retrospettiva
La portata, la composizione e la composizione delle minacce informatiche alle applicazioni sono in rapida evoluzione. Per molti anni, gli utenti hanno avuto accesso alle applicazioni web su Internet utilizzando i browser web più diffusi. Era necessario supportare da 2 a 5 browser Web contemporaneamente e l'insieme di standard per lo sviluppo e il test delle applicazioni Web era piuttosto limitato. Ad esempio, quasi tutti i database sono stati creati utilizzando SQL. Purtroppo, dopo poco tempo, gli hacker hanno imparato a utilizzare le applicazioni web per rubare, cancellare o modificare dati. Hanno ottenuto l'accesso illegale e hanno abusato delle funzionalità dell'applicazione utilizzando una varietà di tecniche, tra cui l'inganno degli utenti dell'applicazione, l'iniezione e l'esecuzione di codice in modalità remota. Presto arrivarono sul mercato strumenti commerciali per la sicurezza delle applicazioni web chiamati Web Application Firewall (WAF) e la comunità rispose creando un progetto aperto di sicurezza delle applicazioni web, l'Open Web Application Security Project (OWASP), per definire e mantenere standard e metodologie di sviluppo. applicazioni sicure.
Protezione delle applicazioni di base
è il punto di partenza per proteggere le applicazioni e contiene un elenco delle minacce e delle configurazioni errate più pericolose che possono portare a vulnerabilità delle applicazioni, nonché tattiche per rilevare e sconfiggere gli attacchi. L'OWASP Top 10 è un punto di riferimento riconosciuto nel settore della sicurezza informatica delle applicazioni a livello mondiale e definisce l'elenco principale delle funzionalità che un sistema di sicurezza delle applicazioni web (WAF) dovrebbe avere.
Inoltre, la funzionalità WAF deve tenere conto di altri attacchi comuni alle applicazioni web, tra cui cross-site request forgery (CSRF), clickjacking, web scraping e file inclusion (RFI/LFI).
Minacce e sfide per garantire la sicurezza delle applicazioni moderne
Oggi non tutte le applicazioni sono implementate in versione di rete. Esistono app cloud, app mobili, API e, nelle architetture più recenti, anche funzioni software personalizzate. Tutti questi tipi di applicazioni devono essere sincronizzati e controllati mentre creano, modificano ed elaborano i nostri dati. Con l'avvento di nuove tecnologie e paradigmi, emergono nuove complessità e sfide in tutte le fasi del ciclo di vita delle applicazioni. Ciò include l'integrazione di sviluppo e operazioni (DevOps), contenitori, Internet delle cose (IoT), strumenti open source, API e altro ancora.
L'implementazione distribuita delle applicazioni e la diversità delle tecnologie crea sfide sempre più complesse non solo per i professionisti della sicurezza informatica, ma anche per i fornitori di soluzioni di sicurezza che non possono più fare affidamento su un approccio unificato. Le misure di sicurezza delle applicazioni devono tenere conto delle specificità aziendali per prevenire falsi positivi e interruzioni della qualità dei servizi per gli utenti.
L'obiettivo finale degli hacker è solitamente quello di rubare dati o interrompere la disponibilità dei servizi. Anche gli aggressori traggono vantaggio dall’evoluzione tecnologica. In primo luogo, lo sviluppo di nuove tecnologie crea maggiori lacune e vulnerabilità potenziali. In secondo luogo, dispongono di più strumenti e conoscenze nel loro arsenale per aggirare le tradizionali misure di sicurezza. Ciò aumenta notevolmente la cosiddetta “superficie di attacco” e l’esposizione delle organizzazioni a nuovi rischi. Le politiche di sicurezza devono cambiare costantemente in risposta ai cambiamenti nella tecnologia e nelle applicazioni.
Pertanto, le applicazioni devono essere protette da una varietà sempre crescente di metodi e fonti di attacco e gli attacchi automatizzati devono essere contrastati in tempo reale sulla base di decisioni informate. Il risultato è un aumento dei costi di transazione e del lavoro manuale, insieme a un livello di sicurezza indebolito.
Attività n. 1: gestione dei bot
Oltre il 60% del traffico Internet è generato da bot, la metà dei quali è traffico “cattivo” (secondo ). Le organizzazioni investono nell'aumento della capacità della rete, servendo essenzialmente un carico fittizio. Distinguere accuratamente tra traffico di utenti reali e traffico di bot, nonché tra bot “buoni” (ad esempio motori di ricerca e servizi di confronto dei prezzi) e bot “cattivi” può comportare notevoli risparmi sui costi e una migliore qualità del servizio per gli utenti.
I bot non renderanno questo compito facile e potranno imitare il comportamento degli utenti reali, aggirare i CAPTCHA e altri ostacoli. Inoltre, in caso di attacchi che utilizzano indirizzi IP dinamici, la protezione basata sul filtraggio degli indirizzi IP diventa inefficace. Spesso, gli strumenti di sviluppo open source (ad esempio Phantom JS) in grado di gestire JavaScript lato client vengono utilizzati per lanciare attacchi di forza bruta, attacchi di credential stuffing, attacchi DDoS e attacchi bot automatizzati.
