🥇 આધુનિક એપ્લિકેશન પ્રોટેક્શન સિસ્ટમ્સ (WAF) ની કાર્યક્ષમતા OWASP ટોપ 10 ની નબળાઈઓની સૂચિ કરતાં ઘણી વિશાળ હોવી જોઈએ

પૂર્વદર્શી

એપ્લિકેશન્સ માટેના સાયબર ધમકીઓના સ્કેલ, રચના અને રચના ઝડપથી વિકસિત થઈ રહી છે. ઘણા વર્ષોથી, વપરાશકર્તાઓએ લોકપ્રિય વેબ બ્રાઉઝરનો ઉપયોગ કરીને ઇન્ટરનેટ પર વેબ એપ્લિકેશનને ઍક્સેસ કરી છે. કોઈપણ સમયે 2-5 વેબ બ્રાઉઝર્સને સમર્થન આપવું જરૂરી હતું, અને વેબ એપ્લિકેશનના વિકાસ અને પરીક્ષણ માટેના ધોરણોનો સમૂહ તદ્દન મર્યાદિત હતો. ઉદાહરણ તરીકે, લગભગ તમામ ડેટાબેઝ SQL નો ઉપયોગ કરીને બનાવવામાં આવ્યા હતા. કમનસીબે, થોડા સમય પછી, હેકર્સે ડેટા ચોરી, કાઢી નાખવા અથવા બદલવા માટે વેબ એપ્લિકેશનનો ઉપયોગ કરવાનું શીખ્યા. તેઓએ એપ્લિકેશન વપરાશકર્તાઓની છેતરપિંડી, ઇન્જેક્શન અને રિમોટ કોડ એક્ઝિક્યુશન સહિત વિવિધ તકનીકોનો ઉપયોગ કરીને એપ્લિકેશન ક્ષમતાઓની ગેરકાયદેસર ઍક્સેસ મેળવી અને તેનો દુરુપયોગ કર્યો. ટૂંક સમયમાં, વેબ એપ્લિકેશન ફાયરવોલ્સ (WAFs) નામના વ્યવસાયિક વેબ એપ્લિકેશન સુરક્ષા સાધનો બજારમાં આવ્યા, અને સમુદાયે વિકાસના ધોરણો અને પદ્ધતિઓ વ્યાખ્યાયિત કરવા અને જાળવવા માટે ઓપન વેબ એપ્લિકેશન સુરક્ષા પ્રોજેક્ટ, ઓપન વેબ એપ્લિકેશન સિક્યુરિટી પ્રોજેક્ટ (OWASP) બનાવીને પ્રતિભાવ આપ્યો. સુરક્ષિત એપ્લિકેશન્સ.

મૂળભૂત એપ્લિકેશન રક્ષણ

OWASP ટોપ 10 યાદી એપ્લીકેશનને સુરક્ષિત કરવા માટેનું પ્રારંભિક બિંદુ છે અને તેમાં સૌથી ખતરનાક ધમકીઓ અને ખોટી ગોઠવણીઓની સૂચિ છે જે એપ્લિકેશનની નબળાઈઓ તરફ દોરી શકે છે, તેમજ હુમલાઓને શોધવા અને હરાવવા માટેની યુક્તિઓ. OWASP ટોપ 10 એ એપ્લીકેશન સાયબર સિક્યુરિટી ઈન્ડસ્ટ્રીમાં વિશ્વભરમાં માન્ય બેન્ચમાર્ક છે અને વેબ એપ્લિકેશન સિક્યુરિટી (WAF) સિસ્ટમમાં હોવી જોઈએ તેવી ક્ષમતાઓની મુખ્ય યાદીને વ્યાખ્યાયિત કરે છે.

વધુમાં, WAF કાર્યક્ષમતાએ વેબ એપ્લીકેશનો પરના અન્ય સામાન્ય હુમલાઓને ધ્યાનમાં લેવું જોઈએ, જેમાં ક્રોસ-સાઈટ રિક્વેસ્ટ ફોર્જરી (CSRF), ક્લિકજેકિંગ, વેબ સ્ક્રેપિંગ અને ફાઇલ સમાવેશ (RFI/LFI)નો સમાવેશ થાય છે.

