Retrospektyf
De skaal, gearstalling en gearstalling fan cyberbedrigingen foar applikaasjes ûntwikkelje rap. Foar in protte jierren hawwe brûkers tagong ta webapplikaasjes oer it ynternet mei populêre webbrowsers. It wie op elk momint nedich om 2-5 webbrowsers te stypjen, en de set fan noarmen foar it ûntwikkeljen en testen fan webapplikaasjes wie frij beheind. Bygelyks, hast alle databases waarden boud mei SQL. Spitigernôch learden hackers nei in koarte tiid webapplikaasjes te brûken om gegevens te stellen, te wiskjen of te feroarjen. Se krigen yllegale tagong ta en misbrûkte applikaasjemooglikheden mei in ferskaat oan techniken, ynklusyf mislieding fan applikaasje-brûkers, ynjeksje en útfiering fan koade op ôfstân. Al gau kamen kommersjele befeiligingsark foar webapplikaasjes neamd Web Application Firewalls (WAF's) op 'e merke, en de mienskip antwurde troch it meitsjen fan in iepen webapplikaasjefeiligensprojekt, it Open Web Application Security Project (OWASP), om ûntwikkelingsnormen en -metodologyen te definiearjen en te ûnderhâlden. feilige applikaasjes.
Basis applikaasje beskerming
is it útgongspunt foar it befeiligjen fan applikaasjes en befettet in list fan 'e gefaarlikste bedrigingen en miskonfiguraasjes dy't liede kinne ta kwetsberens fan applikaasjes, lykas taktyk foar it opspoaren en ferslaan fan oanfallen. De OWASP Top 10 is in erkende benchmark yn 'e applikaasje-cybersecurity-yndustry wrâldwiid en definiearret de kearnlist mei mooglikheden dy't in systeem foar webapplikaasjefeiligens (WAF) moat hawwe.
Dêrnjonken moat WAF-funksjonaliteit rekken hâlde mei oare mienskiplike oanfallen op webapplikaasjes, ynklusyf cross-site request forgery (CSRF), clickjacking, web scraping en bestânynklúzje (RFI / LFI).
Bedrigingen en útdagings foar it garandearjen fan de feiligens fan moderne applikaasjes
Tsjintwurdich wurde net alle applikaasjes ymplementearre yn in netwurkferzje. D'r binne wolk-apps, mobile apps, API's, en yn 'e lêste arsjitektueren, sels oanpaste softwarefunksjes. Al dizze soarten applikaasjes moatte wurde syngronisearre en kontroleare as se ús gegevens oanmeitsje, wizigje en ferwurkje. Mei de komst fan nije technologyen en paradigma's ûntsteane nije kompleksiteiten en útdagings yn alle stadia fan 'e libbenssyklus fan' e applikaasje. Dit omfettet ûntwikkeling en operaasjeyntegraasje (DevOps), konteners, Internet of Things (IoT), iepen boarne ark, API's, en mear.
De ferdielde ynset fan applikaasjes en it ferskaat oan technologyen skept komplekse en komplekse útdagings net allinich foar professionals yn ynformaasjefeiligens, mar ek foar leveransiers fan feiligensoplossingen dy't net langer kinne fertrouwe op in ienriedige oanpak. Befeiligingsmaatregels foar applikaasjes moatte rekken hâlde mei har saaklike spesifikaasjes om falske positiven en fersteuring fan 'e kwaliteit fan tsjinsten foar brûkers te foarkommen.
It ultime doel fan hackers is gewoanlik om gegevens te stellen of de beskikberens fan tsjinsten te fersteuren. Oanfallers profitearje ek fan technologyske evolúsje. Earst makket de ûntwikkeling fan nije technologyen mear potinsjele gatten en kwetsberens. Twads hawwe se mear ark en kennis yn har arsenal om tradisjonele feiligensmaatregels te omgean. Dit fergruttet de saneamde "oanfal oerflak" en de bleatstelling fan organisaasjes oan nije risiko's sterk. Feiligensbelied moat konstant feroarje yn reaksje op feroaringen yn technology en applikaasjes.
