Retrospektivo
La skalo, komponado kaj konsisto de ciberminacoj al aplikoj rapide evoluas. Dum multaj jaroj, uzantoj aliris TTT-aplikaĵojn tra la Interreto uzante popularajn TTT-legilojn. Necesis subteni 2-5 TTT-legilojn en ajna momento, kaj la aro de normoj por disvolvi kaj testi TTT-aplikaĵojn estis sufiĉe limigita. Ekzemple, preskaŭ ĉiuj datumbazoj estis konstruitaj uzante SQL. Bedaŭrinde, post mallonga tempo, piratoj lernis uzi TTT-aplikaĵojn por ŝteli, forigi aŭ ŝanĝi datumojn. Ili akiris kontraŭleĝan aliron al kaj misuzis aplikiĝkapablojn uzante gamon da teknikoj, inkluzive de trompo de aplikaĵuzantoj, injekton, kaj malproksiman kodekzekuton. Baldaŭ, komercaj retaplikaj sekurecaj iloj nomitaj Web Application Firewalls (WAFoj) venis sur la merkaton, kaj la komunumo respondis kreante malferman retaplikaĵan sekurecprojekton, la Open Web Application Security Project (OWASP), por difini kaj konservi evolunormojn kaj metodarojn. sekuraj aplikoj.
Baza aplika protekto
estas la deirpunkto por sekurigi aplikojn kaj enhavas liston de la plej danĝeraj minacoj kaj misagordoj, kiuj povas konduki al aplikaj vundeblecoj, kaj ankaŭ taktikojn por detekti kaj venki atakojn. La OWASP-Supro 10 estas agnoskita komparnormo en la aplikaĵa cibersekureca industrio tutmonde kaj difinas la kernan liston de kapabloj, kiujn devus havi sistemo de ret-aplika sekureco (WAF).
Krome, WAF-funkcio devas enkalkuli aliajn oftajn atakojn sur TTT-aplikoj, inkluzive de trans-eja peto-falsado (CSRF), klakkaptado, retskrapado kaj dosiero-inkludo (RFI/LFI).
Minacoj kaj defioj por certigi la sekurecon de modernaj aplikoj
Hodiaŭ, ne ĉiuj aplikoj estas efektivigitaj en retoversio. Estas nubaj programoj, moveblaj programoj, APIoj, kaj en la plej novaj arkitekturoj, eĉ kutimaj programaj funkcioj. Ĉiuj ĉi tiuj specoj de aplikoj devas esti sinkronigitaj kaj kontrolitaj dum ili kreas, modifas kaj prilaboras niajn datumojn. Kun la apero de novaj teknologioj kaj paradigmoj, novaj kompleksecoj kaj defioj ekestas en ĉiuj stadioj de la aplika vivociklo. Ĉi tio inkluzivas disvolviĝon kaj operacian integriĝon (DevOps), ujojn, Interreton de Aĵoj (IoT), malfermfontajn ilojn, APIojn kaj pli.
La distribuita deplojo de aplikoj kaj la diverseco de teknologioj kreas kompleksajn kaj kompleksajn defiojn ne nur por informasekurecaj profesiuloj, sed ankaŭ por sekurecsolvvendistoj, kiuj ne plu povas fidi je unuigita aliro. Aplikaj sekurecaj mezuroj devas konsideri iliajn komercajn specifaĵojn por malhelpi falsajn pozitivojn kaj interrompon de la kvalito de servoj por uzantoj.
La finfina celo de retpiratoj estas kutime aŭ ŝteli datumojn aŭ interrompi la haveblecon de servoj. Atakantoj ankaŭ profitas de teknologia evoluo. Unue, la evoluo de novaj teknologioj kreas pli da eblaj breĉoj kaj vundeblecoj. Due, ili havas pli da iloj kaj scioj en sia arsenalo por preteriri tradiciajn sekurecajn mezurojn. Ĉi tio multe pliigas la tiel nomatan "atakan surfacon" kaj la ekspozicion de organizoj al novaj riskoj. Sekurecpolitikoj devas konstante ŝanĝiĝi en respondo al ŝanĝoj en teknologio kaj aplikoj.
