retrospektiivinen
Sovelluksiin kohdistuvien kyberuhkien laajuus, koostumus ja koostumus kehittyvät nopeasti. Useiden vuosien ajan käyttäjät ovat käyttäneet verkkosovelluksia Internetin kautta suosittujen verkkoselaimien avulla. Oli tarpeen tukea 2-5 verkkoselainta kerrallaan, ja verkkosovellusten kehittämisen ja testauksen standardit olivat melko rajalliset. Esimerkiksi lähes kaikki tietokannat on rakennettu SQL:llä. Valitettavasti lyhyen ajan kuluttua hakkerit oppivat käyttämään verkkosovelluksia tietojen varastamiseen, poistamiseen tai muuttamiseen. He saivat laittoman pääsyn sovellusominaisuuksiin ja käyttivät niitä väärin käyttämällä erilaisia tekniikoita, mukaan lukien sovelluksen käyttäjien pettäminen, injektio ja koodin etäsuorittaminen. Pian kaupalliset verkkosovellusten tietoturvatyökalut, nimeltään Web Application Firewalls (WAF) tulivat markkinoille, ja yhteisö vastasi luomalla avoimen verkkosovellusten tietoturvaprojektin, Open Web Application Security Projectin (OWASP), jonka tarkoituksena on määritellä ja ylläpitää kehitysstandardeja ja -menetelmiä. suojatut sovellukset.
Sovelluksen perussuojaus
on sovellusten suojauksen lähtökohta ja sisältää luettelon vaarallisimmista uhista ja virheellisistä määrityksistä, jotka voivat johtaa sovellusten haavoittuvuuksiin, sekä taktiikoita hyökkäysten havaitsemiseen ja estämiseen. OWASP Top 10 on tunnustettu benchmark sovellusten kyberturvallisuusalalla maailmanlaajuisesti ja määrittelee ydinluettelon ominaisuuksista, jotka WAF-järjestelmän (WWW-sovellusten tietoturva) pitäisi olla.
Lisäksi WAF-toiminnallisuuden on otettava huomioon muut yleiset verkkosovelluksiin kohdistuvat hyökkäykset, mukaan lukien sivustojen välinen pyyntöväärennös (CSRF), napsautusten kaappaus, verkkokaappaus ja tiedostojen sisällyttäminen (RFI/LFI).
Uhat ja haasteet nykyaikaisten sovellusten turvallisuuden varmistamisessa
Nykyään kaikkia sovelluksia ei ole toteutettu verkkoversiona. Siellä on pilvisovelluksia, mobiilisovelluksia, API:ita ja uusimmissa arkkitehtuureissa jopa mukautettuja ohjelmistotoimintoja. Kaikki tämäntyyppiset sovellukset on synkronoitava ja ohjattava, kun ne luovat, muokkaavat ja käsittelevät tietojamme. Uusien teknologioiden ja paradigmojen myötä uusia monimutkaisia ja haasteita syntyy sovelluksen elinkaaren kaikissa vaiheissa. Tämä sisältää kehitys- ja toimintojen integroinnin (DevOps), säilöjen, esineiden Internetin (IoT), avoimen lähdekoodin työkalut, API:t ja paljon muuta.
Sovellusten hajautettu käyttöönotto ja teknologioiden monimuotoisuus luo monimutkaisia ja monimutkaisia haasteita tietoturva-alan ammattilaisten lisäksi myös tietoturvaratkaisujen toimittajille, jotka eivät voi enää luottaa yhtenäiseen lähestymistapaan. Sovellusten suojaustoimenpiteissä tulee ottaa huomioon niiden liiketoiminnalliset erityispiirteet, jotta vältytään vääriltä positiivisilta ja käyttäjien palvelujen laadun häiriintymiseltä.
Hakkereiden perimmäisenä tavoitteena on yleensä joko varastaa tietoja tai häiritä palvelujen saatavuutta. Myös hyökkääjät hyötyvät teknologisesta kehityksestä. Ensinnäkin uusien teknologioiden kehittäminen luo lisää mahdollisia aukkoja ja haavoittuvuuksia. Toiseksi heillä on enemmän työkaluja ja tietoa arsenaalissaan ohittaa perinteiset turvatoimenpiteet. Tämä lisää huomattavasti niin sanottua "hyökkäyspintaa" ja organisaatioiden alttiutta uusille riskeille. Tietoturvapolitiikan on jatkuvasti muututtava tekniikan ja sovellusten muutosten mukaisesti.
