Til baka
Umfang, samsetning og samsetning netógna við forrit eru í örri þróun. Í mörg ár hafa notendur fengið aðgang að vefforritum á netinu með vinsælum vöfrum. Nauðsynlegt var að styðja við 2-5 vefvafra á hverjum tíma og staðla til að þróa og prófa vefforrit var frekar takmarkað. Til dæmis voru næstum allir gagnagrunnar byggðir með SQL. Því miður, eftir stuttan tíma, lærðu tölvuþrjótar að nota vefforrit til að stela, eyða eða breyta gögnum. Þeir fengu ólöglegan aðgang að og misnotuðu getu forrita með því að nota margvíslegar aðferðir, þar á meðal blekkingar á notendum forritsins, innspýting og fjarkeyrslu kóða. Fljótlega komu á markaðinn vefforritaöryggisverkfæri sem kallast Web Application Firewalls (WAFs) og samfélagið brást við með því að búa til opið vefforritaöryggisverkefni, Open Web Application Security Project (OWASP), til að skilgreina og viðhalda þróunarstöðlum og aðferðum. örugg forrit.
Grunnforritavernd
er upphafið til að tryggja öryggi forrita og inniheldur lista yfir hættulegustu ógnirnar og rangstillingar sem geta leitt til veikleika forrita, auk aðferða til að greina og vinna bug á árásum. OWASP Top 10 er viðurkennt viðmið í netöryggisiðnaði forrita um allan heim og skilgreinir kjarnalistann yfir getu sem vefforritsöryggiskerfi (WAF) ætti að hafa.
Að auki verður WAF virkni að taka tillit til annarra algengra árása á vefforrit, þar með talið fölsun beiðna á milli vefsvæða (CSRF), clickjacking, vefskrap og skráainnihald (RFI/LFI).
Ógnir og áskoranir til að tryggja öryggi nútíma forrita
Í dag eru ekki öll forrit útfærð í netútgáfu. Það eru til skýjaforrit, farsímaforrit, API og í nýjustu arkitektúrunum, jafnvel sérsniðnar hugbúnaðaraðgerðir. Allar þessar tegundir af forritum þarf að vera samstillt og stjórnað þegar þau búa til, breyta og vinna úr gögnum okkar. Með tilkomu nýrrar tækni og hugmyndafræði skapast ný margbreytileiki og áskoranir á öllum stigum líftíma umsóknar. Þetta felur í sér þróun og rekstrarsamþættingu (DevOps), gáma, Internet of Things (IoT), opinn hugbúnað, API og fleira.
Dreifð dreifing forrita og fjölbreytileiki tækni skapar flóknar og flóknar áskoranir, ekki aðeins fyrir sérfræðinga í upplýsingaöryggi, heldur einnig fyrir framleiðendur öryggislausna sem geta ekki lengur reitt sig á samræmda nálgun. Öryggisráðstafanir forrita verða að taka tillit til viðskiptaeinkenna þeirra til að koma í veg fyrir rangar jákvæðar upplýsingar og truflun á gæðum þjónustu fyrir notendur.
Endanlegt markmið tölvuþrjóta er venjulega annað hvort að stela gögnum eða trufla framboð á þjónustu. Árásarmenn njóta líka góðs af tækniþróun. Í fyrsta lagi skapar þróun nýrrar tækni fleiri hugsanlegar eyður og varnarleysi. Í öðru lagi hafa þeir fleiri tæki og þekkingu í vopnabúrinu sínu til að komast framhjá hefðbundnum öryggisráðstöfunum. Þetta eykur mjög svokallað „árásaryfirborð“ og útsetningu stofnana fyrir nýjum áhættum. Öryggisstefnur verða stöðugt að breytast til að bregðast við breytingum á tækni og forritum.
Þannig þarf að verja forrit fyrir sívaxandi fjölbreytni árásaraðferða og heimilda og vinna gegn sjálfvirkum árásum í rauntíma byggt á upplýstum ákvörðunum. Afleiðingin er aukinn viðskiptakostnaður og handavinna, ásamt veikt öryggisástand.
Verkefni #1: Stjórna vélmennum
Meira en 60% netumferðar myndast af vélmennum, þar af helmingur „slæm“ umferð (skv. ). Stofnanir fjárfesta í að auka netgetu, sem þjónar í raun gervi álagi. Nákvæmur greinarmunur á raunverulegri notendaumferð og vélmennaumferð, sem og „góðum“ vélmennum (til dæmis leitarvélum og verðsamanburðarþjónustu) og „slæmum“ vélmennum getur leitt til umtalsverðs kostnaðarsparnaðar og bættrar þjónustugæða fyrir notendur.
Bottar munu ekki gera þetta verkefni auðvelt og þeir geta líkt eftir hegðun raunverulegra notenda, framhjá CAPTCHA og öðrum hindrunum. Þar að auki, þegar um er að ræða árásir með kraftmiklum IP-tölum, verður vernd byggð á IP-tölu síun óvirk. Oft eru opinn uppspretta þróunarverkfæri (til dæmis Phantom JS) sem geta séð um JavaScript á viðskiptavinarhlið notuð til að koma af stað brute-force árásum, persónuskilríkisfyllingarárásum, DDoS árásum og sjálfvirkum botnaárásum. .
