ರೆಟ್ರೋಸ್ಪೆಕ್ಟಿವ್
ಅಪ್ಲಿಕೇಶನ್ಗಳಿಗೆ ಸೈಬರ್ ಬೆದರಿಕೆಗಳ ಪ್ರಮಾಣ, ಸಂಯೋಜನೆ ಮತ್ತು ಸಂಯೋಜನೆಯು ವೇಗವಾಗಿ ವಿಕಸನಗೊಳ್ಳುತ್ತಿದೆ. ಅನೇಕ ವರ್ಷಗಳಿಂದ, ಬಳಕೆದಾರರು ಜನಪ್ರಿಯ ವೆಬ್ ಬ್ರೌಸರ್ಗಳನ್ನು ಬಳಸಿಕೊಂಡು ಇಂಟರ್ನೆಟ್ನಲ್ಲಿ ವೆಬ್ ಅಪ್ಲಿಕೇಶನ್ಗಳನ್ನು ಪ್ರವೇಶಿಸಿದ್ದಾರೆ. ಯಾವುದೇ ಸಮಯದಲ್ಲಿ 2-5 ವೆಬ್ ಬ್ರೌಸರ್ಗಳನ್ನು ಬೆಂಬಲಿಸುವುದು ಅಗತ್ಯವಾಗಿತ್ತು ಮತ್ತು ವೆಬ್ ಅಪ್ಲಿಕೇಶನ್ಗಳನ್ನು ಅಭಿವೃದ್ಧಿಪಡಿಸಲು ಮತ್ತು ಪರೀಕ್ಷಿಸಲು ಮಾನದಂಡಗಳ ಸೆಟ್ ಸಾಕಷ್ಟು ಸೀಮಿತವಾಗಿದೆ. ಉದಾಹರಣೆಗೆ, ಬಹುತೇಕ ಎಲ್ಲಾ ಡೇಟಾಬೇಸ್ಗಳನ್ನು SQL ಬಳಸಿ ನಿರ್ಮಿಸಲಾಗಿದೆ. ದುರದೃಷ್ಟವಶಾತ್, ಸ್ವಲ್ಪ ಸಮಯದ ನಂತರ, ಹ್ಯಾಕರ್ಗಳು ಡೇಟಾವನ್ನು ಕದಿಯಲು, ಅಳಿಸಲು ಅಥವಾ ಬದಲಾಯಿಸಲು ವೆಬ್ ಅಪ್ಲಿಕೇಶನ್ಗಳನ್ನು ಬಳಸಲು ಕಲಿತರು. ಅಪ್ಲಿಕೇಶನ್ ಬಳಕೆದಾರರ ವಂಚನೆ, ಇಂಜೆಕ್ಷನ್ ಮತ್ತು ರಿಮೋಟ್ ಕೋಡ್ ಎಕ್ಸಿಕ್ಯೂಶನ್ ಸೇರಿದಂತೆ ವಿವಿಧ ತಂತ್ರಗಳನ್ನು ಬಳಸಿಕೊಂಡು ಅವರು ಅಕ್ರಮ ಪ್ರವೇಶವನ್ನು ಪಡೆದರು ಮತ್ತು ಅಪ್ಲಿಕೇಶನ್ ಸಾಮರ್ಥ್ಯಗಳನ್ನು ದುರುಪಯೋಗಪಡಿಸಿಕೊಂಡರು. ಶೀಘ್ರದಲ್ಲೇ, ವೆಬ್ ಅಪ್ಲಿಕೇಶನ್ ಫೈರ್ವಾಲ್ಗಳು (WAFs) ಎಂಬ ವಾಣಿಜ್ಯ ವೆಬ್ ಅಪ್ಲಿಕೇಶನ್ ಭದ್ರತಾ ಉಪಕರಣಗಳು ಮಾರುಕಟ್ಟೆಗೆ ಬಂದವು ಮತ್ತು ಅಭಿವೃದ್ಧಿ ಮಾನದಂಡಗಳು ಮತ್ತು ವಿಧಾನಗಳನ್ನು ವ್ಯಾಖ್ಯಾನಿಸಲು ಮತ್ತು ನಿರ್ವಹಿಸಲು ಮುಕ್ತ ವೆಬ್ ಅಪ್ಲಿಕೇಶನ್ ಭದ್ರತಾ ಯೋಜನೆ, ಓಪನ್ ವೆಬ್ ಅಪ್ಲಿಕೇಶನ್ ಸೆಕ್ಯುರಿಟಿ ಪ್ರಾಜೆಕ್ಟ್ (OWASP) ಅನ್ನು ರಚಿಸುವ ಮೂಲಕ ಸಮುದಾಯವು ಪ್ರತಿಕ್ರಿಯಿಸಿತು. ಸುರಕ್ಷಿತ ಅಪ್ಲಿಕೇಶನ್ಗಳು.