Sovelluksia tulee siis suojata yhä useammilta hyökkäysmenetelmiltä ja -lähteiltä, ja automatisoituja hyökkäyksiä on torjuttava reaaliajassa tietoisten päätösten perusteella. Tuloksena on kohonneet transaktiokustannukset ja käsityö sekä heikentynyt turvallisuusasento.
Tehtävä #1: Botien hallinta
Yli 60 % Internet-liikenteestä on robottien tuottamaa, josta puolet on "huonoa" liikennettä. ). Organisaatiot panostavat verkon kapasiteetin lisäämiseen palvellen lähinnä kuvitteellista kuormitusta. Todellisen käyttäjäliikenteen ja robottiliikenteen sekä "hyvien" robottien (esimerkiksi hakukoneet ja hintavertailupalvelut) ja "huonojen" robottien erottaminen tarkasti toisistaan voi johtaa merkittäviin kustannussäästöihin ja palvelun laadun paranemiseen käyttäjille.
Botit eivät tee tästä tehtävästä helppoa, ja ne voivat jäljitellä todellisten käyttäjien käyttäytymistä, ohittaa CAPTCHA:t ja muut esteet. Lisäksi dynaamisia IP-osoitteita käyttävissä hyökkäyksissä IP-osoitteiden suodatukseen perustuva suojaus ei tehoa. Usein avoimen lähdekoodin kehitystyökaluja (esimerkiksi Phantom JS), jotka pystyvät käsittelemään asiakaspuolen JavaScriptiä, käytetään raa'an voiman hyökkäyksiä, tunnistetietojen täyttämishyökkäyksiä, DDoS-hyökkäyksiä ja automatisoituja robottihyökkäyksiä varten.
Jotta robottiliikennettä voidaan hallita tehokkaasti, sen lähteen yksilöllinen tunniste (kuten sormenjälki) vaaditaan. Koska bottihyökkäys luo useita tietueita, sen sormenjälki mahdollistaa epäilyttävän toiminnan tunnistamisen ja pisteytyksen, jonka perusteella sovelluksen suojausjärjestelmä tekee tietoon perustuvan päätöksen - estää/sallia - väärien positiivisten tulosten vähimmäismäärällä.
Haaste 2: API:n suojaaminen
Monet sovellukset keräävät tietoja palveluista, joiden kanssa ne ovat vuorovaikutuksessa sovellusliittymien kautta. Kun arkaluontoisia tietoja lähetetään API:iden kautta, yli 50 % organisaatioista ei validoi tai suojaa sovellusliittymiä kyberhyökkäysten havaitsemiseksi.
Esimerkkejä API:n käytöstä:
- Internet of Things (IoT) -integraatio
- Kone-kone-kommunikaatio
- Palvelimettomat ympäristöt
- Mobile Apps
- Tapahtumapohjaiset sovellukset
API-haavoittuvuudet ovat samankaltaisia kuin sovellusten haavoittuvuudet ja sisältävät lisäyksiä, protokollahyökkäykset, parametrien manipuloinnin, uudelleenohjaukset ja bottihyökkäykset. Erilliset API-yhdyskäytävät auttavat varmistamaan yhteensopivuuden sovellusliittymien kautta vuorovaikutuksessa olevien sovelluspalvelujen välillä. Ne eivät kuitenkaan tarjoa WAF-purkin kaltaista päästä päähän sovellusten suojausta tärkeillä suojaustyökaluilla, kuten HTTP-otsikon jäsentämisellä, kerroksen 7 pääsynvalvontaluettelolla (ACL), JSON/XML-hyötykuorman jäsentämisellä ja tarkastuksella sekä suojaa kaikkia haavoittuvuuksia vastaan. OWASP Top 10 -lista. Tämä saavutetaan tarkastamalla tärkeimmät API-arvot käyttämällä positiivisia ja negatiivisia malleja.
