🥇최신 애플리케이션 보호 시스템(WAF)의 기능은 OWASP 상위 10개 | 취약점 목록보다 훨씬 더 광범위해야 합니다. 프로호스터

회고전

애플리케이션에 대한 사이버 위협의 규모, 구성 및 구성은 빠르게 진화하고 있습니다. 수년 동안 사용자는 널리 사용되는 웹 브라우저를 사용하여 인터넷을 통해 웹 애플리케이션에 액세스해 왔습니다. 언제든지 2~5개의 웹 브라우저를 지원해야 했고, 웹 애플리케이션을 개발하고 테스트하기 위한 표준 세트는 상당히 제한적이었습니다. 예를 들어 거의 모든 데이터베이스는 SQL을 사용하여 구축되었습니다. 불행하게도 잠시 후 해커들은 웹 애플리케이션을 사용하여 데이터를 훔치거나 삭제하거나 변경하는 방법을 배웠습니다. 그들은 애플리케이션 사용자를 속이는 것, 주입, 원격 코드 실행 등 다양한 기술을 사용하여 불법적으로 애플리케이션에 접근하고 이를 남용했습니다. 곧 WAF(웹 애플리케이션 방화벽)라는 상용 웹 애플리케이션 보안 도구가 시장에 등장했고, 커뮤니티는 개발 표준과 방법론을 정의하고 유지하기 위해 개방형 웹 애플리케이션 보안 프로젝트인 OWASP(개방형 웹 애플리케이션 보안 프로젝트)를 만들어 이에 대응했습니다. .보안 애플리케이션.

기본 애플리케이션 보호

OWASP 상위 10개 목록 애플리케이션 보안을 위한 출발점이며 애플리케이션 취약성을 초래할 수 있는 가장 위험한 위협과 잘못된 구성 목록은 물론 공격을 탐지하고 물리치기 위한 전술도 포함되어 있습니다. OWASP Top 10은 전 세계 애플리케이션 사이버 보안 업계에서 인정받는 벤치마크이며 웹 애플리케이션 보안(WAF) 시스템이 갖춰야 할 핵심 기능 목록을 정의합니다.

또한 WAF 기능은 CSRF(교차 사이트 요청 위조), 클릭재킹, 웹 스크래핑, 파일 포함(RFI/LFI) 등 웹 애플리케이션에 대한 기타 일반적인 공격을 고려해야 합니다.

작업 #1: 봇 관리

인터넷 트래픽의 60% 이상이 봇에 의해 생성되며, 그 중 절반은 "불량" 트래픽입니다. Radware 보안 보고서). 조직은 네트워크 용량을 늘리는 데 투자하여 본질적으로 가상의 부하를 처리합니다. 실제 사용자 트래픽과 봇 트래픽, 그리고 "좋은" 봇(예: 검색 로봇 및 가격 비교 서비스)과 "나쁜" 봇을 정확하게 구별하면 상당한 비용 절감과 사용자 서비스 품질 향상을 가져올 수 있습니다.

봇은 이 작업을 쉽게 만들지 않으며 실제 사용자의 행동을 모방하고 CAPTCHA 및 기타 장애물을 우회할 수 있습니다. 또한, 동적 IP 주소를 이용한 공격의 경우에는 IP 주소 필터링을 통한 보호가 효과적이지 않습니다. 클라이언트 측 JavaScript를 처리할 수 있는 오픈 소스 개발 도구(예: Phantom JS)는 무차별 대입 공격, 크리덴셜 스터핑 공격, DDoS 공격 및 자동화된 봇 공격을 시작하는 데 사용되는 경우가 많습니다.

봇 트래픽을 효과적으로 관리하려면 해당 소스에 대한 고유한 식별(예: 지문)이 필요합니다. 봇 공격은 여러 기록을 생성하므로 지문을 통해 의심스러운 활동을 식별하고 점수를 할당할 수 있으며, 이를 기반으로 애플리케이션 보호 시스템은 최소한의 오탐률로 정보에 근거한 결정(차단/허용)을 내립니다.

과제 #2: API 보호

많은 애플리케이션은 API를 통해 상호 작용하는 서비스로부터 정보와 데이터를 수집합니다. API를 통해 민감한 데이터를 전송할 때 조직의 50% 이상이 사이버 공격을 탐지하기 위해 API를 검증하거나 보호하지 않습니다.

