Atzera begirakoa
Aplikazioetarako ziber mehatxuen eskala, osaera eta konposizioa azkar eboluzionatzen ari dira. Urte askotan zehar, erabiltzaileak web-aplikazioetan sartu izan dira Interneten, nabigatzaile ezagunak erabiliz. Une bakoitzean 2-5 web arakatzaile onartzea beharrezkoa zen, eta web aplikazioak garatzeko eta probatzeko estandar multzoa nahiko mugatua zen. Adibidez, ia datu-base guztiak SQL erabiliz eraiki ziren. Zoritxarrez, denbora gutxiren buruan, hackerrek web aplikazioak erabiltzen ikasi zuten datuak lapurtzeko, ezabatzeko edo aldatzeko. Aplikazioen gaitasunetara legez kanpoko sarbidea lortu zuten eta hainbat teknika erabili zituzten, besteak beste, aplikazioen erabiltzaileen iruzurra, injekzioa eta urruneko kodearen exekuzioa. Laster, web aplikazioen segurtasun tresna komertzialak Web Application Firewalls (WAF) izenekoak merkaturatu ziren, eta komunitateak erantzun zuen web aplikazioen segurtasun proiektu ireki bat sortuz, Open Web Application Security Project (OWASP), garapen estandarrak eta metodologiak definitzeko eta mantentzeko. Aplikazio seguruak.
Oinarrizko aplikazioen babesa
aplikazioak ziurtatzeko abiapuntua da eta aplikazioen ahuleziak sor ditzaketen mehatxu eta konfigurazio oker arriskutsuenen zerrenda dauka, baita erasoak detektatzeko eta garaitzeko taktikak ere. OWASP Top 10 aplikazioen zibersegurtasunaren industrian mundu osoko erreferente ezaguna da eta web aplikazioen segurtasun sistemak (WAF) izan behar dituen gaitasunen oinarrizko zerrenda definitzen du.
Horrez gain, WAF funtzionaltasunak web aplikazioetan ohikoak diren beste eraso batzuk hartu behar ditu kontuan, besteak beste, guneen arteko eskaera faltsutzea (CSRF), clickjacking, web scraping eta fitxategiak sartzea (RFI/LFI).
Aplikazio modernoen segurtasuna bermatzeko mehatxuak eta erronkak
Gaur egun, aplikazio guztiak ez daude sareko bertsio batean inplementatzen. Hodeiko aplikazioak, mugikorretarako aplikazioak, APIak daude eta azken arkitekturan, baita pertsonalizatutako software funtzioak ere. Aplikazio mota hauek guztiak sinkronizatu eta kontrolatu behar dira gure datuak sortu, aldatu eta prozesatzen dituzten heinean. Teknologia eta paradigma berrien agerpenarekin, konplexutasun eta erronka berriak sortzen dira aplikazioaren bizi-zikloaren fase guztietan. Horrek garapen eta eragiketen integrazioa (DevOps), edukiontziak, Gauzen Internet (IoT), kode irekiko tresnak, APIak eta abar barne hartzen ditu.
Aplikazioen hedapen banatuak eta teknologien aniztasunak erronka konplexuak eta konplexuak sortzen ditu informazioaren segurtasuneko profesionalentzat ez ezik, ikuspegi bateratu batean fidatu ezin diren segurtasun irtenbideen saltzaileentzat ere. Aplikazioen segurtasun-neurriek beren negozioaren berezitasunak kontuan izan behar dituzte, positibo faltsuak eta erabiltzaileentzako zerbitzuen kalitatea etetea saihesteko.
Hackeren azken helburua datuak lapurtzea edo zerbitzuen erabilgarritasuna etetea izan ohi da. Erasotzaileek ere bilakaera teknologikoari etekina ateratzen diote. Lehenik eta behin, teknologia berrien garapenak hutsune eta ahultasun potentzial gehiago sortzen ditu. Bigarrenik, tresna eta ezagutza gehiago dituzte beren armategian ohiko segurtasun neurriak saihesteko. Horrek asko handitzen du "eraso-azalera" deritzona eta erakundeen arrisku berriekiko esposizioa. Segurtasun politikak etengabe aldatu behar dira teknologia eta aplikazioen aldaketei erantzunez.
