retrospektif
Skala, komposisi, lan komposisi ancaman cyber kanggo aplikasi berkembang kanthi cepet. Wis pirang-pirang taun, pangguna wis ngakses aplikasi web liwat Internet nggunakake browser web populer. Sampeyan perlu kanggo ndhukung 2-5 browser web ing sembarang wektu tartamtu, lan pesawat saka standar kanggo ngembangaken lan testing aplikasi web cukup winates. Contone, meh kabeh database dibangun nggunakake SQL. Sayange, sawise wektu sing cendhak, peretas sinau nggunakake aplikasi web kanggo nyolong, mbusak utawa ngganti data. Dheweke entuk akses ilegal lan nyiksa kemampuan aplikasi kanthi nggunakake macem-macem teknik, kalebu ngapusi pangguna aplikasi, injeksi, lan eksekusi kode remot. Ora suwe, alat keamanan aplikasi web komersial sing disebut Web Application Firewalls (WAFs) teka ing pasar, lan masyarakat nanggapi kanthi nggawe proyek keamanan aplikasi web mbukak, Open Web Application Security Project (OWASP), kanggo nemtokake lan njaga standar lan metodologi pangembangan. .aplikasi aman.
Proteksi aplikasi dhasar
minangka titik wiwitan kanggo ngamanake aplikasi lan ngemot dhaptar ancaman lan salah konfigurasi sing paling mbebayani sing bisa nyebabake kerentanan aplikasi, uga taktik kanggo ndeteksi lan ngalahake serangan. OWASP Top 10 minangka pathokan sing diakoni ing industri keamanan siber aplikasi ing saindenging jagad lan nemtokake dhaptar inti kapabilitas sing kudu diduweni sistem keamanan aplikasi web (WAF).
Kajaba iku, fungsi WAF kudu nyathet serangan umum liyane ing aplikasi web, kalebu pemalsuan permintaan lintas situs (CSRF), clickjacking, scraping web, lan inklusi file (RFI/LFI).
Ancaman lan tantangan kanggo njamin keamanan aplikasi modern
Saiki, ora kabeh aplikasi diimplementasikake ing versi jaringan. Ana aplikasi awan, aplikasi seluler, API, lan ing arsitektur paling anyar, malah fungsi piranti lunak khusus. Kabeh jinis aplikasi kasebut kudu disinkronake lan dikontrol nalika nggawe, ngowahi, lan ngolah data kita. Kanthi tekane teknologi lan paradigma anyar, kerumitan lan tantangan anyar muncul ing kabeh tahap siklus urip aplikasi. Iki kalebu integrasi pangembangan lan operasi (DevOps), wadah, Internet of Things (IoT), alat open source, API, lan liya-liyane.
Panyebaran aplikasi sing disebarake lan macem-macem teknologi nggawe tantangan sing rumit lan rumit ora mung kanggo para profesional keamanan informasi, nanging uga kanggo vendor solusi keamanan sing ora bisa ngandelake pendekatan terpadu. Langkah-langkah keamanan aplikasi kudu nggatekake spesifik bisnis kanggo nyegah positip palsu lan ngganggu kualitas layanan kanggo pangguna.
Tujuan utama peretas biasane nyolong data utawa ngganggu kasedhiyan layanan. Penyerang uga entuk manfaat saka evolusi teknologi. Kaping pisanan, pangembangan teknologi anyar nggawe luwih akeh kesenjangan lan kerentanan potensial. Kapindho, dheweke duwe alat lan kawruh luwih akeh ing arsenal kanggo ngliwati langkah-langkah keamanan tradisional. Iki nemen nambah apa sing disebut "permukaan serangan" lan paparan organisasi kanggo risiko anyar. Kabijakan keamanan kudu terus diganti kanggo nanggepi owah-owahan ing teknologi lan aplikasi.
Mangkono, aplikasi kudu dilindhungi saka macem-macem cara lan sumber serangan sing saya tambah akeh, lan serangan otomatis kudu ditanggulangi kanthi nyata adhedhasar keputusan sing wis dingerteni. Asil tambah biaya transaksi lan tenaga kerja manual, ditambah karo postur keamanan sing saya ringkih.
Tugas #1: Ngatur bot
Luwih saka 60% lalu lintas Internet diasilake dening bot, setengah saka lalu lintas "ala" (miturut ). Organisasi nandur modal kanggo nambah kapasitas jaringan, sing sejatine nyedhiyakake beban fiktif. Mbedakake kanthi akurat antarane lalu lintas pangguna nyata lan lalu lintas bot, uga bot "apik" (contone, mesin telusur lan layanan perbandingan rega) lan bot "ala" bisa nyebabake penghematan biaya sing signifikan lan kualitas layanan sing luwih apik kanggo pangguna.
Bot ora bakal nggawe tugas iki gampang, lan bisa niru prilaku pangguna nyata, ngliwati CAPTCHA lan alangan liyane. Kajaba iku, ing kasus serangan nggunakake alamat IP dinamis, proteksi adhedhasar panyaring alamat IP dadi ora efektif. Asring, alat pangembangan open source (contone, Phantom JS) sing bisa nangani JavaScript sisih klien digunakake kanggo miwiti serangan brute-force, serangan isi kredensial, serangan DDoS, lan serangan bot otomatis. .