ಮೂಲ ಅಪ್ಲಿಕೇಶನ್ ರಕ್ಷಣೆ
ಅಪ್ಲಿಕೇಶನ್ಗಳನ್ನು ಸುರಕ್ಷಿತಗೊಳಿಸಲು ಆರಂಭಿಕ ಹಂತವಾಗಿದೆ ಮತ್ತು ಅಪ್ಲಿಕೇಶನ್ ದೋಷಗಳಿಗೆ ಕಾರಣವಾಗುವ ಅತ್ಯಂತ ಅಪಾಯಕಾರಿ ಬೆದರಿಕೆಗಳು ಮತ್ತು ತಪ್ಪು ಸಂರಚನೆಗಳ ಪಟ್ಟಿಯನ್ನು ಒಳಗೊಂಡಿದೆ, ಜೊತೆಗೆ ದಾಳಿಗಳನ್ನು ಪತ್ತೆಹಚ್ಚುವ ಮತ್ತು ಸೋಲಿಸುವ ತಂತ್ರಗಳನ್ನು ಒಳಗೊಂಡಿದೆ. OWASP ಟಾಪ್ 10 ವಿಶ್ವಾದ್ಯಂತ ಅಪ್ಲಿಕೇಶನ್ ಸೈಬರ್ ಸೆಕ್ಯುರಿಟಿ ಉದ್ಯಮದಲ್ಲಿ ಮಾನ್ಯತೆ ಪಡೆದ ಮಾನದಂಡವಾಗಿದೆ ಮತ್ತು ವೆಬ್ ಅಪ್ಲಿಕೇಶನ್ ಭದ್ರತೆ (WAF) ಸಿಸ್ಟಮ್ ಹೊಂದಿರಬೇಕಾದ ಸಾಮರ್ಥ್ಯಗಳ ಪ್ರಮುಖ ಪಟ್ಟಿಯನ್ನು ವ್ಯಾಖ್ಯಾನಿಸುತ್ತದೆ.
ಹೆಚ್ಚುವರಿಯಾಗಿ, WAF ಕಾರ್ಯಚಟುವಟಿಕೆಯು ವೆಬ್ ಅಪ್ಲಿಕೇಶನ್ಗಳ ಮೇಲಿನ ಇತರ ಸಾಮಾನ್ಯ ದಾಳಿಗಳನ್ನು ಗಣನೆಗೆ ತೆಗೆದುಕೊಳ್ಳಬೇಕು, ಇದರಲ್ಲಿ ಕ್ರಾಸ್-ಸೈಟ್ ವಿನಂತಿ ಫೋರ್ಜರಿ (CSRF), ಕ್ಲಿಕ್ಜಾಕಿಂಗ್, ವೆಬ್ ಸ್ಕ್ರ್ಯಾಪಿಂಗ್ ಮತ್ತು ಫೈಲ್ ಸೇರ್ಪಡೆ (RFI/LFI).
ಆಧುನಿಕ ಅಪ್ಲಿಕೇಶನ್ಗಳ ಸುರಕ್ಷತೆಯನ್ನು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳಲು ಬೆದರಿಕೆಗಳು ಮತ್ತು ಸವಾಲುಗಳು
ಇಂದು, ಎಲ್ಲಾ ಅಪ್ಲಿಕೇಶನ್ಗಳನ್ನು ನೆಟ್ವರ್ಕ್ ಆವೃತ್ತಿಯಲ್ಲಿ ಅಳವಡಿಸಲಾಗಿಲ್ಲ. ಕ್ಲೌಡ್ ಅಪ್ಲಿಕೇಶನ್ಗಳು, ಮೊಬೈಲ್ ಅಪ್ಲಿಕೇಶನ್ಗಳು, API ಗಳು ಮತ್ತು ಇತ್ತೀಚಿನ ಆರ್ಕಿಟೆಕ್ಚರ್ಗಳಲ್ಲಿ ಕಸ್ಟಮ್ ಸಾಫ್ಟ್ವೇರ್ ಕಾರ್ಯಗಳೂ ಇವೆ. ಈ ಎಲ್ಲಾ ರೀತಿಯ ಅಪ್ಲಿಕೇಶನ್ಗಳು ನಮ್ಮ ಡೇಟಾವನ್ನು ರಚಿಸುವಾಗ, ಮಾರ್ಪಡಿಸುವಾಗ ಮತ್ತು ಪ್ರಕ್ರಿಯೆಗೊಳಿಸುವಾಗ ಸಿಂಕ್ರೊನೈಸ್ ಮಾಡಬೇಕು ಮತ್ತು ನಿಯಂತ್ರಿಸಬೇಕು. ಹೊಸ ತಂತ್ರಜ್ಞಾನಗಳು ಮತ್ತು ಮಾದರಿಗಳ ಆಗಮನದೊಂದಿಗೆ, ಅಪ್ಲಿಕೇಶನ್ ಜೀವನಚಕ್ರದ ಎಲ್ಲಾ ಹಂತಗಳಲ್ಲಿ ಹೊಸ ಸಂಕೀರ್ಣತೆಗಳು ಮತ್ತು ಸವಾಲುಗಳು ಉದ್ಭವಿಸುತ್ತವೆ. ಇದು ಅಭಿವೃದ್ಧಿ ಮತ್ತು ಕಾರ್ಯಾಚರಣೆಗಳ ಏಕೀಕರಣ (DevOps), ಕಂಟೈನರ್ಗಳು, ಇಂಟರ್ನೆಟ್ ಆಫ್ ಥಿಂಗ್ಸ್ (IoT), ತೆರೆದ ಮೂಲ ಪರಿಕರಗಳು, API ಗಳು ಮತ್ತು ಹೆಚ್ಚಿನದನ್ನು ಒಳಗೊಂಡಿದೆ.
