Na baya-bayan nan
Ma'auni, abun da ke ciki, da abun da ke tattare da barazanar yanar gizo ga aikace-aikace suna ci gaba da sauri. Shekaru da yawa, masu amfani sun shiga aikace-aikacen yanar gizo ta hanyar Intanet ta amfani da shahararrun mashahuran yanar gizo. Ya zama dole don tallafawa masu binciken gidan yanar gizo 2-5 a kowane lokaci, kuma saitin ƙa'idodin haɓakawa da gwada aikace-aikacen gidan yanar gizo ya iyakance. Misali, kusan dukkan rumbun adana bayanai an gina su ta amfani da SQL. Abin baƙin ciki, bayan ɗan lokaci, hackers sun koyi amfani da aikace-aikacen yanar gizo don sata, sharewa ko canza bayanai. Sun sami damar shiga ba bisa ka'ida ba tare da cin zarafin damar aikace-aikacen ta amfani da dabaru iri-iri, gami da yaudarar masu amfani da aikace-aikacen, allura, da aiwatar da lambar nesa. Ba da daɗewa ba, kayan aikin tsaro na aikace-aikacen yanar gizo na kasuwanci da ake kira Web Application Firewalls (WAFs) sun shigo kasuwa, kuma al'umma sun amsa ta hanyar ƙirƙirar buɗaɗɗen aikin tsaro na aikace-aikacen yanar gizo, Open Web Application Security Project (OWASP), don ayyana da kiyaye ƙa'idodin ci gaba da hanyoyin haɓakawa. amintattun aikace-aikace.
Kariyar aikace-aikacen asali
shi ne wurin farawa don tabbatar da aikace-aikacen kuma yana ƙunshe da jerin mafi haɗari da barazana da rashin daidaituwa da za su iya haifar da raunin aikace-aikacen, da kuma dabarun ganowa da cin nasara. OWASP Top 10 sanannen ma'auni ne a cikin masana'antar tsaro ta yanar gizo a duk duniya kuma yana bayyana ainihin jerin iyawar da tsarin tsaro na aikace-aikacen yanar gizo (WAF) ya kamata ya samu.
Bugu da kari, aikin WAF dole ne yayi la'akari da wasu hare-hare na yau da kullun akan aikace-aikacen yanar gizo, gami da buƙatun buƙatun rukunin yanar gizo (CSRF), danna jackjacking, gogewar yanar gizo, da haɗa fayil (RFI/LFI).
Barazana da kalubale don tabbatar da tsaron aikace-aikacen zamani
A yau, ba duk aikace-aikace ne ake aiwatar da su a sigar cibiyar sadarwa ba. Akwai aikace-aikacen girgije, aikace-aikacen hannu, APIs, kuma a cikin sabbin gine-gine, har da ayyukan software na al'ada. Duk waɗannan nau'ikan aikace-aikacen suna buƙatar aiki tare da sarrafa su yayin ƙirƙirar, gyara, da sarrafa bayananmu. Tare da zuwan sabbin fasahohi da fa'idodi, sabbin sarƙaƙƙiya da ƙalubale sun taso a duk matakan rayuwar aikace-aikacen. Wannan ya haɗa da haɓakawa da haɗin kai (DevOps), kwantena, Intanet na Abubuwa (IoT), kayan aikin buɗewa, APIs, da ƙari.
Rarraba aikace-aikacen aikace-aikacen da bambance-bambancen fasahohi yana haifar da ƙalubale masu rikitarwa ba kawai ga ƙwararrun tsaro na bayanai ba, har ma ga masu siyar da mafita na tsaro waɗanda ba za su iya dogaro da hanyar haɗin kai ba. Dole ne matakan tsaro na aikace-aikacen suyi la'akari da ƙayyadaddun kasuwancin su don hana ƙiyayyar ƙarya da rushewar ingancin sabis na masu amfani.
Babban burin masu satar bayanai yawanci shine ko dai su saci bayanai ko kuma kawo cikas ga samuwar ayyuka. Har ila yau, maharan suna amfana daga juyin halitta na fasaha. Na farko, haɓaka sabbin fasahohi yana haifar da ƙarin giɓi da lahani. Na biyu, suna da ƙarin kayan aiki da ilimi don ketare matakan tsaro na gargajiya. Wannan yana ƙara yawan abin da ake kira "filayen hari" da kuma bayyanar da ƙungiyoyi zuwa sababbin haɗari. Dole ne manufofin tsaro su canza akai-akai don mayar da martani ga canje-canjen fasaha da aikace-aikace.
