tagasiulatuv
Rakendusi ähvardavate küberohtude ulatus, koostis ja koostis arenevad kiiresti. Paljude aastate jooksul on kasutajad populaarsete veebibrauserite abil pääsenud veebirakendustele juurde Interneti kaudu. Igal ajahetkel oli vaja toetada 2-5 veebilehitsejat ning veebirakenduste arendamise ja testimise standardite komplekt oli üsna piiratud. Näiteks peaaegu kõik andmebaasid ehitati SQL-i abil. Kahjuks õppisid häkkerid pärast lühikest aega kasutama veebirakendusi andmete varastamiseks, kustutamiseks või muutmiseks. Nad said ebaseadusliku juurdepääsu rakendustele ja kuritarvitasid neid, kasutades erinevaid tehnikaid, sealhulgas rakenduse kasutajate petmist, süstimist ja koodi kaugkäivitamist. Peagi tulid turule kommertslikud veebirakenduste turbetööriistad, mida nimetatakse veebirakenduste tulemüürideks (WAF) ja kogukond reageeris sellele, luues avatud veebirakenduste turbeprojekti, Open Web Application Security Project (OWASP), et määratleda ja säilitada arendusstandardid ja -metoodikad. turvalised rakendused.
Rakenduse põhikaitse
on rakenduste turvalisuse lähtepunkt ja sisaldab nimekirja kõige ohtlikumatest ohtudest ja valekonfiguratsioonidest, mis võivad viia rakenduste haavatavustesse, samuti rünnakute tuvastamise ja tõrjumise taktikaid. OWASP Top 10 on tunnustatud etalon rakenduste küberturvalisuse valdkonnas kogu maailmas ja määratleb põhinimekirja võimalustest, mis veebirakenduste turbesüsteemil (WAF) olema peavad.
Lisaks peavad WAF-i funktsioonid võtma arvesse muid levinud rünnakuid veebirakenduste vastu, sealhulgas saidiülene päringu võltsimine (CSRF), klõpsamine, veebikraapimine ja failide kaasamine (RFI/LFI).
Ohud ja väljakutsed kaasaegsete rakenduste turvalisuse tagamisel
Tänapäeval pole kõiki rakendusi võrguversioonis rakendatud. Seal on pilverakendusi, mobiilirakendusi, API-sid ja uusimates arhitektuurides isegi kohandatud tarkvarafunktsioone. Kõiki seda tüüpi rakendusi tuleb meie andmete loomisel, muutmisel ja töötlemisel sünkroonida ja juhtida. Uute tehnoloogiate ja paradigmade tulekuga kerkivad rakenduse elutsükli kõigil etappidel esile uued keerukused ja väljakutsed. See hõlmab arendus- ja operatsioonide integreerimist (DevOps), konteinereid, asjade Internetti (IoT), avatud lähtekoodiga tööriistu, API-sid ja palju muud.
Rakenduste hajutatud juurutamine ja tehnoloogiate mitmekesisus ei tekita keerulisi ja keerukaid väljakutseid mitte ainult infoturbe professionaalidele, vaid ka turvalahenduste tarnijatele, kes ei saa enam loota ühtsele lähenemisele. Rakenduste turvameetmed peavad võtma arvesse nende ärispetsiifikat, et vältida valepositiivseid tulemusi ja kasutajate teenuste kvaliteedi häireid.
Häkkerite lõppeesmärk on tavaliselt kas andmete varastamine või teenuste kättesaadavuse häirimine. Tehnoloogilisest arengust saavad kasu ka ründajad. Esiteks tekitab uute tehnoloogiate arendamine rohkem võimalikke lünki ja haavatavust. Teiseks on nende arsenalis rohkem tööriistu ja teadmisi, et traditsioonilistest turvameetmetest mööda hiilida. See suurendab oluliselt nn rünnakupinda ja organisatsioonide kokkupuudet uute riskidega. Turvapoliitikat tuleb pidevalt muuta vastavalt muutustele tehnoloogias ja rakendustes.
Seega tuleb rakendusi kaitsta üha suurema hulga ründemeetodite ja allikate eest ning automatiseeritud rünnetele tuleb reaalajas vastu astuda teadlike otsuste alusel. Tulemuseks on suurenenud tehingukulud ja käsitsitöö koos nõrgenenud turvaasendiga.
Ülesanne nr 1: robotite haldamine
Rohkem kui 60% Interneti-liiklusest genereerivad robotid, millest pool on "halb" liiklus (vastavalt ). Organisatsioonid investeerivad võrgu läbilaskevõime suurendamisse, teenides sisuliselt fiktiivset koormust. Tegeliku kasutajaliikluse ja robotiliikluse ning "heade" robotite (nt otsingumootorid ja hinnavõrdlusteenused) ja "halbade" robotite täpne eristamine võib tuua kaasa märkimisväärse kulude kokkuhoiu ja kasutajate teenuse kvaliteedi paranemise.
Robotid ei tee seda ülesannet lihtsaks ja võivad jäljendada tegelike kasutajate käitumist, mööduda CAPTCHA-dest ja muudest takistustest. Pealegi muutub dünaamilisi IP-aadresse kasutavate rünnete korral IP-aadresside filtreerimisel põhinev kaitse ebaefektiivseks. Sageli kasutatakse avatud lähtekoodiga arendustööriistu (nt Phantom JS), mis saavad hakkama kliendipoolse JavaScriptiga, käivitamaks jõhkra jõuga rünnakuid, mandaadi täitmise rünnakuid, DDoS-i rünnakuid ja automatiseeritud robotirünnakuid.
