ретроспективдүү
Колдонмолорго кибер коркунучтардын масштабы, курамы жана курамы тездик менен өнүгүп жатат. Көптөгөн жылдар бою колдонуучулар популярдуу веб-браузерлердин жардамы менен интернет аркылуу веб-тиркемелерди колдонушкан. Каалаган убакта 2-5 веб-браузерди колдоо зарыл болгон жана веб-тиркемелерди иштеп чыгуу жана тестирлөө үчүн стандарттардын жыйындысы кыйла чектелген. Мисалы, дээрлик бардык маалымат базалары SQL аркылуу курулган. Тилекке каршы, бир аз убакыт өткөндөн кийин, хакерлер маалыматтарды уурдоо, жок кылуу же өзгөртүү үчүн веб-тиркемелерди колдонууну үйрөнүштү. Алар ар кандай ыкмаларды, анын ичинде тиркемени колдонуучуларды алдоо, инъекциялоо жана кодду алыстан аткарууну колдонуу менен мыйзамсыз кирүү мүмкүнчүлүгүнө ээ болушкан жана колдонмонун мүмкүнчүлүктөрүн кыянаттык менен пайдаланышкан. Көп өтпөй, Web Application Firewalls (WAFs) деп аталган коммерциялык веб-тиркемелердин коопсуздук куралдары рынокко чыкты жана коомчулук иштеп чыгуу стандарттарын жана методологияларын аныктоо жана колдоо үчүн ачык веб-тиркеме коопсуздук долбоорун, Open Web Application Security Project (OWASP) түзүү менен жооп берди. коопсуз колдонмолор.
Негизги колдонмо коргоо
тиркемелерди коргоо үчүн баштапкы чекит болуп саналат жана колдонмонун чабалдыгына алып келиши мүмкүн болгон эң коркунучтуу коркунучтардын жана туура эмес конфигурациялардын тизмесин, ошондой эле чабуулдарды аныктоо жана жеңүү тактикасын камтыйт. OWASP Топ 10 дүйнө жүзү боюнча колдонмо киберкоопсуздук индустриясында таанылган эталон болуп саналат жана веб-тиркемелердин коопсуздугу (WAF) тутуму ээ болушу керек болгон мүмкүнчүлүктөрдүн негизги тизмесин аныктайт.
Мындан тышкары, WAF функционалдуулугу веб-тиркемелерге башка кеңири таралган чабуулдарды, анын ичинде сайттар аралык өтүнүчтөрдү жасалмалоону (CSRF), чыкылдатууну, веб кыргычты жана файлды кошууну (RFI/LFI) эске алышы керек.
Заманбап колдонмолордун коопсуздугун камсыз кылуу үчүн коркунучтар жана чакырыктар
Бүгүнкү күндө бардык тиркемелер тармактык версияда ишке ашырылбайт. Булут колдонмолору, мобилдик тиркемелер, API'лер жана акыркы архитектураларда, жада калса жекече программалык камсыздоо функциялары бар. Тиркемелердин бул түрлөрүнүн бардыгы биздин маалыматтарыбызды түзүп, өзгөртүп жана иштетип жатканда синхрондоштуруу жана көзөмөлдөө керек. Жаңы технологиялардын жана парадигмалардын пайда болушу менен колдонмонун жашоо циклинин бардык этаптарында жаңы татаалдыктар жана кыйынчылыктар пайда болот. Бул иштеп чыгуу жана операцияларды интеграциялоо (DevOps), контейнерлер, нерселердин Интернети (IoT), ачык булак куралдары, API'лер жана башкалар.
Тиркемелерди жайылтуу жана технологиялардын көп түрдүүлүгү маалымат коопсуздугу боюнча адистер үчүн гана эмес, ошондой эле бирдиктүү ыкмага таяна албаган коопсуздук чечимдерин сатуучулар үчүн да татаал жана татаал кыйынчылыктарды жаратат. Колдонмонун коопсуздук чаралары жалган позитивдерди жана колдонуучулар үчүн кызматтардын сапатынын бузулушун алдын алуу үчүн алардын бизнес өзгөчөлүктөрүн эске алышы керек.
Хакерлердин түпкү максаты адатта маалыматтарды уурдоо же кызматтардын жеткиликтүүлүгүн үзгүлтүккө учуратуу болуп саналат. Чабуулчулар технологиялык эволюциядан да пайда алышат. Биринчиден, жаңы технологияларды өнүктүрүү көбүрөөк потенциалдуу боштуктарды жана аялууларды жаратат. Экинчиден, алардын арсеналында салттуу коопсуздук чараларын айланып өтүү үчүн көбүрөөк куралдар жана билим бар. Бул "чабуул бети" деп аталган нерсени жана уюмдардын жаңы тобокелдиктерге дуушар болушун бир топ жогорулатат. Коопсуздук саясаты технологиядагы жана тиркемелердеги өзгөрүүлөргө жооп катары дайыма өзгөрүп турушу керек.