Sa moatte applikaasjes wurde beskerme tsjin in hieltyd tanimmend ferskaat oan oanfalmetoaden en boarnen, en automatisearre oanfallen moatte wurde tsjinwurke yn realtime basearre op ynformearre besluten. It resultaat is ferhege transaksjekosten en hânwurk, tegearre mei in ferswakke feiligensposysje.
Opdracht #1: Bots beheare
Mear dan 60% fan ynternetferkear wurdt generearre troch bots, wêrfan de helte "min" ferkear is (neffens ). Organisaasjes ynvestearje yn it fergrutsjen fan netwurkkapasiteit, yn essinsje tsjinje in fiktive lading. Akkuraat ûnderskied tusken echte brûkersferkear en botferkear, lykas "goede" bots (bygelyks sykmasjines en tsjinsten foar priisfergeliking) en "minne" bots kinne liede ta signifikante kostenbesparring en ferbettere kwaliteit fan tsjinst foar brûkers.
Bots sille dizze taak net maklik meitsje, en se kinne it gedrach fan echte brûkers imitearje, CAPTCHA's en oare obstakels omgean. Boppedat, yn it gefal fan oanfallen mei dynamyske IP-adressen, wurdt beskerming basearre op IP-adresfiltering net effektyf. Faak wurde iepen boarne-ûntwikkelingsark (bygelyks Phantom JS) dy't JavaSkript oan kliïntside kinne omgean wurde brûkt om brute-force oanfallen, credential stuffing oanfallen, DDoS oanfallen en automatisearre bot oanfallen te starten. .
Om botferkear effektyf te behearjen, is in unike identifikaasje fan syn boarne (lykas in fingerprint) fereaske. Sûnt in botoanfal genereart meardere records, lit syn fingerprint it fertochte aktiviteit identifisearje en skoares tawize, basearre op hokker it applikaasjebeskermingssysteem in ynformearre beslút makket - blokkearje / tastean - mei in minimum taryf fan falske positiven.
Útdaging #2: De API beskermje
In protte applikaasjes sammelje ynformaasje en gegevens fan tsjinsten wêrmei't se ynteraksje fia API's. By it ferstjoeren fan gefoelige gegevens fia API's, mear dan 50% fan organisaasjes validearje noch befeiligje API's om cyberoanfallen te detektearjen.
Foarbylden fan it brûken fan de API:
- Yntegraasje fan Internet of Things (IoT).
- Machine-to-machine kommunikaasje
- Serverless omjouwings
- Mobile apps
- Event-oandreaune applikaasjes
API-kwetsberheden binne fergelykber mei kwetsberens fan applikaasjes en omfetsje ynjeksjes, protokoloanfallen, parametermanipulaasje, trochferwizings en botoanfallen. Tawiisde API-poarten helpe kompatibiliteit te garandearjen tusken applikaasjetsjinsten dy't ynteraksje fia API's. Se leverje lykwols gjin ein-oan-ein applikaasjefeiligens lykas in WAF kin mei essensjele befeiligingsynstruminten lykas HTTP-headerparsing, Layer 7 tagongskontrôlelist (ACL), JSON/XML payload parsing en ynspeksje, en beskerming tsjin alle kwetsberens fan OWASP Top 10 list. Dit wurdt berikt troch ynspeksje fan wichtige API-wearden mei positive en negative modellen.