Botiliikluse tõhusaks haldamiseks on vaja selle allika ainulaadset identifitseerimist (nt sõrmejälge). Kuna roboti rünnak genereerib mitu kirjet, võimaldab selle sõrmejälg tuvastada kahtlase tegevuse ja määrata hinded, mille põhjal teeb rakenduse kaitsesüsteem teadliku otsuse – blokeeri/luba – minimaalse valepositiivsete arvuga.
Väljakutse nr 2: API kaitsmine
Paljud rakendused koguvad teavet ja andmeid teenustest, millega nad API-de kaudu suhtlevad. API-de kaudu tundlikke andmeid edastades ei valideeri ega turvata enam kui 50% organisatsioonidest API-sid küberrünnakute tuvastamiseks.
API kasutamise näited:
- Asjade Interneti (IoT) integreerimine
- Masinatevaheline suhtlus
- Serverita keskkonnad
- Mobile Apps
- Sündmuspõhised rakendused
API haavatavused on sarnased rakenduste haavatavustega ja hõlmavad süstimisi, protokollirünnakuid, parameetritega manipuleerimist, ümbersuunamisi ja robotirünnakuid. Spetsiaalsed API-lüüsid aitavad tagada API-de kaudu suhtlevate rakendusteenuste ühilduvuse. Kuid need ei paku täielikku rakenduste turvalisust nagu WAF-purk koos oluliste turbetööriistadega, nagu HTTP-päise sõelumine, 7. kihi juurdepääsukontrolli loend (ACL), JSON/XML-i kasuliku koormuse sõelumine ja kontroll ning kaitse kõigi turvaaukude eest. OWASP Top 10 nimekiri. See saavutatakse API peamiste väärtuste kontrollimisega positiivsete ja negatiivsete mudelite abil.
Väljakutse nr 3: teenuse keelamine
Vana ründevektor, teenuse keelamine (DoS), tõestab jätkuvalt oma tõhusust rakenduste ründamisel. Ründajatel on rakendusteenuste katkestamiseks mitmeid edukaid tehnikaid, sealhulgas HTTP- või HTTPS-i üleujutused, madala ja aeglase rünnakuga (nt SlowLoris, LOIC, Torshammer), dünaamilisi IP-aadresse kasutavad rünnakud, puhvri ületäitumine, jõhkra jõuga rünnakud ja paljud teised. . Asjade Interneti arenedes ja sellele järgnenud IoT botnettide esilekerkimisel on DDoS-i rünnakute põhirõhk saanud rakenduste vastu suunatud rünnakutest. Enamik olekuga WAF-e saab hakkama ainult piiratud hulga koormustega. Siiski saavad nad kontrollida HTTP/S-i liiklusvooge ning eemaldada ründeliikluse ja pahatahtlikud ühendused. Kui rünnak on tuvastatud, pole mõtet seda liiklust uuesti läbida. Kuna WAF-i suutlikkus rünnakuid tõrjuda on piiratud, on võrgu perimeetril vaja täiendavat lahendust, et automaatselt blokeerida järgmised "halvad" paketid. Selle turvastsenaariumi puhul peavad mõlemad lahendused suutma üksteisega suhelda, et rünnete kohta teavet vahetada.
Joonis 1. Tervikliku võrgu- ja rakenduskaitse korraldus Radware lahenduste näitel
Väljakutse nr 4: pidev kaitse
Rakendused muutuvad sageli. Arendus- ja juurutusmeetodid, nagu jooksvad värskendused, tähendavad, et muudatused toimuvad ilma inimese sekkumise või kontrollita. Sellistes dünaamilistes keskkondades on raske säilitada adekvaatselt toimivaid turvapoliitikaid ilma suure arvu valepositiivsete tulemusteta. Mobiilirakendusi uuendatakse palju sagedamini kui veebirakendusi. Kolmandate osapoolte rakendused võivad teie teadmata muutuda. Mõned organisatsioonid otsivad suuremat kontrolli ja nähtavust, et hoida end võimalike riskidega kursis. See ei ole aga alati saavutatav ja usaldusväärne rakenduste kaitse peab kasutama masinõppe võimsust, et võtta arvesse ja visualiseerida saadaolevaid ressursse, analüüsida võimalikke ohte ning luua ja optimeerida turbepoliitikaid rakenduste muutmise korral.
Järeldused
Kuna rakendused mängivad igapäevaelus üha olulisemat rolli, muutuvad need häkkerite peamiseks sihtmärgiks. Kurjategijate võimalikud hüved ja ettevõtete võimalikud kahjud on tohutud. Rakenduse turbeülesande keerukust ei saa üle hinnata, arvestades rakenduste ja ohtude arvu ja variatsioone.
Õnneks oleme hetkel, kus tehisintellekt võib meile appi tulla. Masinõppel põhinevad algoritmid pakuvad reaalajas adaptiivset kaitset kõige arenenumate rakendusi sihitavate küberohtude eest. Samuti värskendavad nad automaatselt turvapoliitikat, et kaitsta veebi-, mobiili- ja pilverakendusi ning API-sid ilma valepositiivsete tulemusteta.
Raske on kindlalt ennustada, milline on rakenduste küberohtude järgmine põlvkond (võib-olla ka masinõppel põhinevad). Kuid organisatsioonid saavad kindlasti astuda samme, et kaitsta klientide andmeid, kaitsta intellektuaalomandit ja tagada teenuste kättesaadavus suure ärikasuga.
Tõhusad lähenemisviisid ja meetodid rakenduste turvalisuse tagamiseks, rünnete peamised tüübid ja vektorid, riskipiirkonnad ja lüngad veebirakenduste küberkaitses, samuti globaalsed kogemused ja parimad praktikad on toodud Radware uuringus ja aruandes “".
Allikas: www.habr.com