🥇הפונקציונליות של מערכות הגנת יישומים מודרניות (WAF) צריכה להיות הרבה יותר רחבה מרשימת הפגיעות של OWASP Top 10

רֶטרוֹספֶּקטִיבִי

ההיקף, ההרכב וההרכב של איומי סייבר על יישומים מתפתחים במהירות. במשך שנים רבות, משתמשים ניגשו ליישומי אינטרנט דרך האינטרנט באמצעות דפדפני אינטרנט פופולריים. היה צורך לתמוך ב-2-5 דפדפני אינטרנט בכל זמן נתון, ומערך הסטנדרטים לפיתוח ובדיקת יישומי אינטרנט היה מוגבל למדי. לדוגמה, כמעט כל מסדי הנתונים נבנו באמצעות SQL. לרוע המזל, לאחר זמן קצר, האקרים למדו להשתמש ביישומי אינטרנט כדי לגנוב, למחוק או לשנות נתונים. הם השיגו גישה בלתי חוקית ליכולות האפליקציה וניצלו אותן לרעה תוך שימוש במגוון טכניקות, כולל הטעיה של משתמשי אפליקציה, הזרקה וביצוע קוד מרחוק. עד מהרה, כלי אבטחה מסחריים של יישומי אינטרנט הנקראים Web Application Firewalls (WAFs) הגיעו לשוק, והקהילה הגיבה ביצירת פרויקט אבטחת יישומי אינטרנט פתוח, Open Web Application Security Project (OWASP), כדי להגדיר ולתחזק תקני פיתוח ומתודולוגיות. יישומים מאובטחים.

הגנה בסיסית על יישומים

רשימת 10 המובילים של OWASP מהווה נקודת מוצא לאבטחת יישומים ומכילה רשימה של האיומים והתצורות השגויות המסוכנות ביותר שעלולות להוביל לפרצות יישומים, כמו גם טקטיקות לזיהוי והבסה של התקפות. OWASP Top 10 הוא אמת מידה מוכרת בתעשיית אבטחת הסייבר של יישומים ברחבי העולם ומגדיר את רשימת הליבה של יכולות שמערכת אבטחת אפליקציות אינטרנט (WAF) צריכה להיות.

בנוסף, פונקציונליות WAF חייבת לקחת בחשבון התקפות נפוצות אחרות על יישומי אינטרנט, לרבות זיוף בקשות חוצות אתרים (CSRF), חטיפת קליקים, גירוד אינטרנט והכללת קבצים (RFI/LFI).

איומים ואתגרים להבטחת האבטחה של יישומים מודרניים

כיום, לא כל האפליקציות מיושמות בגרסת רשת. יש אפליקציות ענן, אפליקציות לנייד, ממשקי API, ובארכיטקטורות העדכניות ביותר, אפילו פונקציות תוכנה מותאמות אישית. כל סוגי היישומים הללו צריכים להיות מסונכרנים ולשלוט בזמן שהם יוצרים, משנים ומעבדים את הנתונים שלנו. עם הופעתן של טכנולוגיות ופרדיגמות חדשות, מתעוררות מורכבות ואתגרים חדשים בכל שלבי מחזור החיים של האפליקציה. זה כולל שילוב פיתוח ותפעול (DevOps), קונטיינרים, אינטרנט של הדברים (IoT), כלי קוד פתוח, APIs ועוד.

הפריסה המבוזרת של יישומים ומגוון הטכנולוגיות יוצרת אתגרים מורכבים ומורכבים לא רק עבור אנשי אבטחת מידע, אלא גם עבור ספקי פתרונות אבטחה שאינם יכולים עוד להסתמך על גישה מאוחדת. אמצעי אבטחת יישומים חייבים לקחת בחשבון את הפרטים העסקיים שלהם כדי למנוע תוצאות שווא והפרעה באיכות השירותים למשתמשים.

המטרה הסופית של האקרים היא בדרך כלל או לגנוב נתונים או לשבש את זמינות השירותים. התוקפים נהנים גם מהאבולוציה הטכנולוגית. ראשית, פיתוח טכנולוגיות חדשות יוצר יותר פערים ופגיעות פוטנציאליים. שנית, יש להם יותר כלים וידע בארסנל שלהם כדי לעקוף אמצעי אבטחה מסורתיים. זה מגדיל מאוד את מה שמכונה "משטח ההתקפה" ואת החשיפה של ארגונים לסיכונים חדשים. מדיניות האבטחה חייבת להשתנות כל הזמן בתגובה לשינויים בטכנולוגיה ובאפליקציות.

