հետահայաց
Կիբերվտանգների մասշտաբը, կազմը և կառուցվածքը արագորեն զարգանում են: Երկար տարիներ օգտվողները մուտք են գործել վեբ հավելվածներ ինտերնետի միջոցով՝ օգտագործելով հանրաճանաչ վեբ բրաուզերները: Անհրաժեշտ էր ցանկացած պահի աջակցել 2-5 վեբ բրաուզերի, իսկ վեբ հավելվածների մշակման և փորձարկման ստանդարտների փաթեթը բավականին սահմանափակ էր։ Օրինակ, գրեթե բոլոր տվյալների բազաները կառուցվել են SQL-ի միջոցով: Ցավոք, կարճ ժամանակ անց հաքերները սովորեցին օգտագործել վեբ հավելվածները՝ տվյալների գողանալու, ջնջելու կամ փոխելու համար: Նրանք կոտրել և չարաշահել են հավելվածի հնարավորությունները՝ օգտագործելով տարբեր մեթոդներ, այդ թվում՝ խաբել հավելվածի օգտատերերին, ներարկել և հեռակա փորձարկել կոդը: Վեբ հավելվածների առևտրային պատերը, որոնք կոչվում են Web Application Firewalls (WAFs), շուտով հայտնվեցին շուկայում, և հասարակությունը արձագանքեց՝ ստեղծելով բաց կոդով վեբ հավելվածների անվտանգության նախագիծ՝ Open Web Application Security Project (OWASP)՝ սահմանելու և պահպանելու զարգացման ստանդարտներն ու մեթոդաբանությունները: անվտանգ հավելվածներ:
Հիմնական կիրառական պաշտպանություն
հավելվածների պաշտպանության ելակետն է և պարունակում է ամենավտանգավոր սպառնալիքների և սխալ կազմաձևումների ցանկը, որոնք կարող են հանգեցնել հավելվածների խոցելիության, ինչպես նաև հարձակումները հայտնաբերելու և ետ մղելու մարտավարությանը: OWASP Top 10-ը ճանաչված չափանիշ է կիրառական կիբերանվտանգության ոլորտում ամբողջ աշխարհում և սահմանում է այն հատկանիշների հիմնական ցանկը, որոնք պետք է ունենա վեբ հավելվածների պաշտպանության (WAF) համակարգը:
Բացի այդ, WAF ֆունկցիոնալությունը պետք է անդրադառնա այլ տարածված վեբ հավելվածների հարձակումներին, ներառյալ՝ միջկայքի հարցումների կեղծումը (CSRF), սեղմումներով ջոկելը, վեբ քերծումը և ֆայլերի ընդգրկումը (RFI/LFI):
Ժամանակակից հավելվածների անվտանգության սպառնալիքներն ու մարտահրավերները
Մինչ օրս ոչ բոլոր հավելվածներն են աշխատում ցանցային տարբերակով: Կան ամպային հավելվածներ, բջջային հավելվածներ, API-ներ և նորագույն ճարտարապետություններում՝ նույնիսկ հատուկ ծրագրաշարի առանձնահատկություններ: Այս բոլոր տեսակի հավելվածները պետք է համաժամացվեն և վերահսկվեն, երբ դրանք ստեղծում, փոփոխում և մշակում են մեր տվյալները: Նոր տեխնոլոգիաների և պարադիգմների գալուստով նոր բարդություններ և մարտահրավերներ են առաջանում հավելվածի կյանքի ցիկլի բոլոր փուլերում: Սա ներառում է զարգացման և գործառնությունների (DevOps) ինտեգրում, կոնտեյներներ, իրերի ինտերնետ (IoT), բաց կոդով գործիքներ, API-ներ և այլն:
Հավելվածների բաշխված տեղաբաշխումը և տեխնոլոգիաների բազմազանությունը բարդ և բարդ մարտահրավերներ են ստեղծում ոչ միայն տեղեկատվական անվտանգության մասնագետների, այլև անվտանգության վաճառողների համար, ովքեր այլևս չեն կարող ապավինել միասնական մոտեցմանը: Հավելվածի պաշտպանությունը պետք է հատուկ լինի բիզնեսին, որպեսզի կանխեն կեղծ դրական արդյունքները և վտանգի ենթարկեն օգտատերերի սպասարկման որակը:
Հաքերների վերջնական նպատակը սովորաբար կա՛մ տվյալներ գողանալն է, կա՛մ ծառայությունների հասանելիությունը խաթարելը: Հարձակվողները նույնպես շահում են տեխնոլոգիական էվոլյուցիայից: Նախ, նոր տեխնոլոգիաների զարգացումը ավելի շատ պոտենցիալ բացեր և խոցելիություններ է ստեղծում: Երկրորդ, նրանք ունեն ավելի շատ գործիքներ և գիտելիքներ իրենց զինանոցում ավանդական պաշտպանությունները շրջանցելու համար: Սա մեծապես մեծացնում է այսպես կոչված «հարձակման մակերեսը» և կազմակերպությունների ենթարկվածությունը նոր ռիսկերի: Անվտանգության քաղաքականությունը պետք է անընդհատ փոխվի՝ տեխնոլոգիաների և հավելվածների փոփոխություններին համահունչ պահելու համար:
Այսպիսով, հավելվածները պետք է պաշտպանված լինեն հարձակման մեթոդների և աղբյուրների անընդհատ աճող բազմազանությունից, և ավտոմատ հարձակումները պետք է հետ մղվեն իրական ժամանակում՝ տեղեկացված որոշումների հիման վրա: Արդյունքում, գործարքների ծախսերը և ձեռքի աշխատանքը աճում են անվտանգության թուլացած դիրքի ֆոնին:
Առաջադրանք թիվ 1. Բոտերի կառավարում
Ինտերնետ տրաֆիկի ավելի քան 60%-ը գեներացվում է բոտերի կողմից, որոնց կեսը «վատ» տրաֆիկ է (ըստ ). Կազմակերպությունները ներդրումներ են կատարում ցանցի թողունակության ավելացման մեջ՝ ըստ էության սպասարկելով կեղծ բեռը: Օգտատերերի իրական տրաֆիկի և բոտերի տրաֆիկի, ինչպես նաև «լավ» բոտերի (օրինակ՝ սողունների և գների համեմատման ծառայությունների) և «վատ» բոտերի միջև ճշգրիտ տարբերակումը կարող է նշանակալից խնայողություն և օգտատերերի ավելի լավ փորձ ունենալ:
Բոտերը չեն պատրաստվում դա հեշտացնել, և նրանք կարող են ընդօրինակել իրական օգտատերերի պահվածքը, շրջանցել CAPTCHA-ները և այլ խոչընդոտները: Ավելին, դինամիկ IP հասցեների օգտագործմամբ հարձակումների դեպքում IP հասցեների զտման վրա հիմնված պաշտպանությունն անարդյունավետ է դառնում։ Հաճախ բաց կոդով մշակման գործիքները (օրինակ՝ Phantom JS), որոնք կարող են մշակել հաճախորդի կողմից JavaScript-ը, օգտագործվում են բիրտ ուժի գրոհներ (brute-force), լցոնման հարձակումներ (հավատարմագրերի լցոնում), DDoS հարձակումներ և ավտոմատ բոտային հարձակումներ գործարկելու համար:
Բոտի տրաֆիկի արդյունավետ կառավարումը պահանջում է դրա աղբյուրի եզակի նույնականացում (ինչպես մատնահետքը): Քանի որ բոտի հարձակումը առաջացնում է բազմաթիվ գրառումներ, դրա մատնահետքը կարող է բացահայտել կասկածելի գործունեությունը և միավորներ նշանակել, որոնց հիման վրա հավելվածի պաշտպանության համակարգը կայացնում է տեղեկացված որոշում՝ արգելափակել/թույլատրել, կեղծ դրականի նվազագույն տոկոսադրույքով:
Մարտահրավեր թիվ 2. API-ի պաշտպանություն
Շատ հավելվածներ տեղեկատվություն և տվյալներ են հավաքում ծառայություններից, որոնց հետ փոխազդում են API-ների միջոցով: API-ի միջոցով զգայուն տվյալներ փոխանցելիս կազմակերպությունների ավելի քան 50%-ը չի ստուգում կամ պաշտպանում API-ները՝ կիբեր հարձակումները հայտնաբերելու համար:
API-ի օգտագործման օրինակներ.