ಅಪ್ಲಿಕೇಶನ್ಗಳ ವಿತರಣಾ ನಿಯೋಜನೆ ಮತ್ತು ತಂತ್ರಜ್ಞಾನಗಳ ವೈವಿಧ್ಯತೆಯು ಮಾಹಿತಿ ಭದ್ರತಾ ವೃತ್ತಿಪರರಿಗೆ ಮಾತ್ರವಲ್ಲದೆ ಏಕೀಕೃತ ವಿಧಾನವನ್ನು ಅವಲಂಬಿಸದ ಭದ್ರತಾ ಪರಿಹಾರ ಮಾರಾಟಗಾರರಿಗೂ ಸಂಕೀರ್ಣ ಮತ್ತು ಸಂಕೀರ್ಣ ಸವಾಲುಗಳನ್ನು ಸೃಷ್ಟಿಸುತ್ತದೆ. ಅಪ್ಲಿಕೇಶನ್ ಭದ್ರತಾ ಕ್ರಮಗಳು ಬಳಕೆದಾರರಿಗೆ ತಪ್ಪು ಧನಾತ್ಮಕ ಮತ್ತು ಸೇವೆಗಳ ಗುಣಮಟ್ಟವನ್ನು ಅಡ್ಡಿಪಡಿಸುವುದನ್ನು ತಡೆಯಲು ಅವರ ವ್ಯವಹಾರದ ನಿಶ್ಚಿತಗಳನ್ನು ಗಣನೆಗೆ ತೆಗೆದುಕೊಳ್ಳಬೇಕು.
ಹ್ಯಾಕರ್ಗಳ ಅಂತಿಮ ಗುರಿ ಸಾಮಾನ್ಯವಾಗಿ ಡೇಟಾವನ್ನು ಕದಿಯುವುದು ಅಥವಾ ಸೇವೆಗಳ ಲಭ್ಯತೆಯನ್ನು ಅಡ್ಡಿಪಡಿಸುವುದು. ದಾಳಿಕೋರರು ತಾಂತ್ರಿಕ ವಿಕಾಸದಿಂದಲೂ ಪ್ರಯೋಜನ ಪಡೆಯುತ್ತಾರೆ. ಮೊದಲನೆಯದಾಗಿ, ಹೊಸ ತಂತ್ರಜ್ಞಾನಗಳ ಅಭಿವೃದ್ಧಿಯು ಹೆಚ್ಚು ಸಂಭಾವ್ಯ ಅಂತರಗಳು ಮತ್ತು ದುರ್ಬಲತೆಗಳನ್ನು ಸೃಷ್ಟಿಸುತ್ತದೆ. ಎರಡನೆಯದಾಗಿ, ಸಾಂಪ್ರದಾಯಿಕ ಭದ್ರತಾ ಕ್ರಮಗಳನ್ನು ಬೈಪಾಸ್ ಮಾಡಲು ಅವರು ತಮ್ಮ ಶಸ್ತ್ರಾಗಾರದಲ್ಲಿ ಹೆಚ್ಚಿನ ಪರಿಕರಗಳು ಮತ್ತು ಜ್ಞಾನವನ್ನು ಹೊಂದಿದ್ದಾರೆ. ಇದು "ದಾಳಿ ಮೇಲ್ಮೈ" ಎಂದು ಕರೆಯಲ್ಪಡುವ ಮತ್ತು ಹೊಸ ಅಪಾಯಗಳಿಗೆ ಸಂಸ್ಥೆಗಳ ಒಡ್ಡುವಿಕೆಯನ್ನು ಹೆಚ್ಚಿಸುತ್ತದೆ. ತಂತ್ರಜ್ಞಾನ ಮತ್ತು ಅಪ್ಲಿಕೇಶನ್ಗಳಲ್ಲಿನ ಬದಲಾವಣೆಗಳಿಗೆ ಪ್ರತಿಕ್ರಿಯೆಯಾಗಿ ಭದ್ರತಾ ನೀತಿಗಳು ನಿರಂತರವಾಗಿ ಬದಲಾಗುತ್ತಿರಬೇಕು.
ಹೀಗಾಗಿ, ಅಪ್ಲಿಕೇಶನ್ಗಳನ್ನು ನಿರಂತರವಾಗಿ ಹೆಚ್ಚುತ್ತಿರುವ ಆಕ್ರಮಣ ವಿಧಾನಗಳು ಮತ್ತು ಮೂಲಗಳಿಂದ ರಕ್ಷಿಸಬೇಕು ಮತ್ತು ಮಾಹಿತಿಯುಕ್ತ ನಿರ್ಧಾರಗಳ ಆಧಾರದ ಮೇಲೆ ನೈಜ ಸಮಯದಲ್ಲಿ ಸ್ವಯಂಚಾಲಿತ ದಾಳಿಗಳನ್ನು ಎದುರಿಸಬೇಕಾಗುತ್ತದೆ. ಪರಿಣಾಮವಾಗಿ ಹೆಚ್ಚಿದ ವಹಿವಾಟು ವೆಚ್ಚಗಳು ಮತ್ತು ಹಸ್ತಚಾಲಿತ ಕೆಲಸಗಳು ದುರ್ಬಲಗೊಂಡ ಭದ್ರತಾ ಭಂಗಿಯೊಂದಿಗೆ ಸೇರಿಕೊಂಡಿವೆ.