Kanggo ngatur lalu lintas bot kanthi efektif, identifikasi unik saka sumbere (kaya sidik jari) dibutuhake. Wiwit serangan bot ngasilake pirang-pirang rekaman, sidik driji ngidini kanggo ngenali kegiatan sing curiga lan menehi skor, adhedhasar sistem proteksi aplikasi nggawe keputusan - blok / ngidini - kanthi tingkat positif palsu.
Tantangan # 2: Nglindhungi API
Akeh aplikasi ngumpulake informasi lan data saka layanan padha sesambungan karo liwat API. Nalika ngirim data sensitif liwat API, luwih saka 50% organisasi ora validasi utawa aman API kanggo ndeteksi cyberattacks.
Conto nggunakake API:
- Integrasi Internet of Things (IoT).
- Komunikasi machine-to-machine
- Lingkungan Tanpa Server
- Aplikasi seluler
- Aplikasi Acara-Driven
Kerentanan API padha karo kerentanan aplikasi lan kalebu injeksi, serangan protokol, manipulasi parameter, pangalihan, lan serangan bot. Gerbang API khusus mbantu njamin kompatibilitas antarane layanan aplikasi sing sesambungan liwat API. Nanging, padha ora nyedhiyakake keamanan aplikasi end-to-end kaya WAF bisa karo piranti keamanan penting kayata HTTP header parsing, Layer 7 access control list (ACL), JSON/XML payload parsing and inspection, lan proteksi marang kabeh kerentanan saka Dhaptar OWASP Top 10. Iki digayuh kanthi mriksa nilai API kunci nggunakake model positif lan negatif.
Tantangan #3: Nolak Layanan
Vektor serangan lawas, penolakan layanan (DoS), terus mbuktekake efektifitas kanggo nyerang aplikasi. Penyerang duwe macem-macem teknik sing sukses kanggo ngganggu layanan aplikasi, kalebu banjir HTTP utawa HTTPS, serangan kurang lan alon (umpamane SlowLoris, LOIC, Torshammer), serangan nggunakake alamat IP dinamis, buffer overflow, brute force -attacks, lan liya-liyane. . Kanthi pangembangan Internet of Things lan munculΓ© botnet IoT sakteruse, serangan ing aplikasi wis dadi fokus utama serangan DDoS. Umume WAF stateful mung bisa nangani beban sing winates. Nanging, dheweke bisa mriksa arus lalu lintas HTTP / S lan mbusak lalu lintas serangan lan sambungan ala. Sawise serangan wis diidentifikasi, ora ana gunane kanggo ngliwati lalu lintas iki. Amarga kapasitas WAF kanggo ngusir serangan diwatesi, solusi tambahan dibutuhake ing perimeter jaringan kanggo mblokir paket "ala" sabanjure kanthi otomatis. Kanggo skenario keamanan iki, loro solusi kudu bisa komunikasi karo saben liyane kanggo ngganti informasi babagan serangan.
Fig 1. Organisasi jaringan lengkap lan pangayoman aplikasi nggunakake conto solusi Radware
Tantangan # 4: Perlindhungan Terus-terusan
Aplikasi kerep ganti. Metodologi pangembangan lan implementasine kayata nganyari nganyari tegese modifikasi kedadeyan tanpa campur tangan utawa kontrol manungsa. Ing lingkungan dinamis kasebut, angel njaga kabijakan keamanan sing bisa digunakake kanthi bener tanpa akeh positip palsu. Aplikasi seluler dianyari luwih kerep tinimbang aplikasi web. Aplikasi pihak katelu bisa diganti tanpa sampeyan ngerti. Sawetara organisasi ngupaya kontrol lan visibilitas sing luwih gedhe kanggo tetep ing ndhuwur risiko potensial. Nanging, iki ora mesthi bisa digayuh, lan pangayoman aplikasi sing dipercaya kudu nggunakake kekuwatan machine learning kanggo nyathet lan nggambarake sumber daya sing kasedhiya, nganalisa ancaman potensial, lan nggawe lan ngoptimalake kabijakan keamanan yen ana modifikasi aplikasi.
temonan
Minangka app muter peran saya penting ing saben dinten gesang, padha dadi target utama kanggo peretas. Ganjaran potensial kanggo para kriminal lan kerugian potensial kanggo bisnis gedhe banget. Kerumitan tugas keamanan aplikasi ora bisa ditemtokake kanthi jumlah lan variasi aplikasi lan ancaman.
Untunge, kita ana ing wektu nalika intelijen buatan bisa mbantu kita. Algoritma basis pembelajaran mesin nyedhiyakake proteksi adaptif wektu nyata marang aplikasi penargetan ancaman cyber paling canggih. Dheweke uga nganyari kabijakan keamanan kanthi otomatis kanggo nglindhungi aplikasi web, seluler, lan awan-lan API-tanpa positip palsu.
Iku angel kanggo prΓ©dhiksi kanthi yakin apa sing bakal dadi ancaman siber aplikasi generasi sabanjure (bisa uga adhedhasar pembelajaran mesin). Nanging organisasi mesthi bisa njupuk langkah kanggo nglindhungi data pelanggan, nglindhungi properti intelektual, lan njamin kasedhiyan layanan kanthi keuntungan bisnis sing apik.
Pendekatan lan cara sing efektif kanggo njamin keamanan aplikasi, jinis utama lan vektor serangan, wilayah risiko lan kesenjangan ing proteksi cyber aplikasi web, uga pengalaman global lan praktik paling apik ditampilake ing sinau lan laporan Radware "".
Source: www.habr.com