- Իրերի ինտերնետի (IoT) ինտեգրում
- Մեքենա-մեքենա հաղորդակցություն
- Առանց սերվերի միջավայրեր
- Բջջային Apps
- Իրադարձությունների վրա հիմնված հավելվածներ
API-ի խոցելիությունները նման են հավելվածի խոցելիություններին և ներառում են ներարկումներ, արձանագրային հարձակումներ, պարամետրերի մանիպուլյացիա, վերահղումներ և բոտային հարձակումներ: API-ի հատուկ դարպասներն օգնում են ապահովել փոխգործունակություն կիրառական ծառայությունների միջև, որոնք հաղորդակցվում են API-ների միջոցով: Այնուամենայնիվ, դրանք չեն ապահովում հավելվածների ամբողջական անվտանգություն, ինչպես WAF-ն անում է անվտանգության անհրաժեշտ գործիքներով, ինչպիսիք են՝ HTTP վերնագրի վերլուծությունը, 7-րդ շերտի մուտքի վերահսկման ցուցակը (ACL), JSON/XML օգտակար բեռների վերլուծությունը և վավերացումը և պաշտպանությունը բոլորից: OWASP-ի լավագույն 10 ցուցակի խոցելիությունները: Սա ձեռք է բերվում API-ի հիմնական արժեքների ստուգմամբ՝ օգտագործելով դրական և բացասական մոդելներ:
Մարտահրավեր #3. Ծառայության մերժում
Հին հարձակման վեկտորը՝ ծառայության մերժումը (DoS), շարունակում է արդյունավետ լինել հավելվածների վրա հարձակվելու համար: Հարձակվողներն ունեն կիրառական ծառայությունները խափանելու մի շարք հաջողակ տեխնիկա, ներառյալ HTTP կամ HTTPS հեղեղումները, ցածր էներգիայի և դանդաղ հարձակումները («ցածր և դանդաղ», օրինակ՝ SlowLoris, LOIC, Torshammer), դինամիկ IP հարձակումներ, բուֆերային հեղեղումներ, կոպիտ ուժ։ հարձակումներ և շատ ուրիշներ: Իրերի ինտերնետի զարգացման և դրան հաջորդած IoT բոտնետների հայտնվելով, հավելվածների վրա հարձակումները դարձել են DDoS գրոհների հիմնական կիզակետը: Պետական WAF-ների մեծ մասը կարող է միայն սահմանափակ քանակությամբ բեռնվածություն կարգավորել: Այնուամենայնիվ, նրանք կարող են ստուգել HTTP/S տրաֆիկի հոսքերը և հեռացնել հարձակման տրաֆիկը և վնասակար կապերը: Հարձակումը հայտնաբերելուց հետո այս տրաֆիկը նորից անցնելու իմաստ չկա: Քանի որ WAF թողունակությունը սահմանափակվում է հարձակումները հետ մղելու համար, ցանցի պարագծում անհրաժեշտ է լրացուցիչ լուծում՝ հաջորդ «վատ» փաթեթները ավտոմատ կերպով արգելափակելու համար: Անվտանգության տվյալ սցենարի համար երկու լուծումներն էլ պետք է կարողանան հաղորդակցվել միմյանց հետ՝ հարձակումների մասին տեղեկություններ փոխանակելու համար:
Նկ 1. Համապարփակ ցանցի և հավելվածների պաշտպանության կազմակերպում Radware լուծումների օրինակով
Մարտահրավեր #4. Շարունակական պաշտպանություն