ಕಾರ್ಯ #1: ಬಾಟ್ಗಳನ್ನು ನಿರ್ವಹಿಸುವುದು
60% ಕ್ಕಿಂತ ಹೆಚ್ಚು ಇಂಟರ್ನೆಟ್ ದಟ್ಟಣೆಯು ಬಾಟ್ಗಳಿಂದ ಉತ್ಪತ್ತಿಯಾಗುತ್ತದೆ, ಅದರಲ್ಲಿ ಅರ್ಧದಷ್ಟು "ಕೆಟ್ಟ" ದಟ್ಟಣೆಯಾಗಿದೆ (ಅನುಸಾರ ) ಸಂಸ್ಥೆಗಳು ನೆಟ್ವರ್ಕ್ ಸಾಮರ್ಥ್ಯವನ್ನು ಹೆಚ್ಚಿಸುವಲ್ಲಿ ಹೂಡಿಕೆ ಮಾಡುತ್ತವೆ, ಮೂಲಭೂತವಾಗಿ ಕಾಲ್ಪನಿಕ ಹೊರೆಗೆ ಸೇವೆ ಸಲ್ಲಿಸುತ್ತವೆ. ನೈಜ ಬಳಕೆದಾರ ಟ್ರಾಫಿಕ್ ಮತ್ತು ಬೋಟ್ ಟ್ರಾಫಿಕ್, ಹಾಗೆಯೇ "ಉತ್ತಮ" ಬಾಟ್ಗಳು (ಉದಾಹರಣೆಗೆ, ಸರ್ಚ್ ಇಂಜಿನ್ಗಳು ಮತ್ತು ಬೆಲೆ ಹೋಲಿಕೆ ಸೇವೆಗಳು) ಮತ್ತು "ಕೆಟ್ಟ" ಬಾಟ್ಗಳ ನಡುವಿನ ವ್ಯತ್ಯಾಸವನ್ನು ನಿಖರವಾಗಿ ಗುರುತಿಸುವುದರಿಂದ ಬಳಕೆದಾರರಿಗೆ ಗಮನಾರ್ಹ ವೆಚ್ಚ ಉಳಿತಾಯ ಮತ್ತು ಸುಧಾರಿತ ಸೇವೆಯ ಗುಣಮಟ್ಟವನ್ನು ಉಂಟುಮಾಡಬಹುದು.
ಬಾಟ್ಗಳು ಈ ಕಾರ್ಯವನ್ನು ಸುಲಭಗೊಳಿಸಲು ಹೋಗುವುದಿಲ್ಲ ಮತ್ತು ಅವರು ನೈಜ ಬಳಕೆದಾರರ ನಡವಳಿಕೆಯನ್ನು ಅನುಕರಿಸಬಹುದು, ಕ್ಯಾಪ್ಚಾಗಳು ಮತ್ತು ಇತರ ಅಡೆತಡೆಗಳನ್ನು ಬೈಪಾಸ್ ಮಾಡಬಹುದು. ಇದಲ್ಲದೆ, ಡೈನಾಮಿಕ್ ಐಪಿ ವಿಳಾಸಗಳನ್ನು ಬಳಸಿಕೊಂಡು ದಾಳಿಯ ಸಂದರ್ಭದಲ್ಲಿ, ಐಪಿ ವಿಳಾಸ ಫಿಲ್ಟರಿಂಗ್ ಆಧಾರಿತ ರಕ್ಷಣೆ ನಿಷ್ಪರಿಣಾಮಕಾರಿಯಾಗುತ್ತದೆ. ಸಾಮಾನ್ಯವಾಗಿ, ಕ್ಲೈಂಟ್-ಸೈಡ್ ಜಾವಾಸ್ಕ್ರಿಪ್ಟ್ ಅನ್ನು ನಿಭಾಯಿಸಬಲ್ಲ ಓಪನ್ ಸೋರ್ಸ್ ಡೆವಲಪ್ಮೆಂಟ್ ಟೂಲ್ಗಳನ್ನು (ಉದಾಹರಣೆಗೆ, ಫ್ಯಾಂಟಮ್ ಜೆಎಸ್) ಬ್ರೂಟ್-ಫೋರ್ಸ್ ದಾಳಿಗಳು, ರುಜುವಾತುಗಳನ್ನು ತುಂಬುವ ದಾಳಿಗಳು, ಡಿಡಿಒಎಸ್ ದಾಳಿಗಳು ಮತ್ತು ಸ್ವಯಂಚಾಲಿತ ಬೋಟ್ ದಾಳಿಗಳನ್ನು ಪ್ರಾರಂಭಿಸಲು ಬಳಸಲಾಗುತ್ತದೆ.