આધુનિક એપ્લિકેશનોની સુરક્ષા સુનિશ્ચિત કરવા માટે ધમકીઓ અને પડકારો

આજે, બધી એપ્લિકેશનો નેટવર્ક સંસ્કરણમાં લાગુ થતી નથી. ક્લાઉડ એપ્સ, મોબાઈલ એપ્સ, API અને નવીનતમ આર્કિટેક્ચરમાં, કસ્ટમ સોફ્ટવેર ફંક્શન પણ છે. આ તમામ પ્રકારની એપ્લીકેશનો અમારા ડેટાને બનાવે છે, સંશોધિત કરે છે અને પ્રક્રિયા કરે છે તે રીતે સિંક્રનાઇઝ અને નિયંત્રિત કરવાની જરૂર છે. નવી તકનીકો અને દાખલાઓના આગમન સાથે, એપ્લિકેશન જીવનચક્રના તમામ તબક્કે નવી જટિલતાઓ અને પડકારો ઉદભવે છે. આમાં ડેવલપમેન્ટ અને ઓપરેશન્સ ઈન્ટિગ્રેશન (DevOps), કન્ટેનર, ઈન્ટરનેટ ઓફ થિંગ્સ (IoT), ઓપન સોર્સ ટૂલ્સ, API અને વધુનો સમાવેશ થાય છે.

એપ્લિકેશન્સની વિતરિત જમાવટ અને તકનીકોની વિવિધતા માત્ર માહિતી સુરક્ષા વ્યાવસાયિકો માટે જ નહીં, પરંતુ સુરક્ષા ઉકેલ વિક્રેતાઓ માટે પણ જટિલ અને જટિલ પડકારો બનાવે છે જેઓ હવે એકીકૃત અભિગમ પર આધાર રાખી શકતા નથી. ખોટા હકારાત્મક અને વપરાશકર્તાઓ માટે સેવાઓની ગુણવત્તાના વિક્ષેપને રોકવા માટે એપ્લિકેશન સુરક્ષા પગલાંએ તેમના વ્યવસાયની વિશિષ્ટતાઓને ધ્યાનમાં લેવી આવશ્યક છે.

હેકર્સનો અંતિમ ધ્યેય સામાન્ય રીતે ડેટાની ચોરી કરવાનો અથવા સેવાઓની ઉપલબ્ધતાને વિક્ષેપિત કરવાનો હોય છે. હુમલાખોરોને તકનીકી ઉત્ક્રાંતિથી પણ ફાયદો થાય છે. પ્રથમ, નવી તકનીકોનો વિકાસ વધુ સંભવિત અંતર અને નબળાઈઓ બનાવે છે. બીજું, પરંપરાગત સુરક્ષા પગલાંને બાયપાસ કરવા માટે તેમની પાસે તેમના શસ્ત્રાગારમાં વધુ સાધનો અને જ્ઞાન છે. આ કહેવાતી "હુમલો સપાટી" અને સંગઠનોના નવા જોખમોના સંપર્કમાં ઘણો વધારો કરે છે. ટેક્નોલોજી અને એપ્લિકેશન્સમાં થતા ફેરફારોના પ્રતિભાવમાં સુરક્ષા નીતિઓ સતત બદલાતી રહે છે.

આમ, એપ્લીકેશનને હુમલાની પદ્ધતિઓ અને સ્ત્રોતોની સતત વધતી જતી વિવિધતાઓથી સુરક્ષિત રાખવું આવશ્યક છે, અને જાણકાર નિર્ણયોના આધારે સ્વયંસંચાલિત હુમલાઓનો વાસ્તવિક સમયમાં સામનો કરવો આવશ્યક છે. પરિણામ ટ્રાન્ઝેક્શન ખર્ચમાં વધારો અને મેન્યુઅલ શ્રમ, નબળા સુરક્ષા મુદ્રા સાથે જોડાયેલું છે.