Դիմումները ենթակա են հաճախակի փոփոխման: Մշակման և իրականացման մեթոդոլոգիաները, ինչպիսիք են թարմացումների շարունակականությունը, նշանակում են, որ փոփոխությունները կատարվում են առանց մարդու մասնակցության և վերահսկողության: Նման դինամիկ միջավայրում դժվար է պահպանել համարժեք գործող անվտանգության քաղաքականությունը՝ առանց մեծ թվով կեղծ պոզիտիվների: Բջջային հավելվածները շատ ավելի հաճախ են թարմացվում, քան վեբ հավելվածները: Երրորդ կողմի դիմումները կարող են փոխվել առանց ձեր իմացության: Որոշ կազմակերպություններ ձգտում են ավելի շատ վերահսկողություն և տեսանելիություն ձեռք բերել՝ պոտենցիալ ռիսկերին վերաբերվելու համար: Այնուամենայնիվ, դա միշտ չէ, որ հասանելի է, և հուսալի կիրառական պաշտպանությունը պետք է օգտագործի մեքենայական ուսուցման ուժը՝ հաշվի առնելու և պատկերացնելու առկա ռեսուրսները, վերլուծելու հնարավոր սպառնալիքները և ստեղծելու և օպտիմալացնելու անվտանգության քաղաքականությունը հավելվածի փոփոխման դեպքում:
Արդյունքները
Քանի որ հավելվածներն ավելի ու ավելի կարևոր դեր են խաղում առօրյա կյանքում, դրանք դառնում են հաքերների հիմնական թիրախը: Հարձակվողների համար հավանական ջեքփոթը և բիզնեսի համար հնարավոր կորուստները հսկայական են: Ծրագրերի ապահովման առաջադրանքի բարդությունը չի կարող գերագնահատվել՝ հաշվի առնելով հավելվածների և սպառնալիքների քանակն ու բազմազանությունը:
Բարեբախտաբար, մենք գտնվում ենք ժամանակի մի կետում, երբ արհեստական ինտելեկտը կարող է օգնել մեզ: Մեքենայական ուսուցման վրա հիմնված ալգորիթմներն իրական ժամանակում ապահովում են հարմարվողական պաշտպանություն հավելվածների համար առավել առաջադեմ կիբեր սպառնալիքներից: Նրանք նաև ավտոմատ կերպով թարմացնում են անվտանգության քաղաքականությունը՝ պաշտպանելու վեբ, բջջային և ամպային հավելվածները, ինչպես նաև API-ները՝ առանց կեղծ պոզիտիվների:
Դժվար է ճշգրիտ կանխատեսել, թե ինչպիսին կլինի կիրառական կիբեր սպառնալիքների հաջորդ սերունդը (գուցե նաև մեքենայական ուսուցման վրա հիմնված): Բայց կազմակերպությունները, անշուշտ, կարող են քայլեր ձեռնարկել հաճախորդների տվյալների, մտավոր սեփականության պաշտպանության և ծառայությունների հասանելիությունն ապահովելու համար՝ բիզնեսի մեծ օգուտներով:
Հավելվածի անվտանգության ապահովման արդյունավետ մոտեցումներն ու մեթոդները, հարձակումների հիմնական տեսակներն ու վեկտորները, վեբ հավելվածների կիբերպաշտպանության ռիսկային տարածքներն ու բացերը, ինչպես նաև համաշխարհային փորձն ու լավագույն փորձը ներկայացված են Radware-ի ուսումնասիրության և զեկույցում:".
Source: www.habr.com