Don haka, dole ne a kiyaye aikace-aikacen daga hanyoyin kai hari iri-iri da kuma tushe, kuma dole ne a tinkari hare-hare na atomatik a ainihin lokacin bisa ga tsai da shawara. Sakamakon shine ƙara farashin ciniki da aikin hannu, haɗe tare da raunin yanayin tsaro.
Aiki #1: Sarrafa bots
Fiye da 60% na zirga-zirgar Intanet ana haifar da su ta hanyar bots, rabin abin da zirga-zirgar “mara kyau ce” (bisa ga ). Ƙungiyoyi suna saka hannun jari don haɓaka ƙarfin hanyar sadarwa, da gaske suna ba da kaya mai ƙima. Bambance-bambance daidai tsakanin zirga-zirgar mai amfani na gaske da zirga-zirgar bot, da kuma bots "mai kyau" (misali, robobin bincike da sabis na kwatanta farashi) da bots "mara kyau" na iya haifar da babban tanadin farashi da ingantaccen sabis na masu amfani.
Bots ba za su sauƙaƙe wannan aikin ba, kuma za su iya yin koyi da halayen masu amfani da gaske, ketare CAPTCHAs da sauran cikas. Bugu da ƙari, a cikin yanayin hare-hare ta amfani da adiresoshin IP masu tsauri, kariyar da ta danganci tace adireshin IP ba ta da tasiri. Sau da yawa, buɗaɗɗen kayan aikin haɓaka tushe (misali, Phantom JS) waɗanda ke iya ɗaukar JavaScript na gefen abokin ciniki ana amfani da su don ƙaddamar da hare-hare masu ƙarfi, hare-haren shaƙewa, hare-haren DDoS, da hare-haren bot mai sarrafa kansa. .
Don sarrafa zirga-zirgar bot yadda ya kamata, ana buƙatar takamaiman gano tushen sa (kamar sawun yatsa). Tunda harin bot yana haifar da bayanai da yawa, sawun yatsansa yana ba shi damar gano ayyukan da ake tuhuma da sanya ƙididdiga, bisa ga tsarin kariyar aikace-aikacen ya yanke shawara mai fa'ida - toshe / ba da izini - tare da ƙaramin ƙimar ƙimar ƙarya.
Kalubale #2: Kare API
Yawancin aikace-aikace suna tattara bayanai da bayanai daga ayyukan da suke hulɗa da su ta APIs. Lokacin watsa bayanai masu mahimmanci ta APIs, fiye da 50% na ƙungiyoyi ba su inganta ko amintattun APIs don gano hare-haren yanar gizo ba.
Misalai na amfani da API:
- Haɗin Intanet na Abubuwa (IoT).
- Sadarwar inji-zuwa-na'ura
- Muhalli marasa Server
- Kayan amfani da wayar hannu
- Aikace-aikace-Korafi
Rashin lahani na API yayi kama da raunin aikace-aikacen kuma sun haɗa da allura, hare-haren yarjejeniya, sarrafa siga, turawa, da hare-haren bot. Ƙofofin API sadaukarwa suna taimakawa tabbatar da dacewa tsakanin ayyukan aikace-aikacen da ke mu'amala ta APIs. Koyaya, ba sa samar da tsaro na ƙarshen-zuwa-ƙarshen aikace-aikacen kamar WAF na iya tare da mahimman kayan aikin tsaro irin su HTTP header parsing, Layer 7 access control list (ACL), JSON/XML payload parsing da dubawa, da kariya daga duk lahani daga OWASP Top 10. Ana samun wannan ta hanyar duba mahimman ƙimar API ta amfani da samfura masu inganci da mara kyau.