Challenge #3: Denial of Service
In âlde oanfalsvektor, denial of service (DoS), bliuwt syn effektiviteit te bewizen by it oanfallen fan applikaasjes. Oanfallers hawwe in ferskaat oan suksesfolle techniken om applikaasjetsjinsten te fersteuren, ynklusyf HTTP- of HTTPS-oerstreamingen, leech-en-stadige oanfallen (bgl. SlowLoris, LOIC, Torshammer), oanfallen mei dynamyske IP-adressen, bufferoverflow, brute force-oanfallen, en in protte oaren . Mei de ûntwikkeling fan it Internet of Things en it folgjende ûntstean fan IoT-botnets, binne oanfallen op applikaasjes it haadfokus wurden fan DDoS-oanfallen. De measte steatlike WAF's kinne allinich in beheind bedrach fan lading behannelje. Se kinne lykwols HTTP/S-ferkearstreamen ynspektearje en oanfalsferkear en kweade ferbiningen ferwiderje. Sadree't in oanfal is identifisearre, der is gjin punt in opnij trochjaan dit ferkear. Sûnt de kapasiteit fan 'e WAF om oanfallen ôf te slaan is beheind, is in ekstra oplossing nedich by de netwurkperimeter om de folgjende "minne" pakketten automatysk te blokkearjen. Foar dit feiligenssenario moatte beide oplossingen mei-inoar kommunisearje kinne om ynformaasje oer oanfallen út te wikseljen.
Fig 1. Organisaasje fan wiidweidich netwurk en applikaasje beskerming mei help fan it foarbyld fan Radware oplossings
Challenge # 4: Trochrinnende beskerming
Applikaasjes feroarje faak. Untwikkelings- en ymplemintaasjemetoaden lykas rôljende updates betsjutte dat wizigingen foarkomme sûnder minsklike yntervinsje of kontrôle. Yn sokke dynamyske omjouwings is it lestich om adekwaat funksjonearjend feiligensbelied te behâlden sûnder in heech oantal falske positiven. Mobile applikaasjes wurde folle faker bywurke as webapplikaasjes. Tapassingen fan tredden kinne feroarje sûnder jo kennis. Guon organisaasjes sykje gruttere kontrôle en sichtberens om boppe op potinsjele risiko's te bliuwen. Dit is lykwols net altyd te berikken, en betroubere applikaasjebeskerming moat de krêft fan masine learen brûke om beskikbere boarnen te ferantwurdzjen en te visualisearjen, potinsjele bedrigingen te analysearjen en feiligensbelied te meitsjen en te optimalisearjen yn gefal fan oanpassings fan tapassing.
befinings
As apps in hieltyd wichtiger rol spylje yn it deistich libben, wurde se in haaddoel foar hackers. De potinsjele beleannings foar kriminelen en de potinsjele ferliezen foar bedriuwen binne enoarm. De kompleksiteit fan 'e applikaasje-befeiligingstaak kin net te heech wurde sjoen it oantal en fariaasjes fan applikaasjes en bedrigingen.
Gelokkich binne wy op in punt yn 'e tiid dêr't keunstmjittige yntelliginsje ús te help komme kin. Masine learen-basearre algoritmen leverje realtime, adaptive beskerming tsjin de meast avansearre cyberbedrigingen dy't rjochte binne op applikaasjes. Se aktualisearje ek automatysk befeiligingsbelied om web-, mobyl- en wolkapplikaasjes - en API's - te beskermjen sûnder falske positiven.
It is lestich om mei wissichheid te foarsizzen wat de folgjende generaasje fan cyberbedrigingen foar applikaasjes (mooglik ek basearre op masine learen) sil wêze. Mar organisaasjes kinne grif stappen nimme om klantgegevens te beskermjen, yntellektueel eigendom te beskermjen en beskikberens fan tsjinsten te garandearjen mei grutte saaklike foardielen.
Effektive oanpakken en metoaden foar it garandearjen fan applikaasjefeiligens, de haadtypen en fektors fan oanfallen, risikogebieten en gatten yn cyberbeskerming fan webapplikaasjes, lykas wrâldwide ûnderfining en bêste praktiken wurde presintearre yn 'e Radware-stúdzje en rapport "".
Boarne: www.habr.com