ретроспективті
Қолданбаларға киберқауіптердің ауқымы, құрамы және құрылымы қарқынды дамып келеді. Көптеген жылдар бойы пайдаланушылар танымал веб-шолғыштарды пайдаланып интернет арқылы веб-қосымшаларға қол жеткізді. Кез келген уақытта екі-бес браузерге қолдау көрсету керек болды, ал веб-қосымшаларды әзірлеу және тестілеу стандарттарының жиынтығы айтарлықтай шектеулі болды. Мысалы, барлық дерлік мәліметтер базасы SQL көмегімен құрастырылған. Өкінішке орай, хакерлерге деректерді ұрлау, жою немесе өзгерту үшін веб-қосымшаларды қалай пайдалану керектігін үйренуге көп уақыт кетпеді. Олар әртүрлі әдістерді, соның ішінде қолданба пайдаланушыларын алдауды, код енгізуді және кодты қашықтан орындауды қолдана отырып, заңсыз қол жеткізіп, қолданбаларды теріс пайдаланды. Көп ұзамай нарықта веб-қосымшалардың брандмауэрлері (WAFs) деп аталатын коммерциялық веб-қосымшалардың қауіпсіздік шешімдері пайда болды және қауымдастық қауіпсіз қолданбаларды әзірлеуге арналған стандарттар мен әдістемелерді анықтау және қолдау мақсатында веб-қосымшалардың қауіпсіздігін қамтамасыз ету үшін ашық бастапқы жоба болып табылатын Open Web Application Security Project (OWASP) жасау арқылы жауап берді.
Негізгі қолданбалы қорғау
OWASP Top 10 қолданба қауіпсіздігін қамтамасыз етудің бастапқы нүктесі болып табылады және қолданбаның осалдығына әкелетін ең қауіпті қауіптер мен қате конфигурациялардың тізімін, сондай-ақ шабуылдарды анықтау және азайту тактикасын қамтиды. OWASP Top 10 бүкіл әлем бойынша қолданбалы киберқауіпсіздік индустриясында танылған эталон болып табылады және веб-қосымшаларды қорғау жүйесінде (WAF) болуы керек мүмкіндіктердің негізгі тізімін анықтайды.
Сонымен қатар, WAF функционалдығы веб-қосымшаларға басқа жалпы шабуылдарды, соның ішінде тораптар аралық сұрауды жалған жасауды (CSRF), клик жасауды, веб-скрепингті және файлды қосуды (RFI/LFI) ескеруі керек.
Заманауи қолданбалардың қауіпсіздігін қамтамасыз етудің қауіптері мен қиындықтары
Бүгінгі таңда барлық қолданбалар веб-негізделген емес. Бұлттық қолданбалар, мобильді қосымшалар, API интерфейстері және соңғы архитектурада, тіпті реттелетін бағдарламалық құрал функциялары бар. Қолданбалардың осы түрлерінің барлығы синхрондалу және басқару қажет, өйткені олар деректерімізді жасайды, өзгертеді және өңдейді. Жаңа технологиялар мен парадигмалардың пайда болуы қолданбаның өмірлік циклінің барлық кезеңдерінде жаңа күрделіліктер мен қиындықтарды тудырады. Оларға әзірлеу мен операцияларды біріктіру (DevOps), контейнерлер, заттар интернеті (IoT), ашық бастапқы құралдар, API интерфейстері және т.б.
Бөлінген қолданбаларды орналастыру және әртүрлі технологиялар тек ақпараттық қауіпсіздік мамандары үшін ғана емес, сонымен қатар бұдан былай біртұтас тәсілге сене алмайтын қауіпсіздік шешімдерін жеткізушілер үшін де күрделі және қиын міндеттер тудырады. Қолданбаның қауіпсіздік шешімдері жалған позитивтерді және пайдаланушы қызметіндегі үзілістерді болдырмау үшін қолданбаның арнайы бизнес қажеттіліктеріне бейімделуі керек.
Хакерлердің түпкі мақсаты әдетте деректерді ұрлау немесе қызметтерді бұзу болып табылады. Шабуылшылар технологиялық эволюциядан да пайда көреді. Біріншіден, жаңа технологиялардың дамуы әлеуетті олқылықтар мен осалдықтарды тудырады. Екіншіден, олар дәстүрлі қауіпсіздік шараларын айналып өту үшін көбірек құралдар мен білім алады. Бұл «шабуыл бетін» айтарлықтай арттырады және ұйымдарды жаңа тәуекелдерге ұшыратады. Қауіпсіздік саясаты технологиялар мен қолданбалардағы өзгерістерге сәйкес үнемі дамып отыруы керек.