Per gestire in modo efficace il traffico bot, è necessaria un'identificazione univoca della sua fonte (come un'impronta digitale). Poiché un attacco bot genera più record, la sua impronta digitale gli consente di identificare attività sospette e assegnare punteggi, in base ai quali il sistema di protezione dell'applicazione prende una decisione informata - blocca/consenti - con un tasso minimo di falsi positivi.
Sfida n. 2: proteggere l'API
Molte applicazioni raccolgono informazioni e dati dai servizi con cui interagiscono tramite API. Quando trasmettono dati sensibili tramite API, oltre il 50% delle organizzazioni non convalida né protegge le API per rilevare attacchi informatici.
Esempi di utilizzo dell'API:
- Integrazione dell'Internet delle cose (IoT).
- Comunicazione da macchina a macchina
- Ambienti senza server
- Mobile Apps
- Applicazioni guidate dagli eventi
Le vulnerabilità delle API sono simili alle vulnerabilità delle applicazioni e includono iniezioni, attacchi di protocollo, manipolazione di parametri, reindirizzamenti e attacchi bot. I gateway API dedicati aiutano a garantire la compatibilità tra i servizi applicativi che interagiscono tramite API. Tuttavia, non forniscono sicurezza applicativa end-to-end come fa un WAF con strumenti di sicurezza essenziali come l'analisi dell'intestazione HTTP, l'elenco di controllo degli accessi (ACL) di livello 7, l'analisi e l'ispezione del payload JSON/XML e la protezione contro tutte le vulnerabilità da Elenco OWASP Top 10. Ciò si ottiene ispezionando i valori API chiave utilizzando modelli positivi e negativi.
Sfida n. 3: negazione del servizio
Un vecchio vettore di attacco, il Denial of Service (DoS), continua a dimostrare la sua efficacia nell'attaccare le applicazioni. Gli aggressori dispongono di una serie di tecniche efficaci per interrompere i servizi applicativi, inclusi inondazioni HTTP o HTTPS, attacchi bassi e lenti (ad esempio SlowLoris, LOIC, Torshammer), attacchi che utilizzano indirizzi IP dinamici, buffer overflow, attacchi di forza bruta e molti altri . Con lo sviluppo dell’Internet delle cose e la conseguente comparsa delle botnet IoT, gli attacchi alle applicazioni sono diventati l’obiettivo principale degli attacchi DDoS. La maggior parte dei WAF con stato può gestire solo una quantità limitata di carico. Tuttavia, possono ispezionare i flussi di traffico HTTP/S e rimuovere il traffico degli attacchi e le connessioni dannose. Una volta identificato un attacco, non ha senso ripassare questo traffico. Poiché la capacità del WAF di respingere gli attacchi è limitata, è necessaria una soluzione aggiuntiva sul perimetro della rete per bloccare automaticamente i successivi pacchetti "cattivi". Per questo scenario di sicurezza, entrambe le soluzioni devono essere in grado di comunicare tra loro per scambiare informazioni sugli attacchi.
Fig 1. Organizzazione della protezione completa della rete e delle applicazioni utilizzando l'esempio delle soluzioni Radware
Sfida n. 4: protezione continua
Le applicazioni cambiano frequentemente. Le metodologie di sviluppo e implementazione come gli aggiornamenti continui fanno sì che le modifiche avvengano senza intervento o controllo umano. In ambienti così dinamici, è difficile mantenere politiche di sicurezza adeguatamente funzionanti senza un numero elevato di falsi positivi. Le applicazioni mobili vengono aggiornate molto più frequentemente delle applicazioni web. Le applicazioni di terze parti potrebbero cambiare a tua insaputa. Alcune organizzazioni stanno cercando maggiore controllo e visibilità per rimanere al passo con i potenziali rischi. Tuttavia, ciò non è sempre realizzabile e una protezione affidabile delle applicazioni deve utilizzare la potenza dell’apprendimento automatico per tenere conto e visualizzare le risorse disponibili, analizzare potenziali minacce e creare e ottimizzare le policy di sicurezza in caso di modifiche delle applicazioni.
risultati
Poiché le app svolgono un ruolo sempre più importante nella vita di tutti i giorni, diventano un obiettivo primario per gli hacker. Le potenziali ricompense per i criminali e le potenziali perdite per le imprese sono enormi. La complessità del compito di sicurezza delle applicazioni non può essere sopravvalutata, dato il numero e le variazioni delle applicazioni e delle minacce.
Fortunatamente siamo in un momento in cui l’intelligenza artificiale può venire in nostro aiuto. Gli algoritmi basati sull'apprendimento automatico forniscono protezione adattiva e in tempo reale contro le minacce informatiche più avanzate che prendono di mira le applicazioni. Inoltre, aggiornano automaticamente le policy di sicurezza per proteggere le applicazioni Web, mobili e cloud (e le API) senza falsi positivi.
È difficile prevedere con certezza quale sarà la prossima generazione di minacce informatiche applicative (possibilmente basate anche sull’apprendimento automatico). Ma le organizzazioni possono certamente adottare misure per proteggere i dati dei clienti, tutelare la proprietà intellettuale e garantire la disponibilità del servizio con grandi vantaggi aziendali.
Approcci e metodi efficaci per garantire la sicurezza delle applicazioni, i principali tipi e vettori di attacchi, aree di rischio e lacune nella protezione informatica delle applicazioni web, nonché esperienza globale e migliori pratiche sono presentati nello studio e nel rapporto di Radware “".
Fonte: habr.com