לפיכך, יש להגן על יישומים ממגוון הולך וגדל של שיטות ומקורות תקיפה, ויש להתמודד עם התקפות אוטומטיות בזמן אמת על סמך החלטות מושכלות. התוצאה היא עלויות עסקה מוגברות ועבודה ידנית, יחד עם תנוחת אבטחה מוחלשת.

משימה מס' 1: ניהול בוטים

יותר מ-60% מתעבורת האינטרנט נוצרת על ידי בוטים, מחציתה היא תעבורה "רעה" (על פי דוח אבטחה של Radware). ארגונים משקיעים בהגדלת קיבולת הרשת, ובעצם משרתים עומס פיקטיבי. הבחנה מדויקת בין תנועת משתמשים אמיתית ותעבורת בוטים, כמו גם בוטים "טובים" (לדוגמה, מנועי חיפוש ושירותי השוואת מחירים) ובוטים "רעים" יכולה להביא לחיסכון משמעותי בעלויות ולשיפור איכות השירות למשתמשים.

בוטים לא יהפכו את המשימה הזו לקלה, והם יכולים לחקות את ההתנהגות של משתמשים אמיתיים, לעקוף CAPTCHA ומכשולים אחרים. יתרה מכך, במקרה של התקפות באמצעות כתובות IP דינמיות, הגנה המבוססת על סינון כתובות IP הופכת ללא יעילה. לעתים קרובות, כלים לפיתוח קוד פתוח (לדוגמה, Phantom JS) שיכולים להתמודד עם JavaScript בצד הלקוח משמשים להפעלת התקפות בכוח גס, התקפות מילוי אישורים, התקפות DDoS והתקפות בוטים אוטומטיות.

כדי לנהל ביעילות את תעבורת הבוטים, נדרש זיהוי ייחודי של המקור שלה (כמו טביעת אצבע). מאחר שתקיפת בוט מייצרת רשומות מרובות, טביעת האצבע שלה מאפשרת לזהות פעילות חשודה ולהקצות ציונים, על בסיסם מערכת ההגנה על האפליקציה מקבלת החלטה מושכלת - חסום/אפשר - עם שיעור מינימלי של תוצאות חיוביות שגויות.

אתגר מס' 2: הגנה על ה-API

יישומים רבים אוספים מידע ונתונים משירותים איתם הם מקיימים אינטראקציה באמצעות ממשקי API. בעת העברת נתונים רגישים דרך ממשקי API, יותר מ-50% מהארגונים לא מאמתים ולא מאבטחים ממשקי API כדי לזהות מתקפות סייבר.

דוגמאות לשימוש ב-API:

אינטגרציה של האינטרנט של הדברים (IoT).
תקשורת בין מכונה למכונה
סביבות ללא שרת
אפליקציות ניידות
יישומים מונעי אירועים

פגיעויות API דומות לפגיעויות של יישומים וכוללות הזרקות, התקפות פרוטוקול, מניפולציה של פרמטרים, הפניות מחדש והתקפות בוטים. שערים ייעודיים של API עוזרים להבטיח תאימות בין שירותי יישומים המקיימים אינטראקציה באמצעות ממשקי API. עם זאת, הם אינם מספקים אבטחת יישומים מקצה לקצה כמו WAF יכול עם כלי אבטחה חיוניים כגון ניתוח כותרות HTTP, רשימת בקרת גישה של שכבה 7 (ACL), ניתוח ובדיקה של עומסי JSON/XML והגנה מפני כל הפגיעויות של רשימת 10 המובילים של OWASP. זה מושג על ידי בדיקת ערכי מפתח API באמצעות מודלים חיוביים ושליליים.

