ретроспективті
Қолданбаларға киберқауіптердің ауқымы, құрамы және құрамы қарқынды дамып келеді. Көптеген жылдар бойы пайдаланушылар танымал веб-шолғыштарды пайдаланып Интернет арқылы веб-қосымшаларға қол жеткізді. Кез келген уақытта 2-5 веб-браузерді қолдау қажет болды, ал веб-қосымшаларды әзірлеу және тестілеу стандарттарының жиынтығы айтарлықтай шектеулі болды. Мысалы, барлық дерлік мәліметтер базасы SQL көмегімен құрастырылған. Өкінішке орай, аз уақыттан кейін хакерлер деректерді ұрлау, жою немесе өзгерту үшін веб-қосымшаларды пайдалануды үйренді. Олар қолданба пайдаланушыларын алдауды, инъекцияны және кодты қашықтан орындауды қоса алғанда, әртүрлі әдістерді пайдалана отырып, қолданба мүмкіндіктеріне заңсыз қол жеткізіп, оларды теріс пайдаланды. Көп ұзамай веб-бағдарламалардың брандмауэрлері (WAFs) деп аталатын коммерциялық веб-бағдарлама қауіпсіздік құралдары нарыққа шықты және қауымдастық әзірлеу стандарттары мен әдістемелерін анықтау және қолдау үшін ашық веб-бағдарлама қауіпсіздігі жобасын, Open Web Application Security Project (OWASP) жасау арқылы жауап берді. қауіпсіз қолданбалар.
Негізгі қолданбалы қорғау
қолданбаларды қорғаудың бастапқы нүктесі болып табылады және қолданбаның осалдығына әкелетін ең қауіпті қауіптер мен қате конфигурациялардың тізімін, сондай-ақ шабуылдарды анықтау және жою тактикасын қамтиды. OWASP Top 10 бүкіл әлем бойынша қолданбалы киберқауіпсіздік индустриясында танылған эталон болып табылады және веб-қосымшалар қауіпсіздігі (WAF) жүйесінде болуы керек мүмкіндіктердің негізгі тізімін анықтайды.
Сонымен қатар, WAF функционалдығы веб-қосымшаларға басқа жалпы шабуылдарды, соның ішінде тораптар аралық сұрауды жалған жасауды (CSRF), клик жасауды, веб-скрепингті және файлды қосуды (RFI/LFI) ескеруі керек.
Заманауи қолданбалардың қауіпсіздігін қамтамасыз ету үшін қауіптер мен қиындықтар
Бүгінгі күні барлық қолданбалар желілік нұсқада жүзеге асырылмайды. Бұлттық қолданбалар, мобильді қолданбалар, API интерфейстері және соңғы архитектурада, тіпті реттелетін бағдарламалық құрал функциялары бар. Қолданбалардың осы түрлерінің барлығы деректерімізді жасайтын, өзгертетін және өңдеген кезде синхрондалу және басқарылуы қажет. Жаңа технологиялар мен парадигмалардың пайда болуымен қолданбаның өмірлік циклінің барлық кезеңдерінде жаңа күрделіліктер мен қиындықтар туындайды. Бұған әзірлеу және операцияларды біріктіру (DevOps), контейнерлер, заттар интернеті (IoT), ашық бастапқы құралдар, API интерфейстері және т.б. кіреді.
Қолданбаларды тарату және технологиялардың алуан түрлілігі тек ақпараттық қауіпсіздік мамандары үшін ғана емес, сонымен қатар біртұтас тәсілге сене алмайтын қауіпсіздік шешімдерін жеткізушілер үшін де күрделі және күрделі қиындықтарды тудырады. Қолданбаның қауіпсіздік шаралары жалған позитивтерді және пайдаланушыларға қызмет көрсету сапасының бұзылуын болдырмау үшін олардың бизнес ерекшеліктерін ескеруі керек.
Хакерлердің түпкі мақсаты әдетте деректерді ұрлау немесе қызметтердің қолжетімділігін бұзу болып табылады. Шабуылшылар технологиялық эволюциядан да пайда көреді. Біріншіден, жаңа технологиялардың дамуы әлеуетті олқылықтар мен осалдықтарды тудырады. Екіншіден, оларда дәстүрлі қауіпсіздік шараларын айналып өту үшін көбірек құралдар мен білім бар. Бұл «шабуыл беті» деп аталатын және ұйымдардың жаңа тәуекелдерге ұшырауын айтарлықтай арттырады. Қауіпсіздік саясаты технологиялар мен қолданбалардағы өзгерістерге жауап ретінде үнемі өзгеруі керек.