Осылайша, қолданбалар үнемі өсіп келе жатқан әртүрлі шабуыл әдістері мен көздерінен қорғалуы керек, ал автоматтандырылған шабуылдар негізделген шешімдер негізінде нақты уақытта жұмсартылуы керек. Бұл қауіпсіздік ережелерін әлсіретумен бірге операциялық шығындар мен қол күшін арттырады.
№1 тапсырма: Боттарды басқару
Интернет-трафиктің 60%-дан астамы боттар арқылы жасалады, оның жартысы «жаман» трафик болып саналады (мәліметтер бойынша ). Ұйымдар негізінен жалған жүктемеге қызмет ететін желі сыйымдылығын арттыруға инвестиция салады. Нақты пайдаланушы трафигі мен бот трафигі, сондай-ақ «жақсы» боттар (мысалы, іздеу жүйесінің тексеріп шығушылары және бағаны салыстыру қызметтері) мен «жаман» боттардың арасында нақты айырмашылықтар айтарлықтай шығындарды үнемдеуге және пайдаланушылар үшін қызмет көрсету сапасын жақсартуға әкелуі мүмкін.
Боттар бұл тапсырманы жеңілдетпейді және олар CAPTCHA және басқа кедергілерді айналып өтіп, нақты пайдаланушылардың әрекетіне еліктей алады. Сонымен қатар, динамикалық IP мекенжайларын пайдаланатын шабуылдар жағдайында IP негізіндегі сүзгіден қорғау тиімсіз болады. Көбінесе клиенттік JavaScript өңдей алатын ашық бастапқы әзірлеу құралдары (мысалы, Phantom JS) дөрекі күш шабуылдарын, тіркелгі деректерін толтыру шабуылдарын, DDoS шабуылдарын және автоматтандырылған бот шабуылдарын іске қосу үшін пайдаланылады.
Бот трафигін тиімді басқару оның көзін бірегей анықтауды қажет етеді (саусақ ізі сияқты). Бот шабуылы көптеген жазбаларды жасайтындықтан, оның саусақ ізі күдікті әрекетті анықтауға және ең аз жалған оң көрсеткішпен қолданбаның қауіпсіздік жүйесінің блоктау немесе рұқсат беру туралы шешімін хабардар ететін балл тағайындауға мүмкіндік береді.
№2 тапсырма: API қорғау
Көптеген қолданбалар API арқылы өзара әрекеттесетін қызметтерден ақпарат пен деректерді жинайды. API арқылы құпия деректерді жіберген кезде ұйымдардың 50%-дан астамы кибершабуылдарды анықтау үшін API интерфейстерін тексермейді және қорғамайды.
API пайдалану мысалдары:
- Интернет заттарының (IoT) интеграциясы
- Машинадан машинаға байланыс
- Серверсіз орталар
- Мобильді қосымшалар
- Оқиғаға негізделген қолданбалар
API осалдықтары қолданбаның осалдықтарына ұқсас және инъекцияларды, протокол шабуылдарын, параметрлерді басқаруды, қайта бағыттауды және бот шабуылдарын қамтиды. Арнайы API шлюздері API арқылы өзара әрекеттесетін қолданба қызметтерінің үйлесімділігін қамтамасыз етуге көмектеседі. Дегенмен, олар HTTP тақырыбын талдау, 7-деңгейдегі қатынасты басқару тізімдері (ACL), JSON/XML пайдалы жүктемесін талдау және тексеру және барлық OWASP Top 10 осалдықтарынан қорғау сияқты маңызды қауіпсіздік құралдары бар WAF сияқты түпкілікті қолданба қауіпсіздігін қамтамасыз етпейді. Бұған оң және теріс үлгілерді пайдаланып негізгі API мәндерін тексеру арқылы қол жеткізіледі.