אתגר מס' 3: מניעת שירות

וקטור התקפה ישן, מניעת שירות (DoS), ממשיך להוכיח את יעילותו בתקיפת יישומים. לתוקפים יש מגוון של טכניקות מוצלחות לשבש שירותי יישומים, כולל הצפות HTTP או HTTPS, התקפות נמוכות ואיטיות (למשל SlowLoris, LOIC, Torshammer), התקפות באמצעות כתובות IP דינמיות, הצפת חיץ, התקפות של כוח גס ורבים אחרים. . עם התפתחות האינטרנט של הדברים וההופעה שלאחר מכן של רשתות IoT, התקפות על יישומים הפכו למוקד העיקרי של התקפות DDoS. רוב ה-WAFs הממלכתיים יכולים להתמודד רק עם כמות מוגבלת של עומס. עם זאת, הם יכולים לבדוק זרימות תעבורת HTTP/S ולהסיר תעבורת תקיפה וחיבורים זדוניים. ברגע שזוהתה תקיפה, אין טעם להעביר מחדש את התנועה הזו. מכיוון שהיכולת של ה-WAF להדוף התקפות מוגבלת, יש צורך בפתרון נוסף בהיקף הרשת כדי לחסום אוטומטית את החבילות ה"רעות" הבאות. עבור תרחיש אבטחה זה, שני הפתרונות חייבים להיות מסוגלים לתקשר זה עם זה כדי להחליף מידע על התקפות.

איור 1. ארגון של הגנה מקיפה על רשת ויישומים באמצעות הדוגמה של פתרונות Radware

אתגר מס' 4: הגנה מתמשכת

יישומים משתנים לעתים קרובות. מתודולוגיות פיתוח והטמעה כגון עדכונים מתגלגלים אומרות ששינויים מתרחשים ללא התערבות או שליטה אנושית. בסביבות דינמיות כאלה, קשה לשמור על מדיניות אבטחה מתפקדת כראוי ללא מספר גבוה של תוצאות כוזבות. יישומים ניידים מתעדכנים בתדירות גבוהה הרבה יותר מאשר יישומי אינטרנט. יישומי צד שלישי עשויים להשתנות ללא ידיעתך. ארגונים מסוימים מחפשים שליטה ונראות רבה יותר כדי להישאר עם הסיכונים הפוטנציאליים. עם זאת, זה לא תמיד בר השגה, והגנה על יישומים אמינה חייבת להשתמש בכוחה של למידת מכונה כדי לתאר ולהמחיש משאבים זמינים, לנתח איומים פוטנציאליים וליצור ולייעל מדיניות אבטחה במקרה של שינויים באפליקציה.

ממצאים

מכיוון שאפליקציות ממלאות תפקיד חשוב יותר ויותר בחיי היומיום, הן הופכות למטרה מרכזית עבור האקרים. התגמול הפוטנציאלי לפושעים וההפסדים הפוטנציאליים לעסקים הם עצומים. לא ניתן להפריז במורכבות של משימת אבטחת היישומים בהתחשב במספר ובווריאציות של יישומים ואיומים.

למרבה המזל, אנו נמצאים בנקודת זמן שבה בינה מלאכותית יכולה לבוא לעזרתנו. אלגוריתמים מבוססי למידת מכונה מספקים הגנה אדפטיבית בזמן אמת מפני איומי הסייבר המתקדמים ביותר המכוונים ליישומים. הם גם מעדכנים אוטומטית את מדיניות האבטחה כדי להגן על יישומי אינטרנט, ניידים וענן - וממשקי API - ללא תוצאות כוזבות.

קשה לחזות בוודאות מה יהיה הדור הבא של איומי סייבר יישומים (אולי גם מבוססים על למידת מכונה). אבל ארגונים בהחלט יכולים לנקוט בצעדים כדי להגן על נתוני לקוחות, להגן על קניין רוחני ולהבטיח זמינות שירות עם יתרונות עסקיים גדולים.

גישות ושיטות אפקטיביות להבטחת אבטחת יישומים, הסוגים והווקטורים העיקריים של התקפות, אזורי סיכון ופערים בהגנת סייבר של יישומי אינטרנט, כמו גם ניסיון גלובלי ושיטות עבודה מומלצות מוצגים במחקר ובדוח של Radware "אבטחת יישומי אינטרנט בעולם מחובר דיגיטלית".

מקור: www.habr.com

הפונקציונליות של מערכות אבטחת יישומים מודרניות (WAF) צריכה להיות הרבה יותר רחבה מרשימת הפגיעויות מ-OWASP Top 10