Retrospektivno
Razmjer, sastav i sastav kibernetičkih prijetnji aplikacijama brzo se mijenjaju. Dugi niz godina korisnici pristupaju web aplikacijama preko interneta koristeći popularne web preglednike. U svakom trenutku bilo je potrebno podržati 2-5 web preglednika, a skup standarda za razvoj i testiranje web aplikacija bio je prilično ograničen. Na primjer, gotovo sve baze podataka izgrađene su pomoću SQL-a. Nažalost, nakon kratkog vremena hakeri su naučili koristiti web aplikacije za krađu, brisanje ili promjenu podataka. Dobili su ilegalni pristup i zlouporabili mogućnosti aplikacije koristeći različite tehnike, uključujući prijevaru korisnika aplikacije, ubacivanje i daljinsko izvršavanje koda. Ubrzo su komercijalni alati za sigurnost web aplikacija nazvani Vatrozidi za web aplikacije (WAFs) došli na tržište, a zajednica je odgovorila stvaranjem sigurnosnog projekta otvorene web aplikacije, Open Web Application Security Project (OWASP), za definiranje i održavanje razvojnih standarda i metodologija sigurne aplikacije.
Osnovna zaštita aplikacija
je polazište za osiguranje aplikacija i sadrži popis najopasnijih prijetnji i pogrešnih konfiguracija koje mogu dovesti do ranjivosti aplikacija, kao i taktike za otkrivanje i poraz napada. OWASP Top 10 je priznato mjerilo u industriji kibernetičke sigurnosti aplikacija širom svijeta i definira temeljni popis mogućnosti koje sustav sigurnosti web aplikacija (WAF) treba imati.
Osim toga, funkcionalnost WAF-a mora uzeti u obzir druge uobičajene napade na web-aplikacije, uključujući krivotvorenje zahtjeva između web-mjesta (CSRF), klikanje, skrapiranje s weba i uključivanje datoteka (RFI/LFI).
Prijetnje i izazovi za osiguranje sigurnosti suvremenih aplikacija
Danas nisu sve aplikacije implementirane u mrežnoj verziji. Postoje aplikacije u oblaku, mobilne aplikacije, API-ji, au najnovijim arhitekturama čak i prilagođene softverske funkcije. Sve ove vrste aplikacija potrebno je sinkronizirati i kontrolirati dok stvaraju, mijenjaju i obrađuju naše podatke. S pojavom novih tehnologija i paradigmi, nove složenosti i izazovi pojavljuju se u svim fazama životnog ciklusa aplikacije. To uključuje integraciju razvoja i operacija (DevOps), spremnike, Internet of Things (IoT), alate otvorenog koda, API-je i još mnogo toga.
Distribuirana implementacija aplikacija i raznolikost tehnologija stvara složene i složene izazove ne samo za stručnjake za informacijsku sigurnost, već i za dobavljače sigurnosnih rješenja koji se više ne mogu osloniti na jedinstveni pristup. Sigurnosne mjere aplikacija moraju uvažavati njihove poslovne specifičnosti kako bi se spriječile lažne pozitive i narušavanje kvalitete usluga za korisnike.
Konačni cilj hakera obično je ili ukrasti podatke ili poremetiti dostupnost usluga. Napadači također imaju koristi od tehnološke evolucije. Prvo, razvoj novih tehnologija stvara više potencijalnih praznina i ranjivosti. Drugo, imaju više alata i znanja za zaobilaženje tradicionalnih sigurnosnih mjera. To uvelike povećava takozvanu "površinu napada" i izloženost organizacija novim rizicima. Sigurnosne politike moraju se stalno mijenjati kao odgovor na promjene u tehnologiji i aplikacijama.
Stoga aplikacije moraju biti zaštićene od sve većeg broja metoda i izvora napada, a automatskim napadima mora se suprotstaviti u stvarnom vremenu na temelju informiranih odluka. Rezultat su povećani transakcijski troškovi i fizički rad, zajedno s oslabljenim sigurnosnim položajem.
Zadatak #1: Upravljanje botovima
Više od 60% internetskog prometa generiraju botovi, od čega je polovica “loš” promet (prema ). Organizacije ulažu u povećanje kapaciteta mreže, u biti opslužujući fiktivno opterećenje. Točno razlikovanje stvarnog korisničkog prometa od prometa botova, kao i "dobrih" botova (na primjer, tražilice i usluge usporedbe cijena) i "loših" botova može rezultirati značajnim uštedama troškova i poboljšanom kvalitetom usluge za korisnike.
Botovi neće olakšati ovaj zadatak i mogu oponašati ponašanje stvarnih korisnika, zaobići CAPTCHA i druge prepreke. Štoviše, u slučaju napada koji koriste dinamičke IP adrese, zaštita temeljena na filtriranju IP adresa postaje neučinkovita. Često se razvojni alati otvorenog koda (na primjer, Phantom JS) koji mogu rukovati JavaScriptom na strani klijenta koriste za pokretanje brute-force napada, napada punjenjem vjerodajnica, DDoS napada i automatiziranih napada robota.
Za učinkovito upravljanje bot prometom potrebna je jedinstvena identifikacija njegovog izvora (poput otiska prsta). Budući da bot napad generira višestruke zapise, njegov otisak prsta omogućuje mu identificiranje sumnjive aktivnosti i dodjeljivanje bodova, na temelju kojih sustav zaštite aplikacije donosi informiranu odluku - blokira/dopusti - s minimalnom stopom lažno pozitivnih rezultata.