Horrela, aplikazioak gero eta gehiago babestu behar dira eraso-metodo eta iturri ugarietatik, eta eraso automatizatuei aurre egin behar zaie denbora errealean, erabaki informatuen arabera. Ondorioz, transakzio-kostuak eta esku-lana handitzea da, segurtasun jarrera ahulduarekin batera.
1. ataza: bot-ak kudeatzea
Interneteko trafikoaren % 60 baino gehiago botek sortzen dute, eta horien erdia trafiko "txarra" da ( ). Erakundeek sarearen ahalmena areagotzeko inbertitzen dute, funtsean, fikziozko karga bat betez. Erabiltzaileen benetako trafikoa eta bot trafikoa zehatz-mehatz bereizteak, baita bot "onak" (adibidez, bilatzaileak eta prezioak alderatzeko zerbitzuak) eta bot "txarrak" kostuen aurrezpen handia eta erabiltzaileentzako zerbitzuaren kalitatea hobetzea eragin dezake.
Bot-ek ez dute zeregin hori erraztuko, eta benetako erabiltzaileen portaera imita dezakete, CAPTCHAak eta beste oztopo batzuk saihestu ditzakete. Gainera, IP helbide dinamikoak erabiltzen dituzten erasoen kasuan, IP helbideen iragazketan oinarritutako babesa ez da eraginkorra izaten. Sarritan, bezeroaren alboko JavaScript kudeatu dezaketen kode irekiko garapen-tresnak (adibidez, Phantom JS) indar gordineko erasoak, kredentzialak betetzeko erasoak, DDoS erasoak eta roboten eraso automatizatuak abiarazteko erabiltzen dira.
Bot trafikoa modu eraginkorrean kudeatzeko, iturriaren identifikazio bakarra behar da (hatz-marka bat bezala). Bot-eraso batek erregistro anitz sortzen dituenez, bere hatz-markak jarduera susmagarriak identifikatzea eta puntuazioak esleitzea ahalbidetzen du, aplikazioak babesteko sistemak erabaki informatua hartzen du - blokeatu/baimendu - positibo faltsuen gutxieneko tasa batekin.
2. erronka: APIa babestea
Aplikazio askok APIen bidez elkarreragiten duten zerbitzuetatik informazioa eta datuak biltzen dituzte. Datu sentikorrak APIen bidez transmititzean, erakundeen % 50ek baino gehiagok ez dute baliozkotzen ezta ziurtatzen APIak zibererasoak detektatzeko.
APIa erabiltzeko adibideak:
- Gauzen Internet (IoT) integrazioa
- Makinaz makina komunikazioa
- Zerbitzaririk gabeko inguruneak
- Mobile Apps
- Gertaerak bultzatutako aplikazioak
API ahuleziak aplikazioen ahultasunen antzekoak dira eta injekzioak, protokolo-erasoak, parametroen manipulazioa, birbideratzeak eta bot-erasoak daude. API atebide dedikatuek APIen bidez elkarreragiten duten aplikazio-zerbitzuen arteko bateragarritasuna ziurtatzen laguntzen dute. Hala eta guztiz ere, ez dute WAF-ek bezalako aplikazioen segurtasun osorik eskaintzen, hala nola HTTP goiburuen analisia, 7. geruzako sarbide-kontrol-zerrenda (ACL), JSON/XML kargaren analisia eta ikuskapena, eta ahultasun guztien aurkako babesa. OWASP Top 10 zerrenda. Hau APIaren balio nagusiak ikuskatuz lortzen da eredu positiboak eta negatiboak erabiliz.