કાર્ય #1: બૉટોનું સંચાલન કરવું

60% થી વધુ ઇન્ટરનેટ ટ્રાફિક બૉટો દ્વારા જનરેટ થાય છે, જેમાંથી અડધો "ખરાબ" ટ્રાફિક છે ( રેડવેર સુરક્ષા અહેવાલ). સંસ્થાઓ નેટવર્ક ક્ષમતા વધારવામાં રોકાણ કરે છે, અનિવાર્યપણે કાલ્પનિક લોડને સેવા આપે છે. વાસ્તવિક વપરાશકર્તા ટ્રાફિક અને બૉટ ટ્રાફિક, તેમજ "સારા" બૉટો (ઉદાહરણ તરીકે, સર્ચ એન્જિન અને કિંમત સરખામણી સેવાઓ) અને "ખરાબ" બૉટ્સ વચ્ચે ચોક્કસ ભેદ પાડવાથી વપરાશકર્તાઓ માટે નોંધપાત્ર ખર્ચ બચત અને સેવાની ગુણવત્તામાં સુધારો થઈ શકે છે.

બૉટ્સ આ કાર્યને સરળ બનાવશે નહીં, અને તેઓ વાસ્તવિક વપરાશકર્તાઓના વર્તનનું અનુકરણ કરી શકે છે, કેપ્ચા અને અન્ય અવરોધોને બાયપાસ કરી શકે છે. વધુમાં, ગતિશીલ IP સરનામાંનો ઉપયોગ કરીને હુમલાના કિસ્સામાં, IP સરનામાં ફિલ્ટરિંગ પર આધારિત સુરક્ષા બિનઅસરકારક બની જાય છે. મોટેભાગે, ઓપન સોર્સ ડેવલપમેન્ટ ટૂલ્સ (ઉદાહરણ તરીકે, ફેન્ટમ જેએસ) કે જે ક્લાયન્ટ-સાઇડ જાવાસ્ક્રિપ્ટને હેન્ડલ કરી શકે છે તેનો ઉપયોગ બ્રુટ-ફોર્સ એટેક, ક્રેડેન્શિયલ સ્ટફિંગ એટેક, ડીડીઓએસ એટેક અને ઓટોમેટેડ બોટ હુમલાઓ શરૂ કરવા માટે થાય છે.

બોટ ટ્રાફિકને અસરકારક રીતે સંચાલિત કરવા માટે, તેના સ્ત્રોતની અનન્ય ઓળખ (જેમ કે ફિંગરપ્રિન્ટ) જરૂરી છે. બોટ એટેક બહુવિધ રેકોર્ડ્સ જનરેટ કરે છે, તેથી તેની ફિંગરપ્રિન્ટ તેને શંકાસ્પદ પ્રવૃત્તિને ઓળખવા અને સ્કોર સોંપવાની મંજૂરી આપે છે, જેના આધારે એપ્લિકેશન પ્રોટેક્શન સિસ્ટમ જાણકાર નિર્ણય લે છે - બ્લોક/મંજૂરી આપો - ઓછામાં ઓછા ખોટા હકારાત્મક દર સાથે.

પડકાર #2: API ને સુરક્ષિત કરવું

ઘણી એપ્લીકેશનો APIs દ્વારા તેઓ જેની સાથે સંપર્ક કરે છે તે સેવાઓમાંથી માહિતી અને ડેટા એકત્રિત કરે છે. APIs દ્વારા સંવેદનશીલ ડેટા ટ્રાન્સમિટ કરતી વખતે, 50% થી વધુ સંસ્થાઓ સાયબર હુમલાઓ શોધવા માટે API ને માન્ય અથવા સુરક્ષિત કરતી નથી.

API નો ઉપયોગ કરવાના ઉદાહરણો:

ઇન્ટરનેટ ઓફ થિંગ્સ (IoT) એકીકરણ
મશીન-ટુ-મશીન સંચાર
સર્વર વિનાનું વાતાવરણ
મોબાઇલ એપ્લિકેશન્સ
ઇવેન્ટ-સંચાલિત એપ્લિકેશન્સ

