Sealladh air ais
Tha meud, sgrìobhadh agus co-dhèanamh bagairtean saidhbear do thagraidhean ag atharrachadh gu luath. Airson mòran bhliadhnaichean, tha luchd-cleachdaidh air faighinn gu tagraidhean lìn thairis air an eadar-lìn a’ cleachdadh brobhsairean lìn mòr-chòrdte. Bha feum air taic a thoirt do bhrobhsairean lìn 2-5 aig àm sònraichte sam bith, agus bha an seata inbhean airson leasachadh agus deuchainn thagraidhean lìn gu math cuibhrichte. Mar eisimpleir, chaidh cha mhòr a h-uile stòr-dàta a thogail a’ cleachdadh SQL. Gu mì-fhortanach, às deidh ùine ghoirid, dh’ ionnsaich luchd-hackers mar a chleachdas iad tagraidhean lìn gus dàta a ghoid, a dhubhadh às no atharrachadh. Fhuair iad cothrom mì-laghail air agus rinn iad ana-cleachdadh air comasan tagraidh a’ cleachdadh diofar dhòighean, a’ gabhail a-steach mealladh luchd-cleachdaidh an tagraidh, in-stealladh, agus cur an gnìomh còd iomallach. Ann an ùine ghoirid, thàinig innealan tèarainteachd tagradh lìn malairteach ris an canar Ballachan-teine Iarrtas Lìn (WAFn) chun mhargaidh, agus fhreagair a ’choimhearsnachd le bhith a’ cruthachadh pròiseact tèarainteachd tagradh lìn fosgailte, am Pròiseact Tèarainteachd Iarrtas Lìn Fosgailte (OWASP), gus inbhean leasachaidh agus modhan-obrach a mhìneachadh agus a chumail suas. aplacaidean tèarainte.
Dìon tagraidh bunaiteach
Is e seo an t-àite tòiseachaidh airson tagraidhean fhaighinn agus tha liosta ann de na bagairtean is mì-rèiteachaidhean as cunnartaiche a dh’ fhaodadh leantainn gu so-leòntachd tagraidh, a bharrachd air innleachdan airson a bhith a ’lorg agus a’ chùis air ionnsaighean. Tha an OWASP Top 10 na shlat-tomhais aithnichte ann an gnìomhachas cybersecurity tagraidh air feadh an t-saoghail agus a’ mìneachadh prìomh liosta de chomasan a bu chòir a bhith aig siostam tèarainteachd tagradh lìn (WAF).
A bharrachd air an sin, feumaidh gnìomhachd WAF aire a thoirt do dh’ ionnsaighean cumanta eile air tagraidhean lìn, a’ toirt a-steach mealltaireachd iarrtas thar-làraich (CSRF), cliogadh, sgrìobadh lìn, agus in-ghabhail fhaidhlichean (RFI / LFI).
Cunnartan agus dùbhlain airson dèanamh cinnteach à tèarainteachd thagraidhean ùr-nodha
An-diugh, chan eil a h-uile tagradh air a chuir an gnìomh ann an dreach lìonra. Tha aplacaidean sgòthan, aplacaidean gluasadach, APIan, agus anns na h-ailtirean as ùire, eadhon gnìomhan bathar-bog àbhaisteach. Feumar a h-uile gin de na tagraidhean sin a shioncronachadh agus a smachdachadh fhad ‘s a bhios iad a’ cruthachadh, ag atharrachadh agus a ’giullachd ar dàta. Le teachd teicneòlasan agus paradigms ùra, bidh iom-fhillteachd agus dùbhlain ùra ag èirigh aig gach ìre de chuairt-beatha an tagraidh. Tha seo a’ toirt a-steach amalachadh leasachaidh is gnìomhachd (DevOps), soithichean, Internet of Things (IoT), innealan stòr fosgailte, APIan, agus barrachd.
Tha cleachdadh sgaoilte de thagraidhean agus iomadachd theicneòlasan a’ cruthachadh dhùbhlain iom-fhillte agus iom-fhillte chan ann a-mhàin do phroifeasantaich tèarainteachd fiosrachaidh, ach cuideachd do luchd-reic fuasglaidhean tèarainteachd nach urrainn a bhith an urra ri dòigh-obrach aonaichte tuilleadh. Feumaidh ceumannan tèarainteachd tagraidh aire a thoirt don mhion-fhiosrachadh gnìomhachais aca gus casg a chuir air nithean ceàrr agus aimhreit ann an càileachd sheirbheisean do luchd-cleachdaidh.
Mar as trice is e amas deireannach luchd-hackers dàta a ghoid no dragh a chuir air na tha ri fhaighinn de sheirbheisean. Bidh luchd-ionnsaigh cuideachd a’ faighinn buannachd bho mean-fhàs teicneòlach. An toiseach, tha leasachadh theicneòlasan ùra a’ cruthachadh barrachd bheàrnan agus so-leòntachd. San dàrna h-àite, tha barrachd innealan agus eòlas aca san arsenal aca gus faighinn seachad air ceumannan tèarainteachd traidiseanta. Tha seo gu mòr a’ meudachadh an “uachdar ionnsaigh” ris an canar agus mar a bhios buidhnean a’ nochdadh do chunnartan ùra. Feumaidh poileasaidhean tèarainteachd atharrachadh gu cunbhalach mar fhreagairt air atharrachaidhean ann an teicneòlas agus tagraidhean.