Kalubale #3: Kin Sabis
Wani tsohon harin harin, hana sabis (DoS), yana ci gaba da tabbatar da ingancin sa wajen kai hari kan aikace-aikace. Maharan suna da dabaru iri-iri na nasara don tarwatsa ayyukan aikace-aikacen, gami da HTTP ko HTTPS ambaliya, hare-hare marasa ƙarfi da sannu-sannu (misali SlowLoris, LOIC, Torshammer), hare-hare ta amfani da adiresoshin IP masu tsauri, buffer ambaliya, ƙarfin ƙarfi - hare-hare, da sauran su da yawa. . Tare da haɓaka Intanet na Abubuwa da kuma fitowar botnets na IoT na gaba, hare-hare akan aikace-aikacen sun zama babban abin da ke mayar da hankali kan hare-haren DDoS. Yawancin WAFs na jihohi suna iya ɗaukar iyakataccen adadin kaya kawai. Koyaya, za su iya bincika hanyoyin zirga-zirgar HTTP/S da cire zirga-zirgar harin da haɗin kai. Da zarar an gano harin, babu amfanin sake wuce wannan zirga-zirga. Tunda ikon WAF na tunkude hare-hare yana da iyaka, ana buƙatar ƙarin bayani a kewayen hanyar sadarwa don toshe fakitin "mara kyau" na gaba ta atomatik. Don wannan yanayin tsaro, duka mafita dole ne su iya sadarwa tare da juna don musayar bayanai game da hare-hare.
Hoto 1. Ƙungiya na cikakkiyar hanyar sadarwa da kariyar aikace-aikacen ta amfani da misalin Radware mafita
Kalubale #4: Ci gaba da Kariya
Aikace-aikace suna canzawa akai-akai. Hanyoyin haɓakawa da aiwatarwa kamar sabuntawar birgima suna nufin gyare-gyare na faruwa ba tare da sa hannun ɗan adam ko sarrafawa ba. A cikin irin waɗannan wurare masu ƙarfi, yana da wahala a kiyaye ingantattun manufofin tsaro ba tare da ɗimbin ƙima na ƙarya ba. Ana sabunta aikace-aikacen wayar hannu akai-akai fiye da aikace-aikacen yanar gizo. Aikace-aikace na ɓangare na uku na iya canzawa ba tare da sanin ku ba. Wasu ƙungiyoyi suna neman ƙarin iko da ganuwa don tsayawa kan haɗarin haɗari. Koyaya, ba koyaushe ake samun wannan ba, kuma amintaccen kariya ta aikace-aikacen dole ne ta yi amfani da ikon koyon injin don ƙididdigewa da hango abubuwan da ake da su, bincika yiwuwar barazanar, da ƙirƙira da haɓaka manufofin tsaro a yayin gyare-gyaren aikace-aikacen.
binciken
Kamar yadda apps ke taka muhimmiyar rawa a rayuwar yau da kullun, sun zama babban manufa ga masu kutse. Lada mai yuwuwa ga masu aikata laifuka da yuwuwar asara ga kasuwancin suna da yawa. Ba za a iya ƙididdige rikitarwar aikin tsaro na aikace-aikacen ba idan aka yi la'akari da lamba da bambancin aikace-aikace da barazanar.
Abin farin ciki, muna a lokacin da hankali na wucin gadi zai iya kawo mana agaji. Algorithms na tushen ilmantarwa na inji suna ba da kariya ta lokaci-lokaci, kariya daga mafi girman barazanar yanar gizo masu niyya. Hakanan suna sabunta manufofin tsaro ta atomatik don kare yanar gizo, wayar hannu, da aikace-aikacen gajimare-da APIs-ba tare da ingantaccen inganci ba.
Yana da wuya a iya hango hasashen abin da ƙarni na gaba na aikace-aikacen cyber barazanar zai kasance (wataƙila kuma dangane da koyan na'ura) zai kasance. Amma tabbas ƙungiyoyi za su iya ɗaukar matakai don kare bayanan abokin ciniki, kare dukiyar ilimi, da tabbatar da samuwan sabis tare da fa'idodin kasuwanci.
Hanyoyi masu tasiri da hanyoyin da za a tabbatar da tsaro na aikace-aikacen, manyan nau'o'in da masu tayar da hankali na hare-hare, yankunan haɗari da rata a cikin kariya ta yanar gizo na aikace-aikacen yanar gizo, da kuma kwarewa na duniya da mafi kyawun ayyuka an gabatar da su a cikin binciken Radware da rahoto "".
source: www.habr.com