Retrospectiva
A escala, a composición e a composición das ameazas cibernéticas para as aplicacións están a evolucionar rapidamente. Durante moitos anos, os usuarios accederon a aplicacións web a través de Internet utilizando navegadores web populares. Era necesario admitir 2-5 navegadores web en cada momento, e o conxunto de estándares para desenvolver e probar aplicacións web era bastante limitado. Por exemplo, case todas as bases de datos foron construídas usando SQL. Desafortunadamente, despois de pouco tempo, os hackers aprenderon a usar aplicacións web para roubar, eliminar ou cambiar datos. Obtiveron acceso ilegal e abusaron das capacidades das aplicacións mediante unha variedade de técnicas, incluíndo o engano dos usuarios da aplicación, a inxección e a execución remota de código. Pronto, saíron ao mercado ferramentas comerciais de seguranza de aplicacións web chamadas Web Application Firewalls (WAF), e a comunidade respondeu creando un proxecto de seguridade de aplicacións web aberta, o Open Web Application Security Project (OWASP), para definir e manter estándares e metodoloxías de desenvolvemento. aplicacións seguras.
Protección básica da aplicación
é o punto de partida para protexer as aplicacións e contén unha lista das ameazas e configuracións incorrectas máis perigosas que poden provocar vulnerabilidades das aplicacións, así como tácticas para detectar e derrotar ataques. O Top 10 de OWASP é un referente recoñecido na industria da ciberseguridade de aplicacións en todo o mundo e define a lista básica de capacidades que debería ter un sistema de seguridade de aplicacións web (WAF).
Ademais, a funcionalidade de WAF debe ter en conta outros ataques comúns ás aplicacións web, incluíndo a falsificación de solicitudes entre sitios (CSRF), o clickjacking, o raspado web e a inclusión de ficheiros (RFI/LFI).
Ameazas e desafíos para garantir a seguridade das aplicacións modernas
Hoxe, non todas as aplicacións están implementadas nunha versión de rede. Hai aplicacións na nube, aplicacións móbiles, API e, nas últimas arquitecturas, incluso funcións de software personalizadas. Todos estes tipos de aplicacións deben sincronizarse e controlarse mentres crean, modifican e procesan os nosos datos. Coa chegada das novas tecnoloxías e paradigmas, xorden novas complexidades e desafíos en todas as etapas do ciclo de vida das aplicacións. Isto inclúe a integración de desenvolvemento e operacións (DevOps), contedores, Internet das cousas (IoT), ferramentas de código aberto, API e moito máis.
O despregamento distribuído de aplicacións e a diversidade de tecnoloxías crea desafíos complexos e complexos non só para os profesionais da seguridade da información, senón tamén para os provedores de solucións de seguridade que xa non poden confiar nun enfoque unificado. As medidas de seguridade das aplicacións deben ter en conta as súas especificidades comerciais para evitar falsos positivos e a interrupción da calidade dos servizos dos usuarios.
O obxectivo final dos hackers adoita ser roubar datos ou perturbar a dispoñibilidade dos servizos. Os atacantes tamén se benefician da evolución tecnolóxica. En primeiro lugar, o desenvolvemento de novas tecnoloxías crea máis lagoas potenciais e vulnerabilidades. En segundo lugar, teñen máis ferramentas e coñecementos no seu arsenal para evitar as medidas de seguridade tradicionais. Isto aumenta moito a chamada "superficie de ataque" e a exposición das organizacións a novos riscos. As políticas de seguridade deben cambiar constantemente en resposta aos cambios na tecnoloxía e nas aplicacións.
Así, as aplicacións deben estar protexidas dunha variedade cada vez maior de métodos e fontes de ataque, e os ataques automatizados deben ser contrarrestados en tempo real en base a decisións informadas. O resultado é un aumento dos custos de transacción e do traballo manual, xunto cunha postura de seguridade debilitada.
Tarefa #1: Xestionar bots
Máis do 60% do tráfico de Internet é xerado por bots, a metade do cal é tráfico "malo" (segundo ). As organizacións invisten en aumentar a capacidade da rede, atendendo esencialmente a unha carga ficticia. A distinción precisa entre o tráfico de usuarios real e o tráfico de bots, así como os bots "bos" (por exemplo, robots de busca e servizos de comparación de prezos) e os bots "malos" pode producir un aforro de custos significativo e unha mellora da calidade do servizo para os usuarios.
Os bots non van facilitar esta tarefa e poden imitar o comportamento dos usuarios reais, evitar os CAPTCHA e outros obstáculos. Ademais, no caso de ataques mediante enderezos IP dinámicos, a protección baseada no filtrado de enderezos IP tórnase ineficaz. A miúdo, as ferramentas de desenvolvemento de código aberto (por exemplo, Phantom JS) que poden xestionar JavaScript do cliente utilízanse para lanzar ataques de forza bruta, ataques de recheo de credenciais, ataques DDoS e ataques de bot automatizados. .