№3 мәселе: Қызмет көрсетуден бас тарту
Ескі шабуыл векторы — қызмет көрсетуден бас тарту (DoS) — қолданбаларды шабуылдау кезінде өзінің тиімділігін дәлелдеуде. Шабуылдаушыларда HTTP немесе HTTPS су тасқыны, қуаты аз және баяу шабуылдар (мысалы, SlowLoris, LOIC, Torshammer), динамикалық IP мекенжайларын пайдаланатын шабуылдар, буфердің толып кетуі, қатыгездік шабуылдары және т.б. қоса алғанда, қолданба қызметтерін бұзудың сәтті әдістерінің кең ауқымы бар. Заттар интернетінің өсуімен және кейіннен IoT ботнеттерінің пайда болуымен қолданбалы шабуылдар DDoS шабуылдарының негізгі бағытына айналды. Көптеген күйі бар WAF трафиктің шектеулі мөлшеріне ғана төтеп бере алады. Дегенмен, олар HTTP/S трафик ағындарын тексеріп, шабуыл трафигі мен зиянды қосылымдарды жоя алады. Шабуыл анықталғаннан кейін бұл трафикті қайта өткізудің қажеті жоқ. WAF-тың шабуылдарды азайтуға арналған өткізу қабілеті шектеулі болғандықтан, болашақ «жаман» пакеттерді автоматты түрде блоктау үшін желі периметрінде қосымша шешім қажет. Бұл қауіпсіздік сценарийі үшін екі шешім де шабуылдар туралы ақпарат алмасу үшін бір-бірімен байланыса алуы керек.
Сурет 1. Мысал ретінде Radware шешімдерін пайдалана отырып, желіні және қолданбаларды кешенді қорғауды ұйымдастыру
№4 тапсырма: Үздіксіз қорғаныс
Қолданбалар жиі өзгереді. Жылжымалы жаңартулар сияқты әзірлеу және орналастыру әдістемелері өзгертулер адамның араласуынсыз немесе бақылаусыз жүзеге асатынын білдіреді. Мұндай динамикалық орталарда жалған позитивтердің жоғары жылдамдығынсыз барабар қауіпсіздік саясаттарын сақтау қиын. Мобильді қолданбалар веб-қосымшаларға қарағанда әлдеқайда жиі жаңартылады. Үшінші тарап қолданбалары сіз білместен өзгеруі мүмкін. Кейбір ұйымдар ықтимал тәуекелдер туралы хабардар болу үшін көбірек бақылау мен көрінуге ұмтылады. Дегенмен, бұған әрқашан қол жеткізу мүмкін емес және сенімді қолданба қауіпсіздігі бар активтерді есепке алу және визуализациялау, ықтимал қауіптерді талдау және қолданбаны өзгерту жағдайында қауіпсіздік саясатын жасау және оңтайландыру үшін машиналық оқытуды қолдануы керек.
қорытындылар
Қолданбалар күнделікті өмірде маңызды рөл атқаратындықтан, олар хакерлердің басты нысанасына айналады. Шабуылдаушылар үшін ықтимал сыйақылар және бизнес үшін ықтимал шығындар өте үлкен. Қолданбалар мен қауіптердің саны мен әртүрлілігін ескере отырып, қолданба қауіпсіздігін қамтамасыз етудің күрделілігін асыра айту мүмкін емес.
Бақытымызға орай, біз жасанды интеллект көмекке келе алатын кезеңде тұрмыз. Машиналық оқытуға негізделген алгоритмдер қолданбаларға бағытталған ең озық киберқауіптерден бейімделгіш, нақты уақытта қорғауды қамтамасыз етеді. Сондай-ақ олар веб, мобильді және бұлттық қолданбаларды, сондай-ақ API интерфейстерін жалған позитивтерсіз қорғау үшін қауіпсіздік саясаттарын автоматты түрде жаңартады.
Қолданбалы киберқауіптердің болашағын дәл болжау қиын (мүмкін машиналық оқыту негізінде де болуы мүмкін). Бірақ ұйымдар тұтынушылардың деректерін, зияткерлік меншікті қорғау және олардың бизнесіне айтарлықтай пайда әкелетін қызметтердің қолжетімділігін қамтамасыз ету үшін шаралар қолдана алады.
Қолданбалардың қауіпсіздігін қамтамасыз етудің тиімді тәсілдері мен әдістері, шабуылдардың негізгі түрлері мен векторлары, тәуекел аймақтары мен веб-қосымшалардың киберқауіпсіздігіндегі олқылықтар, сондай-ақ әлемдік тәжірибе мен озық тәжірибелер Radware зерттеулері мен баяндамасында берілген.«.
Ақпарат көзі: www.habr.com