Tiel, aplikaĵoj devas esti protektitaj kontraŭ ĉiam pli granda vario de atakmetodoj kaj fontoj, kaj aŭtomatigitaj atakoj devas esti rebatitaj en reala tempo surbaze de informitaj decidoj. La rezulto estas pliigitaj transakciaj kostoj kaj mana laboro, kune kun malfortigita sekureca sinteno.
Tasko #1: Administri robotojn
Pli ol 60% de la interreta trafiko estas generita de robotoj, duono de kiuj estas "malbona" trafiko (laŭ ). Organizoj investas en kreskanta retokapacito, esence servante fikcian ŝarĝon. Precize distingi inter reala uzanttrafiko kaj bot-trafiko, same kiel "bonaj" robotoj (ekzemple, serĉiloj kaj prezaj komparservoj) kaj "malbonaj" robotoj povas rezultigi signifajn ŝparojn kaj plibonigitan kvaliton de servo por uzantoj.
Botoj ne faciligos ĉi tiun taskon, kaj ili povas imiti la konduton de realaj uzantoj, preteriri CAPTCHA-ojn kaj aliajn obstaklojn. Krome, en la kazo de atakoj uzantaj dinamikajn IP-adresojn, protekto bazita sur IP-adresfiltrado fariĝas neefika. Ofte, malfermfontaj evoluiloj (ekzemple, Phantom JS) kiuj povas pritrakti klientflanka JavaScript estas uzataj por lanĉi krudfortajn atakojn, akreditaĵojn, atakojn DDoS kaj aŭtomatigitajn robotatakojn. .
Por efike administri bot-trafikon, necesas unika identigo de ĝia fonto (kiel fingrospuro). Ĉar bot-atako generas multoblajn rekordojn, ĝia fingrospuro permesas al ĝi identigi suspektindan agadon kaj atribui poentarojn, surbaze de kiuj la aplikaĵa protekta sistemo faras informitan decidon - bloki/permesi - kun minimuma indico de falsaj pozitivoj.
Defio #2: Protektante la API
Multaj aplikaĵoj kolektas informojn kaj datumojn de servoj kun kiuj ili interagas per APIoj. Dum transdonado de sentemaj datumoj per API-oj, pli ol 50% de organizoj nek validas nek sekuras API-ojn por detekti ciberatakojn.
Ekzemploj de uzado de la API:
- Interreto de Aĵoj (IoT) integriĝo
- Maŝino-al-maŝina komunikado
- Senservilaj Medioj
- Poŝtelefonaj programoj
- Event-Driven Aplikoj
API-vundeblecoj estas similaj al aplikaĵaj vundeblecoj kaj inkluzivas injektojn, protokolajn atakojn, parametran manipuladon, alidirektilojn kaj robotatakojn. Diligentaj API-enirejoj helpas certigi kongruecon inter aplikaĵservoj, kiuj interagas per APIoj. Tamen, ili ne provizas fin-al-finan aplikaĵan sekurecon kiel WAF-ujo kun esencaj sekurecaj iloj kiel HTTP-kapa analizo, Tavolo 7 alirkontrollisto (ACL), JSON/XML-utila analizo kaj inspektado, kaj protekto kontraŭ ĉiuj vundeblecoj de Listo de OWASP Top 10. Ĉi tio estas atingita per inspektado de ŝlosilaj API-valoroj uzante pozitivajn kaj negativajn modelojn.