Ошентип, тиркемелер ар түрдүү чабуул ыкмаларынан жана булактарынан корголушу керек жана автоматташтырылган чабуулдарга реалдуу убакыт режиминде негизделген чечимдердин негизинде каршы туруу керек. Натыйжада транзакцияга кеткен чыгымдардын жана кол эмгегинин көбөйүшү, коопсуздуктун начарлашы.
Милдет №1: Ботторду башкаруу
Интернет-трафиктин 60%дан ашыгы боттор тарабынан түзүлөт, анын жарымы "жаман" трафик (боюнча ). Уюмдар негизинен ойдон чыгарылган жүктү тейлеп, тармактын кубаттуулугун жогорулатууга каражат жумшашат. Чыныгы колдонуучу трафиги менен бот трафигинин, ошондой эле “жакшы” боттордун (мисалы, издөө системалары жана бааларды салыштыруу кызматтары) жана “жаман” боттордун ортосунда так айырмалоо олуттуу чыгымдарды үнөмдөөгө жана колдонуучулар үчүн тейлөөнүн сапатын жакшыртууга алып келет.
Боттор бул ишти оңой кылбайт жана алар чыныгы колдонуучулардын жүрүм-турумун туурап, CAPTCHA жана башка тоскоолдуктарды айланып өтүшөт. Мындан тышкары, динамикалык IP даректерди колдонуу менен чабуулдар болгон учурда, IP даректи чыпкалоого негизделген коргоо натыйжасыз болуп калат. Көбүнчө, ачык булак иштеп чыгуу куралдары (мисалы, Phantom JS) кардар тарабында JavaScript иштете ала турган катаал чабуулдарды, эсептик маалыматтарды толтуруу чабуулдарын, DDoS чабуулдарын жана автоматташтырылган бот чабуулдарын ишке ашыруу үчүн колдонулат. .
Бот трафигин натыйжалуу башкаруу үчүн анын булагын уникалдуу идентификациялоо (манжа изи сыяктуу) талап кылынат. Бот чабуулу бир нече жазууларды жараткандыктан, анын манжа изи ага шектүү аракетти аныктоого жана упайларды дайындоого мүмкүндүк берет, анын негизинде тиркемени коргоо системасы негизделген чечимди кабыл алат - блоктоо/уруксат берүү - жалган позитивдердин минималдуу көрсөткүчү.
Кыйынчылык №2: API коргоо
Көптөгөн колдонмолор API аркылуу өз ара аракеттенген кызматтардан маалымат жана маалыматтарды чогултат. API аркылуу купуя маалыматтарды өткөрүп жатканда, уюмдардын 50% дан ашыгы киберчабуулдарды аныктоо үчүн API'лерди текшеришпейт жана коопсуздандырбайт.
API колдонуу мисалдары:
- Буюмдардын Интернети (IoT) интеграциясы
- Машинадан машинага байланыш
- Серверсиз чөйрөлөр
- Мобилдик колдонмолор
- Окуяга негизделген колдонмолор
API алсыздыктары тиркемелердин алсыздыктарына окшош жана инъекцияларды, протоколдук чабуулдарды, параметрлерди манипуляциялоону, багыттоолорду жана бот чабуулдарын камтыйт. Арналган API шлюздары API аркылуу өз ара аракеттенген колдонмо кызматтарынын ортосундагы шайкештикти камсыз кылууга жардам берет. Бирок, алар HTTP аталышын талдоо, Layer 7 мүмкүндүктү башкаруу тизмеси (ACL), JSON/XML пайдалуу жүгүн талдоо жана текшерүү, ошондой эле WAF сыяктуу негизги коопсуздук куралдары менен тиркемелердин коопсуздугун камсыз кылбайт. OWASP Топ 10 тизмеси. Бул оң жана терс моделдерди колдонуу менен негизги API маанилерин текшерүү аркылуу жетишилет.
