Retrospectiva
La escala, composición y composición de las amenazas cibernéticas a las aplicaciones están evolucionando rápidamente. Durante muchos años, los usuarios han accedido a aplicaciones web a través de Internet utilizando navegadores web populares. Era necesario admitir entre 2 y 5 navegadores web en un momento dado y el conjunto de estándares para desarrollar y probar aplicaciones web era bastante limitado. Por ejemplo, casi todas las bases de datos se crearon utilizando SQL. Desafortunadamente, después de poco tiempo, los piratas informáticos aprendieron a utilizar aplicaciones web para robar, eliminar o cambiar datos. Obtuvieron acceso ilegal y abusaron de las capacidades de las aplicaciones utilizando una variedad de técnicas, incluido el engaño a los usuarios de las aplicaciones, la inyección y la ejecución remota de código. Pronto, llegaron al mercado herramientas comerciales de seguridad de aplicaciones web llamadas Web Application Firewalls (WAF), y la comunidad respondió creando un proyecto abierto de seguridad de aplicaciones web, el Open Web Application Security Project (OWASP), para definir y mantener estándares y metodologías de desarrollo. .aplicaciones seguras.
Protección básica de aplicaciones
es el punto de partida para proteger las aplicaciones y contiene una lista de las amenazas y configuraciones erróneas más peligrosas que pueden provocar vulnerabilidades en las aplicaciones, así como tácticas para detectar y derrotar ataques. El OWASP Top 10 es un punto de referencia reconocido en la industria de la ciberseguridad de aplicaciones en todo el mundo y define la lista principal de capacidades que debe tener un sistema de seguridad de aplicaciones web (WAF).
Además, la funcionalidad WAF debe tener en cuenta otros ataques comunes a aplicaciones web, incluida la falsificación de solicitudes entre sitios (CSRF), el clickjacking, el web scraping y la inclusión de archivos (RFI/LFI).
Amenazas y desafíos para garantizar la seguridad de las aplicaciones modernas
Hoy en día, no todas las aplicaciones se implementan en una versión de red. Hay aplicaciones en la nube, aplicaciones móviles, API y, en las arquitecturas más recientes, incluso funciones de software personalizadas. Todos estos tipos de aplicaciones deben sincronizarse y controlarse a medida que crean, modifican y procesan nuestros datos. Con la llegada de nuevas tecnologías y paradigmas, surgen nuevas complejidades y desafíos en todas las etapas del ciclo de vida de la aplicación. Esto incluye integración de operaciones y desarrollo (DevOps), contenedores, Internet de las cosas (IoT), herramientas de código abierto, API y más.
La implementación distribuida de aplicaciones y la diversidad de tecnologías crean desafíos complejos y complejos no solo para los profesionales de seguridad de la información, sino también para los proveedores de soluciones de seguridad que ya no pueden confiar en un enfoque unificado. Las medidas de seguridad de las aplicaciones deben tener en cuenta las características específicas de su negocio para evitar falsos positivos y la interrupción de la calidad de los servicios para los usuarios.
El objetivo final de los piratas informáticos suele ser robar datos o interrumpir la disponibilidad de los servicios. Los atacantes también se benefician de la evolución tecnológica. En primer lugar, el desarrollo de nuevas tecnologías crea más brechas y vulnerabilidades potenciales. En segundo lugar, tienen más herramientas y conocimientos en su arsenal para eludir las medidas de seguridad tradicionales. Esto aumenta enormemente la llamada “superficie de ataque” y la exposición de las organizaciones a nuevos riesgos. Las políticas de seguridad deben cambiar constantemente en respuesta a los cambios en la tecnología y las aplicaciones.
Por lo tanto, las aplicaciones deben protegerse de una variedad cada vez mayor de métodos y fuentes de ataque, y los ataques automatizados deben contrarrestarse en tiempo real basándose en decisiones informadas. El resultado es un aumento de los costos de transacción y del trabajo manual, junto con una postura de seguridad debilitada.
Tarea n.º 1: gestionar bots
Más del 60% del tráfico de Internet es generado por bots, la mitad del cual es tráfico “malo” (según ). Las organizaciones invierten en aumentar la capacidad de la red, esencialmente atendiendo una carga ficticia. Distinguir con precisión entre el tráfico de usuarios reales y el tráfico de bots, así como entre bots “buenos” (por ejemplo, robots de búsqueda y servicios de comparación de precios) y bots “malos” puede generar importantes ahorros de costos y una mejor calidad de servicio para los usuarios.
Los bots no facilitarán esta tarea y pueden imitar el comportamiento de usuarios reales, sortear CAPTCHA y otros obstáculos. Además, en el caso de ataques que utilizan direcciones IP dinámicas, la protección basada en el filtrado de direcciones IP resulta ineficaz. A menudo, las herramientas de desarrollo de código abierto (por ejemplo, Phantom JS) que pueden manejar JavaScript del lado del cliente se utilizan para lanzar ataques de fuerza bruta, ataques de relleno de credenciales, ataques DDoS y ataques de bot automatizados.