ಬೋಟ್ ಟ್ರಾಫಿಕ್ ಅನ್ನು ಪರಿಣಾಮಕಾರಿಯಾಗಿ ನಿರ್ವಹಿಸಲು, ಅದರ ಮೂಲದ ವಿಶಿಷ್ಟ ಗುರುತಿಸುವಿಕೆ (ಬೆರಳಚ್ಚು ನಂತಹ) ಅಗತ್ಯವಿದೆ. ಬೋಟ್ ದಾಳಿಯು ಬಹು ದಾಖಲೆಗಳನ್ನು ರಚಿಸುವುದರಿಂದ, ಅದರ ಫಿಂಗರ್ಪ್ರಿಂಟ್ ಅನುಮಾನಾಸ್ಪದ ಚಟುವಟಿಕೆಯನ್ನು ಗುರುತಿಸಲು ಮತ್ತು ಸ್ಕೋರ್ಗಳನ್ನು ನಿಯೋಜಿಸಲು ಅನುವು ಮಾಡಿಕೊಡುತ್ತದೆ, ಅದರ ಆಧಾರದ ಮೇಲೆ ಅಪ್ಲಿಕೇಶನ್ ರಕ್ಷಣೆ ವ್ಯವಸ್ಥೆಯು ತಿಳುವಳಿಕೆಯುಳ್ಳ ನಿರ್ಧಾರವನ್ನು ಮಾಡುತ್ತದೆ - ಬ್ಲಾಕ್/ಅನುಮತಿ - ಕನಿಷ್ಠ ದರದ ತಪ್ಪು ಧನಾತ್ಮಕತೆಯೊಂದಿಗೆ.
ಸವಾಲು #2: API ಅನ್ನು ರಕ್ಷಿಸುವುದು
ಅನೇಕ ಅಪ್ಲಿಕೇಶನ್ಗಳು API ಗಳ ಮೂಲಕ ಸಂವಹನ ನಡೆಸುವ ಸೇವೆಗಳಿಂದ ಮಾಹಿತಿ ಮತ್ತು ಡೇಟಾವನ್ನು ಸಂಗ್ರಹಿಸುತ್ತವೆ. API ಗಳ ಮೂಲಕ ಸೂಕ್ಷ್ಮ ಡೇಟಾವನ್ನು ರವಾನಿಸುವಾಗ, 50% ಕ್ಕಿಂತ ಹೆಚ್ಚು ಸಂಸ್ಥೆಗಳು ಸೈಬರ್ಟಾಕ್ಗಳನ್ನು ಪತ್ತೆಹಚ್ಚಲು API ಗಳನ್ನು ಮೌಲ್ಯೀಕರಿಸುವುದಿಲ್ಲ ಅಥವಾ ಸುರಕ್ಷಿತಗೊಳಿಸುವುದಿಲ್ಲ.
API ಅನ್ನು ಬಳಸುವ ಉದಾಹರಣೆಗಳು:
- ಇಂಟರ್ನೆಟ್ ಆಫ್ ಥಿಂಗ್ಸ್ (IoT) ಏಕೀಕರಣ
- ಯಂತ್ರದಿಂದ ಯಂತ್ರಕ್ಕೆ ಸಂವಹನ
- ಸರ್ವರ್ಲೆಸ್ ಪರಿಸರಗಳು
- ಮೊಬೈಲ್ ಅಪ್ಲಿಕೇಶನ್ಗಳು
- ಈವೆಂಟ್-ಚಾಲಿತ ಅಪ್ಲಿಕೇಶನ್ಗಳು
API ದೋಷಗಳು ಅಪ್ಲಿಕೇಶನ್ ದೋಷಗಳನ್ನು ಹೋಲುತ್ತವೆ ಮತ್ತು ಚುಚ್ಚುಮದ್ದುಗಳು, ಪ್ರೋಟೋಕಾಲ್ ದಾಳಿಗಳು, ನಿಯತಾಂಕ ಕುಶಲತೆ, ಮರುನಿರ್ದೇಶನಗಳು ಮತ್ತು ಬೋಟ್ ದಾಳಿಗಳನ್ನು ಒಳಗೊಂಡಿರುತ್ತವೆ. API ಗಳ ಮೂಲಕ ಸಂವಹನ ನಡೆಸುವ ಅಪ್ಲಿಕೇಶನ್ ಸೇವೆಗಳ ನಡುವಿನ ಹೊಂದಾಣಿಕೆಯನ್ನು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳಲು ಮೀಸಲಾದ API ಗೇಟ್ವೇಗಳು ಸಹಾಯ ಮಾಡುತ್ತವೆ. ಆದಾಗ್ಯೂ, ಅವರು HTTP ಹೆಡರ್ ಪಾರ್ಸಿಂಗ್, ಲೇಯರ್ 7 ಪ್ರವೇಶ ನಿಯಂತ್ರಣ ಪಟ್ಟಿ (ACL), JSON/XML ಪೇಲೋಡ್ ಪಾರ್ಸಿಂಗ್ ಮತ್ತು ತಪಾಸಣೆ ಮತ್ತು ಎಲ್ಲಾ ದುರ್ಬಲತೆಗಳ ವಿರುದ್ಧ ರಕ್ಷಣೆಯಂತಹ ಅಗತ್ಯ ಭದ್ರತಾ ಸಾಧನಗಳೊಂದಿಗೆ WAF ಕ್ಯಾನ್ನಂತೆ ಅಂತ್ಯದಿಂದ ಕೊನೆಯವರೆಗೆ ಅಪ್ಲಿಕೇಶನ್ ಭದ್ರತೆಯನ್ನು ಒದಗಿಸುವುದಿಲ್ಲ. OWASP ಟಾಪ್ 10 ಪಟ್ಟಿ. ಧನಾತ್ಮಕ ಮತ್ತು ಋಣಾತ್ಮಕ ಮಾದರಿಗಳನ್ನು ಬಳಸಿಕೊಂಡು ಪ್ರಮುಖ API ಮೌಲ್ಯಗಳನ್ನು ಪರಿಶೀಲಿಸುವ ಮೂಲಕ ಇದನ್ನು ಸಾಧಿಸಲಾಗುತ್ತದೆ.