3. erronka: Zerbitzua ukatzea
Eraso-bektore zahar batek, zerbitzuaren ukapena (DoS), aplikazioak erasotzeko eraginkortasuna frogatzen jarraitzen du. Erasotzaileek hainbat teknika arrakastatsu dituzte aplikazio-zerbitzuak eteteko, besteak beste, HTTP edo HTTPS uholdeak, eraso baxuak eta motelak (adibidez, SlowLoris, LOIC, Torshammer), IP helbide dinamikoak erabiltzen dituzten erasoak, buffer gainezkatzea, indar gordinaren erasoak eta beste asko. . Gauzen Interneten garapenarekin eta gero IoT botneten sorrerarekin, aplikazioen aurkako erasoak DDoS erasoen ardatz nagusi bihurtu dira. WAF egoera gehienek karga kopuru mugatu bat bakarrik kudeatu dezakete. Hala ere, HTTP/S trafiko-fluxuak ikuskatu eta eraso-trafikoa eta konexio gaiztoak kendu ditzakete. Eraso bat identifikatu ostean, ez du balio trafiko hori berriro pasatzea. WAFek erasoak uxatzeko duen ahalmena mugatua denez, sarearen perimetroan irtenbide gehigarri bat behar da hurrengo pakete "txarrak" automatikoki blokeatzeko. Segurtasun agertoki honetarako, soluzio biak elkarren artean komunikatzeko gai izan behar dute erasoei buruzko informazioa trukatzeko.
1. irudia. Sare eta aplikazioen babes integralaren antolaketa Radware soluzioen adibidea erabiliz
4. erronka: Etengabeko babesa
Aplikazioak maiz aldatzen dira. Eguneratze iraunkorrak bezalako garapen- eta ezarpen-metodologiek aldaketak gizakiaren esku-hartzerik edo kontrolarik gabe gertatzen dira. Horrelako ingurune dinamikoetan, zaila da behar bezala funtzionatzen duten segurtasun-politikak mantentzea positibo faltsu kopuru handirik gabe. Mugikorreko aplikazioak web aplikazioak baino askoz maizago eguneratzen dira. Hirugarrenen aplikazioak zure jakin gabe alda daitezke. Erakunde batzuk kontrol eta ikusgarritasun handiagoa bilatzen ari dira arrisku potentzialen gainean egoteko. Hala ere, hori ez da beti lortzen, eta aplikazioen babes fidagarriak ikaskuntza automatikoaren indarra erabili behar du erabilgarri dauden baliabideak kontuan hartzeko eta ikusteko, balizko mehatxuak aztertzeko eta segurtasun-politikak sortzeko eta optimizatzeko aplikazioen aldaketak gertatuz gero.
Findings
Aplikazioek eguneroko bizitzan gero eta garrantzi handiagoa dutenez, hackerren helburu nagusi bihurtzen dira. Gaizkileentzako balizko sariak eta enpresentzako balizko galerak izugarriak dira. Aplikazioen segurtasun-zereginaren konplexutasuna ezin da gehiegi nabarmendu aplikazioen eta mehatxuen kopurua eta aldaerak kontuan hartuta.
Zorionez, adimen artifiziala gure laguntzan etor daitekeen une batean gaude. Ikaskuntza automatikoan oinarritutako algoritmoek aplikazioei zuzendutako ziber-mehatxu aurreratuenen aurkako babes moldagarria eskaintzen dute denbora errealean. Gainera, automatikoki eguneratzen dituzte segurtasun-politikak web, mugikorrak eta hodeiko aplikazioak βeta APIakβ babesteko, positibo faltsurik gabe.
Zaila da ziurtasunez aurreikustea zein izango diren aplikazioen zibermehatxuen hurrengo belaunaldia (ziurrenik ikaskuntza automatikoan oinarritutakoa ere). Baina, zalantzarik gabe, erakundeek neurriak har ditzakete bezeroen datuak babesteko, jabetza intelektuala babesteko eta zerbitzuaren erabilgarritasuna bermatzeko negozio abantaila handiekin.
Aplikazioen segurtasuna bermatzeko planteamendu eta metodo eraginkorrak, erasoen mota eta bektore nagusiak, arrisku-eremuak eta web aplikazioen ziber-babesean dauden hutsuneak, baita esperientzia globalak eta praktika onak aurkezten dira Radware ikerketan eta txostenean.".
Iturria: www.habr.com