Mar sin, feumar tagraidhean a dhìon bho mheasgachadh de dhòighean ionnsaigh agus stòran a tha a’ sìor fhàs, agus feumar cuir an-aghaidh ionnsaighean fèin-ghluasadach ann an àm fìor stèidhichte air co-dhùnaidhean fiosraichte. Is e an toradh seo cosgaisean malairt nas àirde agus saothair làimhe, còmhla ri suidheachadh tèarainteachd lag.
Gnìomh #1: Stiùirich botaichean
Tha còrr air 60% de thrafaig eadar-lìn air a chruthachadh le botaichean, le leth dhiubh sin na thrafaig “dona” (a rèir ). Bidh buidhnean a’ tasgadh ann a bhith ag àrdachadh comas lìonra, gu ìre mhòr a’ frithealadh eallach meallta. Faodaidh eadar-dhealachadh ceart a dhèanamh eadar fìor thrafaig luchd-cleachdaidh agus trafaic bot, a bharrachd air botaichean “math” (mar eisimpleir, innealan sgrùdaidh agus seirbheisean coimeas prìsean) agus botaichean “dona” sàbhalaidhean mòra cosgais agus càileachd seirbheis nas fheàrr do luchd-cleachdaidh.
Chan eil botaichean a’ dol a dhèanamh an obair seo furasta, agus faodaidh iad atharrais a dhèanamh air giùlan fìor luchd-cleachdaidh, seachain CAPTCHAn agus cnapan-starra eile. A bharrachd air an sin, a thaobh ionnsaighean a’ cleachdadh seòlaidhean IP fiùghantach, bidh dìon stèidhichte air sìoladh seòladh IP neo-èifeachdach. Gu tric, thathas a’ cleachdadh innealan leasachaidh stòr fosgailte (mar eisimpleir, Phantom JS) as urrainn JavaScript taobh an luchd-cleachdaidh a làimhseachadh gus ionnsaighean feachd brùideil a chuir air bhog, ionnsaighean lìonadh creideasach, ionnsaighean DDoS, agus ionnsaighean bot fèin-ghluasadach. .
Gus trafaic bot a riaghladh gu h-èifeachdach, tha feum air comharrachadh sònraichte den stòr aige (mar lorgan-meòir). Leis gu bheil ionnsaigh bot a ’gineadh grunn chlàran, leigidh a lorgan-meòir leis gnìomhachd amharasach a chomharrachadh agus sgòran a shònrachadh, stèidhichte air am bi siostam dìon an tagraidh a’ dèanamh co-dhùnadh fiosraichte - bloc / cead - le ìre as ìsle de nithean ceàrr.
Dùbhlan #2: Dìon an API
Bidh mòran thagraidhean a’ cruinneachadh fiosrachadh agus dàta bho sheirbheisean leis am bi iad ag eadar-obrachadh tro APIan. Nuair a bhios iad a’ sgaoileadh dàta mothachail tro APIan, chan eil còrr air 50% de bhuidhnean a’ dearbhadh no a’ dìon APIan gus ionnsaighean saidhbear a lorg.
Eisimpleirean de bhith a 'cleachdadh an API:
- Amalachadh Internet of Things (IoT).
- Conaltradh inneal-gu-inneal
- Àrainneachdan gun fhrithealaiche
- Aplacaidean gluasadach
- Tagraidhean air an stiùireadh le tachartas
Tha so-leòntachd API coltach ri so-leòntachd tagraidh agus a’ toirt a-steach in-stealladh, ionnsaighean protocol, làimhseachadh paramadair, ath-sheòlaidhean, agus ionnsaighean bot. Cuidichidh geataichean sònraichte API gus dèanamh cinnteach gu bheil co-chòrdalachd eadar seirbheisean tagraidh a bhios ag eadar-obrachadh tro APIan. Ach, chan eil iad a’ toirt seachad tèarainteachd tagraidh deireadh-gu-deireadh mar can WAF le innealan tèarainteachd riatanach leithid parsadh cinn HTTP, liosta smachd ruigsinneachd Sreath 7 (ACL), parsadh agus sgrùdadh luchd-pàighidh JSON / XML, agus dìon an aghaidh gach so-leòntachd bho Liosta OWASP Top 10. Tha seo air a choileanadh le bhith a 'sgrùdadh prìomh luachan API a' cleachdadh mhodalan dearbhach agus àicheil.