Defio #3: Neo de Servo
Malnova atakvektoro, neo de servo (DoS), daŭre pruvas sian efikecon en atakado de aplikoj. Atakantoj havas gamon da sukcesaj teknikoj por interrompi aplikaĵservojn, inkluzive de HTTP aŭ HTTPS-inundoj, malalt-kaj-malrapidaj atakoj (ekz. SlowLoris, LOIC, Torshammer), atakoj uzantaj dinamikajn IP-adresojn, bufro-superfluon, krudfortajn atakojn kaj multajn aliajn. . Kun la evoluo de la Interreto de Aĵoj kaj la posta apero de IoT-botnetoj, atakoj kontraŭ aplikoj fariĝis la ĉefa fokuso de DDoS-atakoj. Plej ŝtataj WAF-oj povas nur pritrakti limigitan kvanton da ŝarĝo. Tamen, ili povas inspekti HTTP/S-trafikfluojn kaj forigi atakan trafikon kaj malicajn konektojn. Post kiam atako estas identigita, ne utilas re-pasi ĉi tiun trafikon. Ĉar la kapablo de la WAF rebati atakojn estas limigita, aldona solvo estas necesa ĉe la retperimetro por aŭtomate bloki la venontajn "malbonajn" pakaĵetojn. Por ĉi tiu sekureca scenaro, ambaŭ solvoj devas povi komuniki unu kun la alia por interŝanĝi informojn pri atakoj.
Figo 1. Organizo de ampleksa reto kaj aplika protekto uzante la ekzemplon de Radware-solvoj
Defio #4: Daŭra Protekto
Aplikoj ŝanĝiĝas ofte. Evoluaj kaj efektivigmetodaroj kiel ruliĝantaj ĝisdatigoj signifas ke modifoj okazas sen homa interveno aŭ kontrolo. En tiaj dinamikaj medioj, estas malfacile konservi adekvate funkciajn sekurecpolitikojn sen alta nombro da falsaj pozitivoj. Poŝtelefonaj aplikoj estas ĝisdatigitaj multe pli ofte ol TTT-aplikoj. Triaj aplikaĵoj povas ŝanĝiĝi sen via scio. Iuj organizoj serĉas pli grandan kontrolon kaj videblecon por resti supre de eblaj riskoj. Tamen, ĉi tio ne ĉiam estas atingebla, kaj fidinda aplikaĵa protekto devas uzi la potencon de maŝinlernado por kalkuli kaj bildigi disponeblajn rimedojn, analizi eblajn minacojn kaj krei kaj optimumigi sekurecpolitikojn en kazo de modifoj de aplikaĵo.
trovoj
Ĉar aplikaĵoj ludas ĉiam pli gravan rolon en la ĉiutaga vivo, ili fariĝas ĉefa celo por retpiratoj. La eblaj rekompencoj por krimuloj kaj la eblaj perdoj por entreprenoj estas enormaj. La komplekseco de la aplika sekureca tasko ne povas esti troigita pro la nombro kaj varioj de aplikoj kaj minacoj.
Feliĉe, ni estas en momento kie artefarita inteligenteco povas veni al nia helpo. Algoritmoj bazitaj en maŝinlernado disponigas realtempan, adaptan protekton kontraŭ la plej altnivelaj ciberminacoj celantaj aplikojn. Ili ankaŭ aŭtomate ĝisdatigas sekurecpolitikojn por protekti retajn, moveblajn kaj nubajn aplikaĵojn—kaj APIojn—sen falsaj pozitivoj.
Estas malfacile antaŭdiri kun certeco, kia estos la venonta generacio de aplikaĵaj ciberminacoj (eble ankaŭ bazitaj sur maŝinlernado). Sed organizoj certe povas fari paŝojn por protekti klientajn datumojn, protekti intelektan proprieton kaj certigi servon haveblecon kun grandaj komercaj avantaĝoj.
Efikaj aliroj kaj metodoj por certigi aplikaĵan sekurecon, la ĉefaj tipoj kaj vektoroj de atakoj, riskaj areoj kaj mankoj en ciberprotekto de ret-aplikoj, same kiel tutmonda sperto kaj plej bonaj praktikoj estas prezentitaj en la studo kaj raporto de Radware "".
fonto: www.habr.com