ಸವಾಲು #3: ಸೇವೆಯ ನಿರಾಕರಣೆ
ಹಳೆಯ ದಾಳಿ ವೆಕ್ಟರ್, ಸೇವೆಯ ನಿರಾಕರಣೆ (DoS), ಅಪ್ಲಿಕೇಶನ್ಗಳ ಮೇಲೆ ದಾಳಿ ಮಾಡುವಲ್ಲಿ ಅದರ ಪರಿಣಾಮಕಾರಿತ್ವವನ್ನು ಸಾಬೀತುಪಡಿಸುವುದನ್ನು ಮುಂದುವರೆಸಿದೆ. HTTP ಅಥವಾ HTTPS ಪ್ರವಾಹಗಳು, ಕಡಿಮೆ ಮತ್ತು ನಿಧಾನಗತಿಯ ದಾಳಿಗಳು (ಉದಾ. SlowLoris, LOIC, Torshammer), ಡೈನಾಮಿಕ್ IP ವಿಳಾಸಗಳನ್ನು ಬಳಸುವ ದಾಳಿಗಳು, ಬಫರ್ ಓವರ್ಫ್ಲೋ, ಬ್ರೂಟ್ ಫೋರ್ಸ್-ಆಟಗಳು ಮತ್ತು ಇತರವುಗಳನ್ನು ಒಳಗೊಂಡಂತೆ ಅಪ್ಲಿಕೇಶನ್ ಸೇವೆಗಳನ್ನು ಅಡ್ಡಿಪಡಿಸಲು ಆಕ್ರಮಣಕಾರರು ಹಲವಾರು ಯಶಸ್ವಿ ತಂತ್ರಗಳನ್ನು ಹೊಂದಿದ್ದಾರೆ. . ಇಂಟರ್ನೆಟ್ ಆಫ್ ಥಿಂಗ್ಸ್ನ ಅಭಿವೃದ್ಧಿ ಮತ್ತು IoT ಬಾಟ್ನೆಟ್ಗಳ ನಂತರದ ಹೊರಹೊಮ್ಮುವಿಕೆಯೊಂದಿಗೆ, ಅಪ್ಲಿಕೇಶನ್ಗಳ ಮೇಲಿನ ದಾಳಿಗಳು DDoS ದಾಳಿಯ ಪ್ರಮುಖ ಕೇಂದ್ರಬಿಂದುವಾಗಿದೆ. ಹೆಚ್ಚಿನ ಸ್ಥಿತಿವಂತ WAF ಗಳು ಸೀಮಿತ ಪ್ರಮಾಣದ ಲೋಡ್ ಅನ್ನು ಮಾತ್ರ ನಿಭಾಯಿಸಬಲ್ಲವು. ಆದಾಗ್ಯೂ, ಅವರು HTTP/S ಸಂಚಾರ ಹರಿವುಗಳನ್ನು ಪರಿಶೀಲಿಸಬಹುದು ಮತ್ತು ದಾಳಿಯ ದಟ್ಟಣೆ ಮತ್ತು ದುರುದ್ದೇಶಪೂರಿತ ಸಂಪರ್ಕಗಳನ್ನು ತೆಗೆದುಹಾಕಬಹುದು. ಒಮ್ಮೆ ದಾಳಿಯನ್ನು ಗುರುತಿಸಿದ ನಂತರ, ಈ ದಟ್ಟಣೆಯನ್ನು ಮತ್ತೆ ಹಾದುಹೋಗುವುದರಲ್ಲಿ ಯಾವುದೇ ಅರ್ಥವಿಲ್ಲ. ದಾಳಿಗಳನ್ನು ಹಿಮ್ಮೆಟ್ಟಿಸಲು WAF ಸಾಮರ್ಥ್ಯವು ಸೀಮಿತವಾಗಿರುವುದರಿಂದ, ಮುಂದಿನ "ಕೆಟ್ಟ" ಪ್ಯಾಕೆಟ್ಗಳನ್ನು ಸ್ವಯಂಚಾಲಿತವಾಗಿ ನಿರ್ಬಂಧಿಸಲು ನೆಟ್ವರ್ಕ್ ಪರಿಧಿಯಲ್ಲಿ ಹೆಚ್ಚುವರಿ ಪರಿಹಾರದ ಅಗತ್ಯವಿದೆ. ಈ ಭದ್ರತಾ ಸನ್ನಿವೇಶಕ್ಕಾಗಿ, ದಾಳಿಗಳ ಬಗ್ಗೆ ಮಾಹಿತಿಯನ್ನು ವಿನಿಮಯ ಮಾಡಿಕೊಳ್ಳಲು ಎರಡೂ ಪರಿಹಾರಗಳು ಪರಸ್ಪರ ಸಂವಹನ ನಡೆಸಲು ಸಾಧ್ಯವಾಗುತ್ತದೆ.