Para xestionar eficazmente o tráfico do bot, é necesaria unha identificación única da súa orixe (como unha pegada dixital). Dado que un ataque de bot xera múltiples rexistros, a súa pegada dixital permítelle identificar actividade sospeitosa e asignar puntuacións, en función das cales o sistema de protección da aplicación toma unha decisión informada -bloquear/permitir- cunha taxa mínima de falsos positivos.
Desafío #2: Protexer a API
Moitas aplicacións recollen información e datos dos servizos cos que interactúan a través das API. Ao transmitir datos confidenciais a través de API, máis do 50 % das organizacións non validan nin protexen as API para detectar ciberataques.
Exemplos de uso da API:
- Integración de Internet das Cousas (IoT).
- Comunicación máquina a máquina
- Entornos sen servidor
- Aplicacións para móbil
- Aplicacións dirixidas a eventos
As vulnerabilidades da API son similares ás vulnerabilidades das aplicacións e inclúen inxeccións, ataques de protocolo, manipulación de parámetros, redireccións e ataques de bots. As pasarelas de API dedicadas axudan a garantir a compatibilidade entre os servizos de aplicacións que interactúan a través das API. Non obstante, non proporcionan seguridade de aplicacións de extremo a extremo como un WAF con ferramentas de seguridade esenciais, como análise de cabeceiras HTTP, lista de control de acceso (ACL) da capa 7, análise e inspección de carga útil JSON/XML e protección contra todas as vulnerabilidades de Lista OWASP Top 10. Isto conséguese inspeccionando os valores clave da API mediante modelos positivos e negativos.
Desafío #3: Denegación de servizo
Un vello vector de ataque, a denegación de servizo (DoS), segue demostrando a súa eficacia para atacar aplicacións. Os atacantes teñen unha serie de técnicas exitosas para interromper os servizos de aplicacións, incluíndo inundacións HTTP ou HTTPS, ataques lentos e baixos (por exemplo, SlowLoris, LOIC, Torshammer), ataques que usan enderezos IP dinámicos, desbordamento de búfer, ataques de forza bruta e moitos outros. . Co desenvolvemento da Internet das Cousas e a posterior aparición das botnets IoT, os ataques ás aplicacións convertéronse no foco principal dos ataques DDoS. A maioría dos WAF con estado só poden xestionar unha cantidade limitada de carga. Non obstante, poden inspeccionar os fluxos de tráfico HTTP/S e eliminar o tráfico de ataque e as conexións maliciosas. Unha vez identificado un ataque, non ten sentido volver pasar este tráfico. Dado que a capacidade do WAF para repeler ataques é limitada, é necesaria unha solución adicional no perímetro da rede para bloquear automaticamente os seguintes paquetes "malos". Para este escenario de seguridade, ambas solucións deben poder comunicarse entre si para intercambiar información sobre ataques.
Figura 1. Organización da protección integral de redes e aplicacións utilizando o exemplo de solucións Radware
Desafío #4: Protección continua
As aplicacións cambian con frecuencia. As metodoloxías de desenvolvemento e implementación, como as actualizacións continuas, fan que as modificacións se produzan sen intervención nin control humano. En entornos tan dinámicos, é difícil manter políticas de seguridade que funcionen adecuadamente sen un gran número de falsos positivos. As aplicacións móbiles actualízanse con moita máis frecuencia que as aplicacións web. As aplicacións de terceiros poden cambiar sen o teu coñecemento. Algunhas organizacións buscan un maior control e visibilidade para estar ao tanto dos riscos potenciais. Non obstante, isto non sempre se pode conseguir, e unha protección fiable das aplicacións debe utilizar o poder da aprendizaxe automática para contabilizar e visualizar os recursos dispoñibles, analizar as ameazas potenciais e crear e optimizar políticas de seguridade en caso de modificacións das aplicacións.
Descubrimentos
A medida que as aplicacións xogan un papel cada vez máis importante na vida cotiá, convértense nun obxectivo principal para os piratas informáticos. As recompensas potenciais para os criminais e as perdas potenciais para as empresas son enormes. A complexidade da tarefa de seguranza das aplicacións non se pode exagerar dado o número e as variacións de aplicacións e ameazas.
Afortunadamente, estamos nun momento no que a intelixencia artificial pode axudarnos. Os algoritmos baseados na aprendizaxe automática proporcionan protección adaptativa en tempo real contra as ameazas cibernéticas máis avanzadas dirixidas ás aplicacións. Tamén actualizan automaticamente as políticas de seguranza para protexer as aplicacións web, móbiles e na nube (e as API) sen falsos positivos.
É difícil prever con certeza cales serán a próxima xeración de ciberameazas de aplicacións (posiblemente tamén baseadas na aprendizaxe automática). Pero as organizacións certamente poden tomar medidas para protexer os datos dos clientes, protexer a propiedade intelectual e garantir a dispoñibilidade do servizo con grandes beneficios comerciais.
No estudo e informe de Radware preséntanse enfoques e métodos eficaces para garantir a seguridade das aplicacións, os principais tipos e vectores de ataques, áreas de risco e lagoas na protección cibernética das aplicacións web, así como a experiencia global e as mellores prácticas.".
Fonte: www.habr.com