Осылайша, қолданбалар үнемі өсіп келе жатқан әртүрлі шабуыл әдістері мен көздерінен қорғалуы керек, ал автоматтандырылған шабуылдарға негізделген шешімдер негізінде нақты уақытта қарсы тұру керек. Нәтиже – транзакциялық шығындар мен қол еңбегінің артуы, сонымен қатар қауіпсіздіктің әлсіреуі.
№1 тапсырма: Боттарды басқару
Интернет-трафиктің 60%-дан астамы боттар арқылы жасалады, оның жартысы «жаман» трафик (сәйкес ). Ұйымдар негізінен жалған жүктемеге қызмет ететін желі сыйымдылығын арттыруға инвестиция салады. Нақты пайдаланушы трафигі мен бот трафигі, сондай-ақ «жақсы» боттарды (мысалы, іздеу роботтары мен бағаны салыстыру қызметтері) және «жаман» боттарды дәл ажырату айтарлықтай шығындарды үнемдеуге және пайдаланушыларға қызмет көрсету сапасын жақсартуға әкелуі мүмкін.
Боттар бұл тапсырманы жеңілдетпейді және олар нақты пайдаланушылардың мінез-құлқына еліктейді, CAPTCHA және басқа да кедергілерді айналып өтеді. Сонымен қатар, динамикалық IP мекенжайларын пайдаланатын шабуылдар жағдайында IP мекенжайын сүзуге негізделген қорғаныс тиімсіз болады. Көбінесе, клиенттік JavaScript өңдей алатын ашық бастапқы әзірлеу құралдары (мысалы, Phantom JS) дөрекі күш шабуылдарын, тіркелгі деректерін толтыру шабуылдарын, DDoS шабуылдарын және автоматтандырылған бот шабуылдарын іске қосу үшін пайдаланылады. .
Бот трафигін тиімді басқару үшін оның көзінің бірегей идентификациясы (саусақ ізі сияқты) қажет. Бот шабуылы бірнеше жазбаларды жасайтындықтан, оның саусақ ізі күдікті әрекетті анықтауға және ұпайларды тағайындауға мүмкіндік береді, соның негізінде қолданбаны қорғау жүйесі жалған позитивтердің минималды жылдамдығымен негізделген шешім - блоктау/рұқсат ету - қабылдайды.
№2 тапсырма: API қорғау
Көптеген қолданбалар API арқылы өзара әрекеттесетін қызметтерден ақпарат пен деректерді жинайды. API арқылы құпия деректерді жіберген кезде ұйымдардың 50%-дан астамы кибершабуылдарды анықтау үшін API интерфейстерін растамайды немесе қорғамайды.
API пайдалану мысалдары:
- Интернет заттарының (IoT) интеграциясы
- Машинадан машинаға байланыс
- Серверсіз орталар
- Мобильді қосымшалар
- Оқиғаға негізделген қолданбалар
API осалдықтары қолданбаның осалдықтарына ұқсас және инъекцияларды, протокол шабуылдарын, параметрлерді басқаруды, қайта бағыттауды және бот шабуылдарын қамтиды. Арнайы API шлюздері API арқылы өзара әрекеттесетін қолданба қызметтері арасындағы үйлесімділікті қамтамасыз етуге көмектеседі. Дегенмен, олар HTTP тақырыбын талдау, 7-деңгейге қол жеткізуді басқару тізімі (ACL), JSON/XML пайдалы жүктемесін талдау және тексеру, сондай-ақ барлық осалдықтардан қорғау сияқты маңызды қауіпсіздік құралдарымен WAF банкі сияқты түпкілікті қолданба қауіпсіздігін қамтамасыз етпейді. OWASP Top 10 тізімі. Бұған оң және теріс үлгілерді пайдаланып негізгі API мәндерін тексеру арқылы қол жеткізіледі.