API 사용 예:

사물인터넷(IoT) 통합
기계 간 통신
서버리스 환경
모바일 애플 리케이션
이벤트 기반 애플리케이션

API 취약점은 애플리케이션 취약점과 유사하며 주입, 프로토콜 공격, 매개변수 조작, 리디렉션 및 봇 공격을 포함합니다. 전용 API 게이트웨이는 API를 통해 상호 작용하는 애플리케이션 서비스 간의 호환성을 보장하는 데 도움이 됩니다. 그러나 HTTP 헤더 구문 분석, 레이어 7 액세스 제어 목록(ACL), JSON/XML 페이로드 구문 분석 및 검사, 모든 취약점에 대한 보호와 같은 필수 보안 도구를 갖춘 WAF처럼 엔드투엔드 애플리케이션 보안을 제공하지 않습니다. OWASP 상위 10개 목록 이는 포지티브 및 네거티브 모델을 사용하여 주요 API 값을 검사하여 달성됩니다.

과제 #3: 서비스 거부

오래된 공격 벡터인 서비스 거부(DoS)는 애플리케이션 공격에서 그 효율성이 계속해서 입증되고 있습니다. 공격자는 HTTP 또는 HTTPS 플러드, 느리고 느린 공격(예: SlowLoris, LOIC, Torshammer), 동적 IP 주소를 사용한 공격, 버퍼 오버플로, 무차별 대입 공격 등을 포함하여 애플리케이션 서비스를 방해하는 다양한 성공적인 기술을 보유하고 있습니다. . 사물 인터넷의 발전과 그에 따른 IoT 봇넷의 출현으로 애플리케이션에 대한 공격이 DDoS 공격의 주요 초점이 되었습니다. 대부분의 상태 저장 WAF는 제한된 양의 로드만 처리할 수 있습니다. 그러나 HTTP/S 트래픽 흐름을 검사하고 공격 트래픽과 악성 연결을 제거할 수 있습니다. 공격이 식별되면 이 트래픽을 다시 전달할 필요가 없습니다. WAF의 공격 대응 능력은 제한되어 있으므로 다음 "불량" 패킷을 자동으로 차단하려면 네트워크 경계에 추가 솔루션이 필요합니다. 이 보안 시나리오의 경우 두 솔루션 모두 서로 통신하여 공격에 대한 정보를 교환할 수 있어야 합니다.

그림 1. Radware 솔루션 사례를 활용한 포괄적인 네트워크 및 애플리케이션 보호 구성

과제 #4: 지속적인 보호

응용 프로그램은 자주 변경됩니다. 롤링 업데이트와 같은 개발 및 구현 방법은 사람의 개입이나 통제 없이 수정이 발생함을 의미합니다. 이러한 동적 환경에서는 많은 수의 오탐 없이 보안 정책이 제대로 작동하도록 유지하기가 어렵습니다. 모바일 애플리케이션은 웹 애플리케이션보다 훨씬 더 자주 업데이트됩니다. 타사 응용 프로그램은 귀하가 모르는 사이에 변경될 수 있습니다. 일부 조직에서는 잠재적인 위험을 파악하기 위해 더 큰 통제력과 가시성을 추구하고 있습니다. 그러나 이것이 항상 달성 가능한 것은 아니며 안정적인 애플리케이션 보호는 기계 학습의 힘을 사용하여 사용 가능한 리소스를 설명 및 시각화하고 잠재적 위협을 분석하며 애플리케이션 수정 시 보안 정책을 생성 및 최적화해야 합니다.

조사 결과

앱이 일상 생활에서 점점 더 중요한 역할을 하게 되면서 해커의 주요 표적이 되었습니다. 범죄자의 잠재적 보상과 기업의 잠재적 손실은 엄청납니다. 애플리케이션과 위협의 수와 변형을 고려할 때 애플리케이션 보안 작업의 복잡성은 아무리 강조해도 지나치지 않습니다.

다행스럽게도 우리는 인공지능이 우리를 도울 수 있는 시점에 와 있습니다. 머신 러닝 기반 알고리즘은 애플리케이션을 표적으로 삼는 최첨단 사이버 위협에 대해 실시간 적응형 보호 기능을 제공합니다. 또한 보안 정책을 자동으로 업데이트하여 오탐 없이 웹, 모바일, 클라우드 애플리케이션과 API를 보호합니다.

차세대 애플리케이션 사이버 위협(아마도 기계 학습 기반)이 무엇인지 확실하게 예측하는 것은 어렵습니다. 그러나 조직은 확실히 고객 데이터를 보호하고, 지적 재산을 보호하고, 뛰어난 비즈니스 이점과 함께 서비스 가용성을 보장하기 위한 조치를 취할 수 있습니다.

Radware 연구 및 보고서에는 애플리케이션 보안을 보장하기 위한 효과적인 접근 방식과 방법, 공격의 주요 유형 및 벡터, 웹 애플리케이션 사이버 보호의 위험 영역 및 격차, 글로벌 경험 및 모범 사례가 나와 있습니다.디지털로 연결된 세상의 웹 애플리케이션 보안".

출처 : habr.com

최신 애플리케이션 보안 시스템(WAF)의 기능은 OWASP 상위 10개 취약점 목록보다 훨씬 광범위해야 합니다.

회고전