Til að stjórna umferð vélmenna á áhrifaríkan hátt þarf einstakt auðkenni á uppruna þess (eins og fingrafar). Þar sem árás vélmenni býr til margar skrár, gerir fingrafar þess kleift að bera kennsl á grunsamlega virkni og úthluta stigum, byggt á því að forritaverndarkerfið tekur upplýsta ákvörðun - loka/leyfa - með lágmarkshlutfalli rangra jákvæðra.
Áskorun #2: Að vernda API
Mörg forrit safna upplýsingum og gögnum úr þjónustu sem þau hafa samskipti við í gegnum API. Þegar viðkvæm gögn eru send í gegnum API, staðfesta meira en 50% stofnana hvorki né tryggja API til að greina netárásir.
Dæmi um notkun API:
- Internet of Things (IoT) samþætting
- Samskipti frá vél til vél
- Serverlaus umhverfi
- Farsímaforrit
- Atburðadrifin forrit
API veikleikar eru svipaðir og veikleika forrita og fela í sér inndælingar, árásir á samskiptareglur, meðferð breytu, tilvísanir og árásir á botni. Sérstakar API-gáttir hjálpa til við að tryggja samhæfni milli forritaþjónustu sem hafa samskipti í gegnum API. Hins vegar veita þeir ekki end-til-enda öryggi forrita eins og WAF dós með nauðsynlegum öryggisverkfærum eins og HTTP hausþáttun, Layer 7 aðgangsstýringarlista (ACL), JSON/XML farmaflokkun og skoðun og vernd gegn öllum veikleikum frá OWASP Top 10 listi. Þetta er náð með því að skoða lykil API gildi með því að nota jákvæð og neikvæð módel.
Áskorun #3: Afneitun á þjónustu
Gamall árásarvektor, afneitun á þjónustu (DoS), heldur áfram að sanna virkni sína við að ráðast á forrit. Árásarmenn hafa margs konar árangursríkar aðferðir til að trufla forritaþjónustu, þar á meðal HTTP eða HTTPS flóð, lágar og hægar árásir (t.d. SlowLoris, LOIC, Torshammer), árásir með kraftmiklum IP tölum, yfirflæði biðminni, brute force -árásir og margt fleira . Með þróun Internet of Things og síðari tilkomu IoT botnets hafa árásir á forrit orðið aðaláherslur DDoS árása. Flestir staðbundnir WAFs geta aðeins séð um takmarkað magn af álagi. Hins vegar geta þeir skoðað HTTP/S umferðarflæði og fjarlægt árásarumferð og skaðlegar tengingar. Þegar búið er að bera kennsl á árás þýðir ekkert að fara aftur framhjá þessari umferð. Þar sem getu WAF til að hrinda árásum frá sér er takmörkuð, þarf viðbótarlausn við netyfirborðið til að loka sjálfkrafa fyrir næstu „slæmu“ pakka. Fyrir þessa öryggisatburðarás verða báðar lausnirnar að geta átt samskipti sín á milli til að skiptast á upplýsingum um árásir.
Mynd 1. Skipulag alhliða net- og forritaverndar með því að nota Radware lausnir sem dæmi
Áskorun #4: Stöðug vernd
Umsóknir breytast oft. Þróunar- og innleiðingaraðferðir eins og uppfærslur í gangi þýðir að breytingar eiga sér stað án mannlegrar íhlutunar eða eftirlits. Í slíku kraftmiklu umhverfi er erfitt að viðhalda nægilega virkum öryggisstefnu án þess að fá mikinn fjölda rangra jákvæða. Farsímaforrit eru uppfærð mun oftar en vefforrit. Forrit þriðja aðila geta breyst án þinnar vitundar. Sumar stofnanir eru að leitast eftir meiri stjórn og sýnileika til að vera á toppnum við hugsanlega áhættu. Hins vegar er þetta ekki alltaf hægt og áreiðanleg forritavernd verður að nota kraft vélanáms til að gera grein fyrir og sjá fyrir tiltækum tilföngum, greina hugsanlegar ógnir og búa til og hámarka öryggisstefnu ef forritabreytingar verða.
Niðurstöður
Þar sem öpp gegna sífellt mikilvægara hlutverki í daglegu lífi verða þau helsta skotmark tölvuþrjóta. Möguleg umbun fyrir glæpamenn og hugsanlegt tap fyrirtækja eru gríðarleg. Ekki er hægt að ofmeta hversu flókið öryggisverkefni forritsins er miðað við fjölda og afbrigði af forritum og ógnum.
Sem betur fer erum við á þeim tímapunkti þar sem gervigreind getur komið okkur til hjálpar. Reiknirit sem byggjast á vélanámi veita aðlögunarhæfni í rauntíma gegn fullkomnustu netógnunum sem beinast að forritum. Þeir uppfæra einnig öryggisstefnur sjálfkrafa til að vernda vef-, farsíma- og skýjaforrit – og API – án rangra jákvæða.
Erfitt er að spá fyrir um með vissu hver næsta kynslóð netóógna forrita (hugsanlega einnig byggð á vélanámi) verður. En stofnanir geta vissulega gert ráðstafanir til að vernda gögn viðskiptavina, vernda hugverkarétt og tryggja aðgengi að þjónustu með miklum viðskiptalegum ávinningi.
Árangursríkar aðferðir og aðferðir til að tryggja öryggi forrita, helstu tegundir og vektora árása, áhættusvæði og eyður í netvernd vefforrita, svo og alþjóðleg reynsla og bestu starfsvenjur eru kynntar í Radware rannsókninni og skýrslunni “".
Heimild: www.habr.com