Кыйынчылык №3: Кызмат көрсөтүүдөн баш тартуу
Эски чабуул вектору, кызмат көрсөтүүдөн баш тартуу (DoS), тиркемелерге кол салууда өзүнүн натыйжалуулугун далилдеп келет. Чабуулчуларда HTTP же HTTPS суу ташкындары, төмөн жана жай чабуулдар (мисалы, SlowLoris, LOIC, Torshammer), динамикалык IP даректерди колдонуу менен чабуулдар, буфердик толуп кетүү, катаал күч -чабуулдар жана башка көптөгөн нерселер кирет. . Нерселер интернетинин өнүгүшү жана андан кийин IoT ботнеттеринин пайда болушу менен тиркемелерге кол салуу DDoS чабуулдарынын негизги багыты болуп калды. Көпчүлүк штаттык WAFлар жүктүн чектелген көлөмүн гана көтөрө алат. Бирок, алар HTTP/S трафик агымдарын текшерип, чабуул трафигин жана зыяндуу байланыштарды жок кыла алышат. Кол салуу аныкталгандан кийин, бул трафикти кайра өткөрүүнүн эч кандай пайдасы жок. WAFтин чабуулдарды кайтаруу мүмкүнчүлүгү чектелгендиктен, кийинки "жаман" пакеттерди автоматтык түрдө бөгөттөө үчүн тармактын периметринде кошумча чечим керек. Бул коопсуздук сценарийи үчүн эки чечим тең кол салуулар тууралуу маалымат алмашуу үчүн бири-бири менен байланыша алышы керек.
Fig 1. Radware чечимдеринин мисалында тармакты жана тиркемелерди комплекстүү коргоону уюштуруу
Кыйынчылык №4: Үзгүлтүксүз коргоо
Тиркемелер тез-тез өзгөрүп турат. Толук жаңыртуулар сыяктуу иштеп чыгуу жана ишке ашыруу методологиялары, өзгөртүүлөр адамдын кийлигишүүсүз же көзөмөлсүз ишке ашат дегенди билдирет. Мындай динамикалык чөйрөлөрдө, көп сандагы жалган позитивтерсиз адекваттуу иштеген коопсуздук саясатын сактоо кыйын. Мобилдик тиркемелер веб-тиркемелерге караганда алда канча тез жаңыртылып турат. Үчүнчү тараптын колдонмолору сизге билгизбей өзгөрүшү мүмкүн. Кээ бир уюмдар мүмкүн болуучу тобокелдиктерди алдын алуу үчүн көбүрөөк көзөмөлгө жана көрүнүүгө умтулушат. Бирок, бул дайыма эле мүмкүн боло бербейт жана тиркемени ишенимдүү коргоо колдо болгон ресурстарды эсепке алуу жана визуалдаштыруу, потенциалдуу коркунучтарды талдоо жана колдонмонун модификациялары болгон учурда коопсуздук саясатын түзүү жана оптималдаштыруу үчүн машинаны үйрөнүүнүн күчүн колдонушу керек.
табылгалары
Колдонмолор күнүмдүк жашоодо барган сайын маанилүү роль ойногондуктан, алар хакерлердин негизги бутасына айланат. Кылмышкерлер үчүн мүмкүн болуучу сыйлыктар жана бизнес үчүн мүмкүн болуучу жоготуулар абдан чоң. Колдонмонун коопсуздук тапшырмасынын татаалдыгын тиркемелердин жана коркунучтардын санын жана вариацияларын эске алуу менен баалоого болбойт.
Бактыга жараша, биз жасалма интеллект жардамга келе турган мезгилде турабыз. Машина үйрөнүүсүнө негизделген алгоритмдер тиркемелерге багытталган эң өнүккөн киберкоркунучтарга каршы реалдуу убакыт режиминде адаптивдик коргоону камсыз кылат. Ошондой эле алар веб, мобилдик жана булут тиркемелерин жана API'лерди жалган позитивсиз коргоо үчүн коопсуздук саясаттарын автоматтык түрдө жаңыртышат.
Колдонмо киберкоркунучтарынын кийинки мууну кандай болорун так айтуу кыйын (мүмкүн ошондой эле машиналык үйрөнүүгө негизделген). Бирок уюмдар кардарлардын маалыматтарын коргоо, интеллектуалдык менчикти коргоо жана чоң бизнес пайдалары менен кызматтын жеткиликтүүлүгүн камсыз кылуу боюнча чараларды көрө алышат.
Тиркемелердин коопсуздугун камсыз кылуунун эффективдүү ыкмалары жана ыкмалары, чабуулдардын негизги түрлөрү жана векторлору, тобокелдик аймактары жана веб-тиркемелерди кибер коргоодогу боштуктар, ошондой эле дүйнөлүк тажрыйба жана мыкты тажрыйбалар Radware изилдөөсүндө жана отчетунда берилген.«.
Source: www.habr.com