API નબળાઈઓ એપ્લીકેશન નબળાઈઓ જેવી જ છે અને તેમાં ઈન્જેક્શન, પ્રોટોકોલ હુમલા, પેરામીટર મેનીપ્યુલેશન, રીડાયરેક્ટ અને બોટ હુમલાનો સમાવેશ થાય છે. સમર્પિત API ગેટવે એપીઆઈ દ્વારા ક્રિયાપ્રતિક્રિયા કરતી એપ્લિકેશન સેવાઓ વચ્ચે સુસંગતતા સુનિશ્ચિત કરવામાં મદદ કરે છે. જો કે, તેઓ HTTP હેડર પાર્સિંગ, લેયર 7 એક્સેસ કંટ્રોલ લિસ્ટ (ACL), JSON/XML પેલોડ પાર્સિંગ અને ઇન્સ્પેક્શન અને તમામ નબળાઈઓ સામે રક્ષણ જેવા આવશ્યક સુરક્ષા સાધનો સાથે WAF જેવી એન્ડ-ટુ-એન્ડ એપ્લિકેશન સુરક્ષા પ્રદાન કરતા નથી. OWASP ટોચની 10 સૂચિ. આ હકારાત્મક અને નકારાત્મક મોડલ્સનો ઉપયોગ કરીને કી API મૂલ્યોનું નિરીક્ષણ કરીને પ્રાપ્ત થાય છે.

પડકાર #3: સેવાનો ઇનકાર

જૂનો એટેક વેક્ટર, ડિનાયલ ઓફ સર્વિસ (DoS), એટેકીંગ એપ્લીકેશનમાં તેની અસરકારકતા સાબિત કરવાનું ચાલુ રાખે છે. હુમલાખોરો પાસે HTTP અથવા HTTPS પૂર, ઓછા અને ધીમા હુમલાઓ (દા.ત. SlowLoris, LOIC, Torshammer), ડાયનેમિક IP એડ્રેસનો ઉપયોગ કરીને હુમલાઓ, બફર ઓવરફ્લો, બ્રુટ ફોર્સ-એટેક અને અન્ય ઘણા સહિતની એપ્લિકેશન સેવાઓને વિક્ષેપિત કરવાની સફળ તકનીકોની શ્રેણી છે. . ઈન્ટરનેટ ઓફ થિંગ્સના વિકાસ અને IoT બોટનેટના અનુગામી ઉદભવ સાથે, એપ્લિકેશનો પરના હુમલાઓ DDoS હુમલાનું મુખ્ય કેન્દ્ર બની ગયા છે. મોટા ભાગના સ્ટેટફુલ WAF માત્ર મર્યાદિત માત્રામાં લોડને હેન્ડલ કરી શકે છે. જો કે, તેઓ HTTP/S ટ્રાફિક પ્રવાહનું નિરીક્ષણ કરી શકે છે અને હુમલાના ટ્રાફિક અને દૂષિત જોડાણોને દૂર કરી શકે છે. એકવાર હુમલાની ઓળખ થઈ જાય, પછી આ ટ્રાફિકને ફરીથી પસાર કરવાનો કોઈ અર્થ નથી. હુમલાઓને દૂર કરવાની WAF ની ક્ષમતા મર્યાદિત હોવાથી, આગામી "ખરાબ" પેકેટોને આપમેળે અવરોધિત કરવા માટે નેટવર્ક પરિમિતિ પર વધારાના ઉકેલની જરૂર છે. આ સુરક્ષા દૃશ્ય માટે, બંને ઉકેલો હુમલાઓ વિશેની માહિતીની આપલે કરવા માટે એકબીજા સાથે વાતચીત કરવા સક્ષમ હોવા જોઈએ.

ફિગ 1. રેડવેર સોલ્યુશન્સના ઉદાહરણનો ઉપયોગ કરીને વ્યાપક નેટવર્ક અને એપ્લિકેશન સુરક્ષાનું સંગઠન