Haaste #3: Palvelunesto
Vanha hyökkäysvektori, palvelunesto (DoS), todistaa edelleen tehokkuutensa sovellusten hyökkäämisessä. Hyökkääjillä on useita onnistuneita tekniikoita sovelluspalvelujen katkaisemiseen, mukaan lukien HTTP- tai HTTPS-tulvat, matalat ja hitaat hyökkäykset (esim. SlowLoris, LOIC, Torshammer), dynaamisia IP-osoitteita käyttävät hyökkäykset, puskurin ylivuoto, brute force -hyökkäykset ja monet muut. . Esineiden internetin kehittymisen ja sitä seuranneen IoT-botnet-verkkojen myötä sovelluksiin kohdistuvista hyökkäyksistä on tullut DDoS-hyökkäysten pääpaino. Useimmat tilalliset WAF:t pystyvät käsittelemään vain rajoitetun määrän kuormaa. He voivat kuitenkin tarkastaa HTTP/S-liikennevirtoja ja poistaa hyökkäysliikenteen ja haitalliset yhteydet. Kun hyökkäys on tunnistettu, ei ole mitään järkeä ohittaa tätä liikennettä uudelleen. Koska WAF:n kyky torjua hyökkäyksiä on rajallinen, verkon kehällä tarvitaan lisäratkaisu, joka estää automaattisesti seuraavat "huonot" paketit. Tässä tietoturvaskenaariossa molempien ratkaisujen on kyettävä kommunikoimaan keskenään hyökkäyksiä koskevien tietojen vaihtamiseksi.
Kuva 1. Kattavan verkko- ja sovellussuojauksen organisointi Radware-ratkaisujen esimerkin avulla
Haaste #4: Jatkuva suojaus
Sovellukset vaihtuvat usein. Kehitys- ja toteutusmenetelmät, kuten jatkuvat päivitykset, tarkoittavat, että muutoksia tapahtuu ilman ihmisen puuttumista tai valvontaa. Tällaisissa dynaamisissa ympäristöissä on vaikea ylläpitää asianmukaisesti toimivia suojauskäytäntöjä ilman suurta määrää vääriä positiivisia. Mobiilisovelluksia päivitetään paljon useammin kuin verkkosovelluksia. Kolmannen osapuolen sovellukset voivat muuttua tietämättäsi. Jotkut organisaatiot etsivät parempaa valvontaa ja näkyvyyttä pysyäkseen mahdollisten riskien päällä. Tämä ei kuitenkaan ole aina saavutettavissa, ja luotettavan sovellussuojauksen on käytettävä koneoppimisen voimaa käytettävissä olevien resurssien huomioon ottamiseksi ja visualisoimiseksi, mahdollisten uhkien analysoimiseksi sekä suojauskäytäntöjen luomiseksi ja optimoimiseksi sovellusten muutosten varalta.
Tulokset
Koska sovelluksilla on yhä tärkeämpi rooli jokapäiväisessä elämässä, niistä tulee hakkereiden ensisijainen kohde. Rikollisten mahdolliset palkkiot ja yritysten mahdolliset menetykset ovat valtavia. Sovelluksen suojaustehtävän monimutkaisuutta ei voi yliarvioida, kun otetaan huomioon sovellusten ja uhkien määrä ja vaihtelut.
Onneksi olemme tilanteessa, jossa tekoäly voi tulla apuumme. Koneoppimiseen perustuvat algoritmit tarjoavat reaaliaikaisen, mukautuvan suojan edistyneimpiä sovelluksiin kohdistuvia kyberuhkia vastaan. Ne myös päivittävät automaattisesti suojauskäytännöt suojatakseen verkko-, mobiili- ja pilvisovelluksia – ja API:ita – ilman vääriä positiivisia tuloksia.
On vaikea ennustaa varmasti, mitä seuraavan sukupolven sovellusten kyberuhat (mahdollisesti myös koneoppimiseen perustuvat) ovat. Mutta organisaatiot voivat varmasti ryhtyä toimiin suojatakseen asiakastietoja, suojatakseen immateriaalioikeuksia ja varmistaakseen palvelujen saatavuuden suurilla liiketoimintaeduilla.
Radwaren tutkimuksessa ja raportissa esitellään tehokkaita lähestymistapoja ja menetelmiä sovellusten turvallisuuden varmistamiseen, hyökkäysten päätyypit ja vektorit, riskialueet ja aukot verkkosovellusten kybersuojauksessa sekä globaalit kokemukset ja parhaat käytännöt.".
Lähde: will.com