№3 мәселе: Қызмет көрсетуден бас тарту
Ескі шабуыл векторы, қызмет көрсетуден бас тарту (DoS) қолданбаларды шабуылдауда өзінің тиімділігін дәлелдеуде. Шабуылдаушыларда HTTP немесе HTTPS су тасқыны, төмен және баяу шабуылдар (мысалы, SlowLoris, LOIC, Torshammer), динамикалық IP мекенжайларын пайдаланатын шабуылдар, буфердің толып кетуі, өрескел күш шабуылдары және т.б. қоса алғанда, қолданба қызметтерін бұзудың сәтті әдістері бар. . Заттар интернетінің дамуымен және кейіннен IoT ботнеттерінің пайда болуымен қосымшаларға жасалған шабуылдар DDoS шабуылдарының негізгі бағытына айналды. Жағдайы бар WAF файлдарының көпшілігі жүктеменің шектеулі мөлшерін ғана өңдей алады. Дегенмен, олар HTTP/S трафик ағындарын тексеріп, шабуыл трафигі мен зиянды қосылымдарды жоя алады. Шабуыл анықталғаннан кейін бұл трафикті қайта өткізудің қажеті жоқ. WAF-тың шабуылдарды тойтару мүмкіндігі шектеулі болғандықтан, келесі «нашар» пакеттерді автоматты түрде блоктау үшін желі периметрінде қосымша шешім қажет. Бұл қауіпсіздік сценарийі үшін екі шешім де шабуылдар туралы ақпарат алмасу үшін бір-бірімен байланыса алуы керек.
Сурет 1. Radware шешімдерінің мысалында желіні және қолданбаларды кешенді қорғауды ұйымдастыру
№4 тапсырма: Үздіксіз қорғаныс
Қолданбалар жиі өзгереді. Жылжымалы жаңартулар сияқты әзірлеу және енгізу әдістемелері өзгертулердің адамның араласуынсыз немесе бақылауынсыз жасалатынын білдіреді. Мұндай динамикалық орталарда жалған позитивтердің көп саны болмаса, сәйкес жұмыс істейтін қауіпсіздік саясаттарын сақтау қиын. Мобильді қолданбалар веб-қосымшаларға қарағанда әлдеқайда жиі жаңартылады. Үшінші тарап қолданбалары сізге хабарсыз өзгеруі мүмкін. Кейбір ұйымдар әлеуетті тәуекелдердің үстінде болу үшін көбірек бақылау мен көрінуге ұмтылады. Дегенмен, бұған әрқашан қол жеткізу мүмкін емес және қолданбаларды сенімді қорғау қол жетімді ресурстарды есепке алу және визуализациялау, ықтимал қауіптерді талдау және қолданбаны өзгерту жағдайында қауіпсіздік саясатын жасау және оңтайландыру үшін машиналық оқытудың күшін пайдалануы керек.
қорытындылар
Қолданбалар күнделікті өмірде маңызды рөл атқаратындықтан, олар хакерлердің басты нысанасына айналады. Қылмыскерлер үшін әлеуетті сыйақы және бизнес үшін ықтимал шығындар өте үлкен. Қолданбалар мен қауіптердің саны мен нұсқаларын ескере отырып, қолданба қауіпсіздігі тапсырмасының күрделілігін асыра бағалау мүмкін емес.
Бақытымызға орай, біз жасанды интеллект көмекке келе алатын кезеңде тұрмыз. Машиналық оқытуға негізделген алгоритмдер қолданбаларға бағытталған ең озық киберқауіптерден нақты уақыт режимінде бейімделген қорғанысты қамтамасыз етеді. Сондай-ақ олар веб, мобильді және бұлттық қолданбаларды және API интерфейстерін жалған позитивтерсіз қорғау үшін қауіпсіздік саясаттарын автоматты түрде жаңартады.
Қолданбалы киберқауіптердің келесі ұрпағы (мүмкін, машиналық оқытуға негізделген) қандай болатынын нақты болжау қиын. Бірақ ұйымдар тұтынушылардың деректерін қорғау, зияткерлік меншікті қорғау және үлкен бизнес артықшылықтары бар қызметтердің қолжетімділігін қамтамасыз ету үшін қадамдар жасай алады.
Қолданбалардың қауіпсіздігін қамтамасыз етудің тиімді тәсілдері мен әдістері, шабуылдардың негізгі түрлері мен векторлары, тәуекел аймақтары мен веб-қосымшаларды киберқорғаудағы олқылықтар, сондай-ақ әлемдік тәжірибе мен озық тәжірибелер Radware зерттеуі мен есебінде ұсынылған ««.
Ақпарат көзі: www.habr.com