પડકાર #4: સતત રક્ષણ

અરજીઓ વારંવાર બદલાય છે. વિકાસ અને અમલીકરણ પદ્ધતિઓ જેમ કે રોલિંગ અપડેટ્સનો અર્થ એ છે કે ફેરફારો માનવ હસ્તક્ષેપ અથવા નિયંત્રણ વિના થાય છે. આવા ગતિશીલ વાતાવરણમાં, મોટી સંખ્યામાં ખોટા હકારાત્મકતા વિના પર્યાપ્ત રીતે કાર્યરત સુરક્ષા નીતિઓ જાળવવી મુશ્કેલ છે. વેબ એપ્લીકેશનો કરતાં મોબાઈલ એપ્લીકેશન ઘણી વાર અપડેટ થાય છે. તૃતીય પક્ષની અરજીઓ તમારી જાણ વગર બદલાઈ શકે છે. કેટલીક સંસ્થાઓ સંભવિત જોખમોની ટોચ પર રહેવા માટે વધુ નિયંત્રણ અને દૃશ્યતા શોધી રહી છે. જો કે, આ હંમેશા પ્રાપ્ત કરી શકાય તેવું હોતું નથી, અને વિશ્વસનીય એપ્લિકેશન સુરક્ષાએ ઉપલબ્ધ સંસાધનોને ધ્યાનમાં લેવા અને વિઝ્યુઅલાઈઝ કરવા, સંભવિત જોખમોનું વિશ્લેષણ કરવા અને એપ્લિકેશન ફેરફારોની સ્થિતિમાં સુરક્ષા નીતિઓ બનાવવા અને ઑપ્ટિમાઇઝ કરવા માટે મશીન લર્નિંગની શક્તિનો ઉપયોગ કરવો જોઈએ.

તારણો

એપ્લિકેશન્સ રોજિંદા જીવનમાં વધુને વધુ મહત્વપૂર્ણ ભૂમિકા ભજવે છે, તે હેકર્સ માટે મુખ્ય લક્ષ્ય બની જાય છે. ગુનેગારો માટે સંભવિત પુરસ્કારો અને વ્યવસાયો માટે સંભવિત નુકસાન પ્રચંડ છે. એપ્લિકેશન અને ધમકીઓની સંખ્યા અને વિવિધતાને જોતાં એપ્લિકેશન સુરક્ષા કાર્યની જટિલતાને વધારે પડતી દર્શાવી શકાતી નથી.

સદનસીબે, અમે એવા સમયે છીએ જ્યાં આર્ટિફિશિયલ ઇન્ટેલિજન્સ અમારી મદદ માટે આવી શકે છે. મશીન લર્નિંગ-આધારિત અલ્ગોરિધમ્સ એપ્લિકેશનને લક્ષ્ય બનાવતા સૌથી અદ્યતન સાયબર ધમકીઓ સામે રીઅલ-ટાઇમ, અનુકૂલનશીલ સુરક્ષા પ્રદાન કરે છે. તેઓ વેબ, મોબાઇલ અને ક્લાઉડ એપ્લીકેશનો-અને APIs-ને ખોટા હકારાત્મક વિના સુરક્ષિત કરવા માટે સુરક્ષા નીતિઓને આપમેળે અપડેટ કરે છે.

એપ્લીકેશન સાયબર થ્રેટ્સની આગામી પેઢી (સંભવતઃ મશીન લર્નિંગ પર આધારિત) શું હશે તેની ચોક્કસ આગાહી કરવી મુશ્કેલ છે. પરંતુ સંગઠનો ચોક્કસપણે ગ્રાહક ડેટાને સુરક્ષિત કરવા, બૌદ્ધિક સંપદાનું રક્ષણ કરવા અને શ્રેષ્ઠ વ્યવસાયિક લાભો સાથે સેવાની ઉપલબ્ધતાને સુનિશ્ચિત કરવા માટે પગલાં લઈ શકે છે.

એપ્લિકેશન સુરક્ષા સુનિશ્ચિત કરવા માટે અસરકારક અભિગમો અને પદ્ધતિઓ, હુમલાના મુખ્ય પ્રકારો અને વેક્ટર્સ, જોખમ વિસ્તારો અને વેબ એપ્લિકેશન્સના સાયબર સંરક્ષણમાં અંતર, તેમજ વૈશ્વિક અનુભવ અને શ્રેષ્ઠ પદ્ધતિઓ રેડવેર અભ્યાસ અને અહેવાલમાં રજૂ કરવામાં આવી છે.ડિજિટલી કનેક્ટેડ વિશ્વમાં વેબ એપ્લિકેશન સુરક્ષા".

સોર્સ: www.habr.com

આધુનિક એપ્લિકેશન સિક્યોરિટી સિસ્ટમ્સ (WAF) ની કાર્યક્ષમતા OWASP ટોપ 10 ની નબળાઈઓની સૂચિ કરતાં ઘણી વ્યાપક હોવી જોઈએ.