Dùbhlan #3: diùltadh seirbheis
Tha seann vectar ionnsaigh, diùltadh seirbheis (DoS), a’ leantainn air adhart a’ dearbhadh a èifeachdas ann a bhith a’ toirt ionnsaigh air tagraidhean. Tha raon de dhòighean soirbheachail aig luchd-ionnsaigh gus casg a chuir air seirbheisean tagraidh, a’ toirt a-steach tuiltean HTTP no HTTPS, ionnsaighean ìosal is slaodach (me SlowLoris, LOIC, Torshammer), ionnsaighean a’ cleachdadh seòlaidhean IP fiùghantach, thar-shruth bufair, feachd brùideil -ionnsaighean, agus mòran eile. . Le leasachadh Internet of Things agus mar a thàinig botnets IoT a-mach às deidh sin, tha ionnsaighean air tagraidhean air a thighinn gu bhith na phrìomh amas aig ionnsaighean DDoS. Chan urrainn don mhòr-chuid de WAFan stàiteil ach glè bheag de luchd a làimhseachadh. Ach, is urrainn dhaibh sruthan trafaic HTTP/S a sgrùdadh agus trafaic ionnsaigh agus ceanglaichean droch-rùnach a thoirt air falbh. Aon uair ‘s gu bheil ionnsaigh air a chomharrachadh, chan eil feum air a dhol seachad air an trafaic seo. Leis gu bheil comas WAF air ionnsaighean a chuir air ais cuibhrichte, tha feum air fuasgladh a bharrachd aig iomall an lìonraidh gus na h-ath phasganan “dona” a bhacadh gu fèin-ghluasadach. Airson an t-suidheachadh tèarainteachd seo, feumaidh an dà fhuasgladh a bhith comasach air conaltradh ri chèile gus fiosrachadh a thoirt seachad mu ionnsaighean.
Fig 1. Eagrachadh lìonra iomlan agus dìon tagraidh a 'cleachdadh eisimpleir de fhuasglaidhean Radware
Dùbhlan #4: Dìon Leantainneach
Bidh tagraidhean ag atharrachadh gu tric. Tha modhan leasachaidh is buileachaidh leithid ùrachaidhean leantainneach a’ ciallachadh gum bi atharrachaidhean a’ tachairt gun eadar-theachd no smachd daonna. Ann an àrainneachdan cho beothail, tha e duilich poileasaidhean tèarainteachd a tha ag obair gu h-iomchaidh a chumail suas às aonais àireamh àrd de rudan meallta. Bidh tagraidhean gluasadach air an ùrachadh mòran nas trice na tagraidhean lìn. Faodaidh tagraidhean treas-phàrtaidh atharrachadh gun fhios dhut. Tha cuid de bhuidhnean a’ sireadh barrachd smachd agus faicsinneachd gus fuireach os cionn chunnartan a dh’ fhaodadh a bhith ann. Ach, chan eil seo an-còmhnaidh comasach, agus feumaidh dìon tagraidh earbsach cumhachd ionnsachadh innealan a chleachdadh gus cunntas a thoirt air na goireasan a tha rim faighinn agus fhaicinn, sgrùdadh a dhèanamh air bagairtean a dh’ fhaodadh a bhith ann, agus poileasaidhean tèarainteachd a chruthachadh agus a bharrachadh ma thèid an tagradh atharrachadh.
toraidhean
Leis gu bheil àite a tha a’ sìor fhàs cudromach aig aplacaidean ann am beatha làitheil, bidh iad nam prìomh thargaid airson luchd-hackers. Tha na buannachdan a dh’ fhaodadh a bhith ann dha eucoirich agus na call a dh’ fhaodadh a bhith ann do ghnìomhachasan fìor mhòr. Chan urrainnear cus iom-fhillteachd gnìomh tèarainteachd an tagraidh a chuir an cèill leis an àireamh agus atharrachaidhean de thagraidhean agus chunnartan.
Gu fortanach, tha sinn aig àm far am faod inntleachd fuadain a thighinn gu ar cuideachadh. Bidh algorithms stèidhichte air ionnsachadh innealan a’ toirt dìon fìor-ùine, atharrachail an aghaidh nam bagairtean saidhbear as adhartaiche a tha ag amas air tagraidhean. Bidh iad cuideachd ag ùrachadh phoileasaidhean tèarainteachd gu fèin-ghluasadach gus tagraidhean lìn, gluasadach agus sgòthan a dhìon - agus APIan - às aonais nithean ceàrr.
Tha e duilich ro-innse le cinnt dè a bhios anns an ath ghinealach de saidhbear-bagairtean tagraidh (is dòcha cuideachd stèidhichte air ionnsachadh innealan). Ach faodaidh buidhnean gu cinnteach ceumannan a ghabhail gus dàta teachdaiche a dhìon, seilbh inntleachdail a dhìon, agus dèanamh cinnteach gu bheil seirbheis ri fhaighinn le buannachdan gnìomhachais mòra.
Tha dòighean-obrach agus modhan èifeachdach airson dèanamh cinnteach à tèarainteachd tagraidh, na prìomh sheòrsan agus vectaran ionnsaighean, raointean cunnairt agus beàrnan ann an dìon saidhbear air tagraidhean lìn, a bharrachd air eòlas cruinneil agus na cleachdaidhean as fheàrr air an taisbeanadh ann an sgrùdadh agus aithisg Radware “".
Source: www.habr.com