περιβάλλοντα χωρίς διακομιστή
- Mobile Apps
- Εφαρμογές που βασίζονται σε συμβάντα
Οι ευπάθειες του API είναι παρόμοιες με τις ευπάθειες εφαρμογών και περιλαμβάνουν ενέσεις, επιθέσεις πρωτοκόλλου, χειρισμό παραμέτρων, ανακατευθύνσεις και επιθέσεις bot. Οι αποκλειστικές πύλες API συμβάλλουν στη διασφάλιση της συμβατότητας μεταξύ των υπηρεσιών εφαρμογών που αλληλεπιδρούν μέσω API. Ωστόσο, δεν παρέχουν ασφάλεια εφαρμογών από άκρο σε άκρο όπως ένα WAF με βασικά εργαλεία ασφαλείας, όπως ανάλυση κεφαλίδων HTTP, λίστα ελέγχου πρόσβασης επιπέδου 7 (ACL), ανάλυση και επιθεώρηση ωφέλιμου φορτίου JSON/XML και προστασία από όλες τις ευπάθειες από Λίστα OWASP Top 10. Αυτό επιτυγχάνεται με την επιθεώρηση βασικών τιμών API χρησιμοποιώντας θετικά και αρνητικά μοντέλα.
Πρόκληση #3: Άρνηση υπηρεσίας
Ένας παλιός φορέας επίθεσης, το Denial of Service (DoS), συνεχίζει να αποδεικνύει την αποτελεσματικότητά του στην επίθεση σε εφαρμογές. Οι εισβολείς έχουν μια σειρά από επιτυχημένες τεχνικές για να διακόψουν τις υπηρεσίες εφαρμογών, συμπεριλαμβανομένων των πλημμυρών HTTP ή HTTPS, επιθέσεων χαμηλών και αργών (π.χ. SlowLoris, LOIC, Torshammer), επιθέσεις με δυναμικές διευθύνσεις IP, υπερχείλιση buffer, επιθέσεις ωμής βίας και πολλά άλλα . Με την ανάπτυξη του Διαδικτύου των Πραγμάτων και την επακόλουθη εμφάνιση των botnets IoT, οι επιθέσεις σε εφαρμογές έχουν γίνει το κύριο επίκεντρο των επιθέσεων DDoS. Τα περισσότερα WAF με κατάσταση κατάστασης μπορούν να χειριστούν μόνο ένα περιορισμένο φορτίο. Ωστόσο, μπορούν να επιθεωρήσουν τις ροές κυκλοφορίας HTTP/S και να αφαιρέσουν την κίνηση επιθέσεων και τις κακόβουλες συνδέσεις. Μόλις εντοπιστεί μια επίθεση, δεν έχει νόημα να ξαναπεράσουμε αυτήν την κίνηση. Δεδομένου ότι η ικανότητα του WAF να αποκρούει επιθέσεις είναι περιορισμένη, απαιτείται μια πρόσθετη λύση στην περίμετρο του δικτύου για να μπλοκάρει αυτόματα τα επόμενα «κακά» πακέτα. Για αυτό το σενάριο ασφαλείας, και οι δύο λύσεις πρέπει να μπορούν να επικοινωνούν μεταξύ τους για την ανταλλαγή πληροφοριών σχετικά με επιθέσεις.
Εικ. 1. Οργάνωση ολοκληρωμένης προστασίας δικτύου και εφαρμογών χρησιμοποιώντας το παράδειγμα των λύσεων Radware
Πρόκληση #4: Συνεχής Προστασία
Οι εφαρμογές αλλάζουν συχνά. Οι μεθοδολογίες ανάπτυξης και εφαρμογής, όπως οι κυλιόμενες ενημερώσεις, σημαίνουν ότι οι τροποποιήσεις πραγματοποιούνται χωρίς ανθρώπινη παρέμβαση ή έλεγχο. Σε τέτοια δυναμικά περιβάλλοντα, είναι δύσκολο να διατηρηθούν επαρκώς λειτουργικές πολιτικές ασφαλείας χωρίς μεγάλο αριθμό ψευδών θετικών στοιχείων. Οι εφαρμογές για κινητά ενημερώνονται πολύ πιο συχνά από τις εφαρμογές web. Οι εφαρμογές τρίτων ενδέχεται να αλλάξουν εν αγνοία σας. Ορισμένοι οργανισμοί αναζητούν μεγαλύτερο έλεγχο και προβολή για να παραμείνουν στην κορυφή των πιθανών κινδύνων. Ωστόσο, αυτό δεν είναι πάντα εφικτό και η αξιόπιστη προστασία εφαρμογών πρέπει να χρησιμοποιεί τη δύναμη της μηχανικής εκμάθησης για να λαμβάνει υπόψη και να απεικονίζει τους διαθέσιμους πόρους, να αναλύει πιθανές απειλές και να δημιουργεί και να βελτιστοποιεί πολιτικές ασφαλείας σε περίπτωση τροποποιήσεων της εφαρμογής.
Ευρήματα
Καθώς οι εφαρμογές διαδραματίζουν ολοένα και πιο σημαντικό ρόλο στην καθημερινή ζωή, γίνονται πρωταρχικός στόχος για τους χάκερ. Οι πιθανές ανταμοιβές για τους εγκληματίες και οι πιθανές απώλειες για τις επιχειρήσεις είναι τεράστιες. Η πολυπλοκότητα της εργασίας ασφάλειας εφαρμογών δεν μπορεί να υπερεκτιμηθεί δεδομένου του αριθμού και των παραλλαγών των εφαρμογών και των απειλών.
Ευτυχώς, βρισκόμαστε σε μια χρονική στιγμή που η τεχνητή νοημοσύνη μπορεί να μας βοηθήσει. Οι αλγόριθμοι που βασίζονται στη μηχανική μάθηση παρέχουν σε πραγματικό χρόνο, προσαρμοστική προστασία έναντι των πιο προηγμένων εφαρμογών που στοχεύουν απειλές στον κυβερνοχώρο. Επίσης, ενημερώνουν αυτόματα τις πολιτικές ασφαλείας για την προστασία των εφαρμογών ιστού, κινητών και cloud—και API—χωρίς ψευδή θετικά στοιχεία.
Είναι δύσκολο να προβλέψουμε με βεβαιότητα ποιες θα είναι οι κυβερνοαπειλές της επόμενης γενιάς εφαρμογών (ενδεχομένως βασισμένες στη μηχανική μάθηση). Αλλά οι οργανισμοί μπορούν σίγουρα να λάβουν μέτρα για την προστασία των δεδομένων πελατών, την προστασία της πνευματικής ιδιοκτησίας και τη διασφάλιση της διαθεσιμότητας των υπηρεσιών με μεγάλα επιχειρηματικά οφέλη.
Αποτελεσματικές προσεγγίσεις και μέθοδοι για τη διασφάλιση της ασφάλειας εφαρμογών, οι κύριοι τύποι και φορείς επιθέσεων, οι περιοχές κινδύνου και τα κενά στην προστασία στον κυβερνοχώρο εφαρμογών ιστού, καθώς και η παγκόσμια εμπειρία και οι βέλτιστες πρακτικές παρουσιάζονται στη μελέτη και έκθεση Radware "".
Πηγή: www.habr.com