Para gestionar eficazmente el tráfico de bots, se requiere una identificación única de su fuente (como una huella digital). Dado que un ataque de bot genera múltiples registros, su huella digital le permite identificar actividades sospechosas y asignar puntuaciones, en función de las cuales el sistema de protección de aplicaciones toma una decisión informada (bloquear/permitir) con una tasa mínima de falsos positivos.
Desafío n.º 2: proteger la API
Muchas aplicaciones recopilan información y datos de los servicios con los que interactúan a través de API. Al transmitir datos confidenciales a través de API, más del 50% de las organizaciones no validan ni protegen las API para detectar ciberataques.
Ejemplos de uso de la API:
- Integración de Internet de las cosas (IoT)
- Comunicación máquina a máquina
- Entornos sin servidor
- Aplicaciones móviles
- Aplicaciones basadas en eventos
Las vulnerabilidades de API son similares a las vulnerabilidades de aplicaciones e incluyen inyecciones, ataques de protocolo, manipulación de parámetros, redirecciones y ataques de bots. Las puertas de enlace API dedicadas ayudan a garantizar la compatibilidad entre los servicios de aplicaciones que interactúan a través de API. Sin embargo, no proporcionan seguridad de aplicaciones de extremo a extremo como puede hacerlo un WAF con herramientas de seguridad esenciales como el análisis de encabezados HTTP, la lista de control de acceso (ACL) de capa 7, el análisis e inspección de carga útil JSON/XML y protección contra todas las vulnerabilidades de Lista OWASP Top 10. Esto se logra inspeccionando los valores clave de API utilizando modelos positivos y negativos.
Desafío #3: Denegación de servicio
Un antiguo vector de ataque, la denegación de servicio (DoS), sigue demostrando su eficacia a la hora de atacar aplicaciones. Los atacantes tienen una variedad de técnicas exitosas para interrumpir los servicios de aplicaciones, incluidas inundaciones HTTP o HTTPS, ataques lentos y bajos (por ejemplo, SlowLoris, LOIC, Torshammer), ataques que utilizan direcciones IP dinámicas, desbordamiento de búfer, ataques de fuerza bruta y muchos otros. . Con el desarrollo del Internet de las cosas y la posterior aparición de las botnets de IoT, los ataques a aplicaciones se han convertido en el foco principal de los ataques DDoS. La mayoría de los WAF con estado solo pueden manejar una cantidad limitada de carga. Sin embargo, pueden inspeccionar los flujos de tráfico HTTP/S y eliminar el tráfico de ataques y las conexiones maliciosas. Una vez que se ha identificado un ataque, no tiene sentido volver a pasar este tráfico. Dado que la capacidad del WAF para repeler ataques es limitada, se necesita una solución adicional en el perímetro de la red para bloquear automáticamente los siguientes paquetes "malos". Para este escenario de seguridad, ambas soluciones deben poder comunicarse entre sí para intercambiar información sobre ataques.
Fig 1. Organización de la protección integral de redes y aplicaciones utilizando el ejemplo de las soluciones de Radware
Desafío n.º 4: protección continua
Las aplicaciones cambian con frecuencia. Las metodologías de desarrollo e implementación, como las actualizaciones continuas, significan que las modificaciones se producen sin intervención o control humano. En entornos tan dinámicos, es difícil mantener políticas de seguridad que funcionen adecuadamente sin una gran cantidad de falsos positivos. Las aplicaciones móviles se actualizan con mucha más frecuencia que las aplicaciones web. Las aplicaciones de terceros pueden cambiar sin su conocimiento. Algunas organizaciones buscan un mayor control y visibilidad para estar al tanto de los riesgos potenciales. Sin embargo, esto no siempre es posible y una protección confiable de las aplicaciones debe utilizar el poder del aprendizaje automático para tener en cuenta y visualizar los recursos disponibles, analizar amenazas potenciales y crear y optimizar políticas de seguridad en caso de modificaciones de las aplicaciones.
Hallazgos
A medida que las aplicaciones desempeñan un papel cada vez más importante en la vida cotidiana, se convierten en el objetivo principal de los piratas informáticos. Las posibles recompensas para los delincuentes y las posibles pérdidas para las empresas son enormes. No se puede subestimar la complejidad de la tarea de seguridad de las aplicaciones dada la cantidad y las variaciones de aplicaciones y amenazas.
Afortunadamente, estamos en un momento en el que la inteligencia artificial puede venir en nuestra ayuda. Los algoritmos basados en aprendizaje automático brindan protección adaptable en tiempo real contra las amenazas cibernéticas más avanzadas dirigidas a aplicaciones. También actualizan automáticamente las políticas de seguridad para proteger las aplicaciones web, móviles y en la nube (y las API) sin falsos positivos.
Es difícil predecir con certeza cuál será la próxima generación de ciberamenazas a aplicaciones (posiblemente también basadas en el aprendizaje automático). Pero las organizaciones ciertamente pueden tomar medidas para proteger los datos de los clientes, proteger la propiedad intelectual y garantizar la disponibilidad del servicio con grandes beneficios comerciales.
En el estudio e informe de Radware se presentan enfoques y métodos eficaces para garantizar la seguridad de las aplicaciones, los principales tipos y vectores de ataques, áreas de riesgo y brechas en la protección cibernética de las aplicaciones web, así como la experiencia global y las mejores prácticas..
Fuente: habr.com