Izazov #2: Zaštita API-ja
Mnoge aplikacije prikupljaju informacije i podatke iz usluga s kojima stupaju u interakciju putem API-ja. Prilikom prijenosa osjetljivih podataka putem API-ja, više od 50% organizacija niti potvrđuje niti osigurava API-je za otkrivanje kibernetičkih napada.
Primjeri korištenja API-ja:
- Integracija interneta stvari (IoT).
- Komunikacija stroj-stroj
- Okruženja bez poslužitelja
- Mobile Apps
- Aplikacije vođene događajima
API ranjivosti slične su ranjivostima aplikacija i uključuju injekcije, napade na protokole, manipulaciju parametrima, preusmjeravanja i napade robota. Namjenski API pristupnici pomažu u osiguravanju kompatibilnosti između aplikacijskih usluga koje komuniciraju putem API-ja. Međutim, oni ne pružaju sigurnost aplikacije od kraja do kraja kao što to može WAF s osnovnim sigurnosnim alatima kao što su analiza HTTP zaglavlja, Layer 7 popis kontrole pristupa (ACL), analiza i pregled JSON/XML sadržaja i zaštita od svih ranjivosti od Popis OWASP Top 10. To se postiže pregledom ključnih API vrijednosti pomoću pozitivnih i negativnih modela.
Izazov #3: Uskraćivanje usluge
Stari vektor napada, uskraćivanje usluge (DoS), nastavlja dokazivati svoju učinkovitost u napadima na aplikacije. Napadači imaju niz uspješnih tehnika za ometanje aplikacijskih usluga, uključujući HTTP ili HTTPS poplave, niske i spore napade (npr. SlowLoris, LOIC, Torshammer), napade koji koriste dinamičke IP adrese, prekoračenje međuspremnika, napade brutalnom silom i mnoge druge . S razvojem Interneta stvari i naknadnom pojavom IoT botneta, napadi na aplikacije postali su glavni fokus DDoS napada. Većina WAF-ova s praćenjem stanja može podnijeti samo ograničenu količinu opterećenja. Međutim, oni mogu pregledati tokove HTTP/S prometa i ukloniti promet napada i zlonamjerne veze. Nakon što je napad identificiran, nema smisla ponovno propuštati ovaj promet. Budući da je kapacitet WAF-a za odbijanje napada ograničen, potrebno je dodatno rješenje na perimetru mreže za automatsko blokiranje sljedećih "loših" paketa. Za ovaj sigurnosni scenarij, oba rješenja moraju moći međusobno komunicirati radi razmjene informacija o napadima.
Slika 1. Organizacija sveobuhvatne zaštite mreže i aplikacija na primjeru Radware rješenja
Izazov #4: Kontinuirana zaštita
Aplikacije se često mijenjaju. Metodologije razvoja i implementacije kao što su ažuriranja znače da se izmjene događaju bez ljudske intervencije ili kontrole. U takvim dinamičnim okruženjima teško je održavati odgovarajuće sigurnosne politike bez velikog broja lažno pozitivnih rezultata. Mobilne aplikacije ažuriraju se mnogo češće nego web aplikacije. Aplikacije trećih strana mogu se promijeniti bez vašeg znanja. Neke organizacije traže veću kontrolu i vidljivost kako bi ostale u tijeku s mogućim rizicima. Međutim, to nije uvijek moguće postići, a pouzdana zaštita aplikacija mora koristiti snagu strojnog učenja kako bi uzela u obzir i vizualizirala dostupne resurse, analizirala potencijalne prijetnje te stvorila i optimizirala sigurnosna pravila u slučaju modifikacija aplikacije.
Zaključci
Kako aplikacije igraju sve važniju ulogu u svakodnevnom životu, one postaju glavna meta hakera. Potencijalne nagrade za kriminalce i potencijalni gubici za tvrtke su ogromni. Složenost sigurnosnog zadatka aplikacije ne može se precijeniti s obzirom na broj i varijacije aplikacija i prijetnji.
Srećom, nalazimo se u trenutku kada nam umjetna inteligencija može priskočiti u pomoć. Algoritmi temeljeni na strojnom učenju pružaju prilagodljivu zaštitu u stvarnom vremenu protiv najnaprednijih cyber prijetnji koje ciljaju aplikacije. Oni također automatski ažuriraju sigurnosna pravila kako bi zaštitili web, mobilne i aplikacije u oblaku—i API-je—bez lažno pozitivnih rezultata.
Teško je sa sigurnošću predvidjeti kakva će biti sljedeća generacija aplikacijskih kibernetičkih prijetnji (možda također temeljenih na strojnom učenju). Ali organizacije svakako mogu poduzeti korake kako bi zaštitile korisničke podatke, zaštitile intelektualno vlasništvo i osigurale dostupnost usluga s velikim poslovnim prednostima.
Učinkoviti pristupi i metode za osiguranje sigurnosti aplikacija, glavne vrste i vektori napada, područja rizika i nedostaci u kibernetičkoj zaštiti web aplikacija, kao i globalna iskustva i najbolje prakse predstavljeni su u Radware studiji i izvješću “".
Izvor: www.habr.com