ಚಿತ್ರ 1. ರಾಡ್ವೇರ್ ಪರಿಹಾರಗಳ ಉದಾಹರಣೆಯನ್ನು ಬಳಸಿಕೊಂಡು ಸಮಗ್ರ ನೆಟ್ವರ್ಕ್ ಮತ್ತು ಅಪ್ಲಿಕೇಶನ್ ರಕ್ಷಣೆಯ ಸಂಘಟನೆ
ಸವಾಲು #4: ನಿರಂತರ ರಕ್ಷಣೆ
ಅಪ್ಲಿಕೇಶನ್ಗಳು ಆಗಾಗ್ಗೆ ಬದಲಾಗುತ್ತವೆ. ರೋಲಿಂಗ್ ನವೀಕರಣಗಳಂತಹ ಅಭಿವೃದ್ಧಿ ಮತ್ತು ಅನುಷ್ಠಾನ ವಿಧಾನಗಳು ಮಾನವ ಹಸ್ತಕ್ಷೇಪ ಅಥವಾ ನಿಯಂತ್ರಣವಿಲ್ಲದೆಯೇ ಮಾರ್ಪಾಡುಗಳು ಸಂಭವಿಸುತ್ತವೆ ಎಂದರ್ಥ. ಅಂತಹ ಕ್ರಿಯಾತ್ಮಕ ಪರಿಸರದಲ್ಲಿ, ಹೆಚ್ಚಿನ ಸಂಖ್ಯೆಯ ತಪ್ಪು ಧನಾತ್ಮಕತೆಗಳಿಲ್ಲದೆ ಸಮರ್ಪಕವಾಗಿ ಕಾರ್ಯನಿರ್ವಹಿಸುವ ಭದ್ರತಾ ನೀತಿಗಳನ್ನು ನಿರ್ವಹಿಸುವುದು ಕಷ್ಟ. ಮೊಬೈಲ್ ಅಪ್ಲಿಕೇಶನ್ಗಳು ವೆಬ್ ಅಪ್ಲಿಕೇಶನ್ಗಳಿಗಿಂತ ಹೆಚ್ಚಾಗಿ ನವೀಕರಿಸಲ್ಪಡುತ್ತವೆ. ಮೂರನೇ ವ್ಯಕ್ತಿಯ ಅಪ್ಲಿಕೇಶನ್ಗಳು ನಿಮಗೆ ತಿಳಿಯದೆ ಬದಲಾಗಬಹುದು. ಕೆಲವು ಸಂಸ್ಥೆಗಳು ಸಂಭವನೀಯ ಅಪಾಯಗಳ ಮೇಲೆ ಉಳಿಯಲು ಹೆಚ್ಚಿನ ನಿಯಂತ್ರಣ ಮತ್ತು ಗೋಚರತೆಯನ್ನು ಬಯಸುತ್ತಿವೆ. ಆದಾಗ್ಯೂ, ಇದು ಯಾವಾಗಲೂ ಸಾಧಿಸಲು ಸಾಧ್ಯವಿಲ್ಲ, ಮತ್ತು ವಿಶ್ವಾಸಾರ್ಹ ಅಪ್ಲಿಕೇಶನ್ ರಕ್ಷಣೆಯು ಲಭ್ಯವಿರುವ ಸಂಪನ್ಮೂಲಗಳನ್ನು ಲೆಕ್ಕಹಾಕಲು ಮತ್ತು ದೃಶ್ಯೀಕರಿಸಲು, ಸಂಭಾವ್ಯ ಬೆದರಿಕೆಗಳನ್ನು ವಿಶ್ಲೇಷಿಸಲು ಮತ್ತು ಅಪ್ಲಿಕೇಶನ್ ಮಾರ್ಪಾಡುಗಳ ಸಂದರ್ಭದಲ್ಲಿ ಭದ್ರತಾ ನೀತಿಗಳನ್ನು ರಚಿಸಲು ಮತ್ತು ಅತ್ಯುತ್ತಮವಾಗಿಸಲು ಯಂತ್ರ ಕಲಿಕೆಯ ಶಕ್ತಿಯನ್ನು ಬಳಸಬೇಕು.
ಸಂಶೋಧನೆಗಳು
ಅಪ್ಲಿಕೇಶನ್ಗಳು ದೈನಂದಿನ ಜೀವನದಲ್ಲಿ ಹೆಚ್ಚು ಪ್ರಮುಖ ಪಾತ್ರವನ್ನು ವಹಿಸುವುದರಿಂದ, ಅವು ಹ್ಯಾಕರ್ಗಳಿಗೆ ಪ್ರಮುಖ ಗುರಿಯಾಗುತ್ತವೆ. ಅಪರಾಧಿಗಳಿಗೆ ಸಂಭಾವ್ಯ ಪ್ರತಿಫಲಗಳು ಮತ್ತು ವ್ಯವಹಾರಗಳಿಗೆ ಸಂಭವನೀಯ ನಷ್ಟಗಳು ಅಗಾಧವಾಗಿವೆ. ಅಪ್ಲಿಕೇಶನ್ಗಳು ಮತ್ತು ಬೆದರಿಕೆಗಳ ಸಂಖ್ಯೆ ಮತ್ತು ವ್ಯತ್ಯಾಸಗಳನ್ನು ನೀಡಿದ ಅಪ್ಲಿಕೇಶನ್ ಭದ್ರತಾ ಕಾರ್ಯದ ಸಂಕೀರ್ಣತೆಯನ್ನು ಅತಿಯಾಗಿ ಹೇಳಲಾಗುವುದಿಲ್ಲ.
ಅದೃಷ್ಟವಶಾತ್, ಕೃತಕ ಬುದ್ಧಿಮತ್ತೆಯು ನಮ್ಮ ಸಹಾಯಕ್ಕೆ ಬರಬಹುದಾದ ಸಮಯದಲ್ಲಿದ್ದೇವೆ. ಮೆಷಿನ್ ಲರ್ನಿಂಗ್-ಆಧಾರಿತ ಅಲ್ಗಾರಿದಮ್ಗಳು ನೈಜ-ಸಮಯದ, ಅತ್ಯಾಧುನಿಕ ಸೈಬರ್ ಬೆದರಿಕೆಗಳನ್ನು ಗುರಿಯಾಗಿಸುವ ಅಪ್ಲಿಕೇಶನ್ಗಳ ವಿರುದ್ಧ ಹೊಂದಾಣಿಕೆಯ ರಕ್ಷಣೆಯನ್ನು ಒದಗಿಸುತ್ತದೆ. ವೆಬ್, ಮೊಬೈಲ್ ಮತ್ತು ಕ್ಲೌಡ್ ಅಪ್ಲಿಕೇಶನ್ಗಳು ಮತ್ತು API ಗಳನ್ನು ಸುಳ್ಳು ಧನಾತ್ಮಕತೆಗಳಿಲ್ಲದೆ ರಕ್ಷಿಸಲು ಅವರು ಸ್ವಯಂಚಾಲಿತವಾಗಿ ಭದ್ರತಾ ನೀತಿಗಳನ್ನು ನವೀಕರಿಸುತ್ತಾರೆ.
ಮುಂದಿನ ಪೀಳಿಗೆಯ ಅಪ್ಲಿಕೇಶನ್ ಸೈಬರ್ಥ್ರೆಟ್ಗಳು (ಬಹುಶಃ ಯಂತ್ರ ಕಲಿಕೆಯನ್ನು ಆಧರಿಸಿರಬಹುದು) ಎಂಬುದನ್ನು ಖಚಿತವಾಗಿ ಊಹಿಸುವುದು ಕಷ್ಟ. ಆದರೆ ಸಂಸ್ಥೆಗಳು ಗ್ರಾಹಕರ ಡೇಟಾವನ್ನು ರಕ್ಷಿಸಲು, ಬೌದ್ಧಿಕ ಆಸ್ತಿಯನ್ನು ರಕ್ಷಿಸಲು ಮತ್ತು ಉತ್ತಮ ವ್ಯಾಪಾರ ಪ್ರಯೋಜನಗಳೊಂದಿಗೆ ಸೇವೆಯ ಲಭ್ಯತೆಯನ್ನು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳಲು ಖಂಡಿತವಾಗಿಯೂ ಕ್ರಮಗಳನ್ನು ತೆಗೆದುಕೊಳ್ಳಬಹುದು.
ಅಪ್ಲಿಕೇಶನ್ ಸುರಕ್ಷತೆಯನ್ನು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳಲು ಪರಿಣಾಮಕಾರಿ ವಿಧಾನಗಳು ಮತ್ತು ವಿಧಾನಗಳು, ದಾಳಿಗಳ ಮುಖ್ಯ ವಿಧಗಳು ಮತ್ತು ವಾಹಕಗಳು, ಅಪಾಯದ ಪ್ರದೇಶಗಳು ಮತ್ತು ವೆಬ್ ಅಪ್ಲಿಕೇಶನ್ಗಳ ಸೈಬರ್ ರಕ್ಷಣೆಯಲ್ಲಿನ ಅಂತರಗಳು, ಹಾಗೆಯೇ ಜಾಗತಿಕ ಅನುಭವ ಮತ್ತು ಉತ್ತಮ ಅಭ್ಯಾಸಗಳನ್ನು ರಾಡ್ವೇರ್ ಅಧ್ಯಯನ ಮತ್ತು ವರದಿಯಲ್ಲಿ ಪ್ರಸ್ತುತಪಡಿಸಲಾಗಿದೆ.".
ಮೂಲ: www.habr.com