Tīmekļa lietojumprogrammu ugunsmūra attīstība: no ugunsmūriem līdz mākonī balstītām aizsardzības sistēmām ar mašīnmācīšanos

Mūsu iepriekšējā materiālā par mākoņu tēmām mēs stāstīja, kā aizsargāt IT resursus publiskajā mākonī un kāpēc tradicionālie antivīrusi šiem mērķiem nav pilnībā piemēroti. Šajā ierakstā mēs turpināsim tēmu par mākoņa drošību un runāsim par WAF evolūciju un to, ko labāk izvēlēties: aparatūru, programmatūru vai mākonis. 

Kas ir WAF

Vairāk nekā 75% hakeru uzbrukumu ir vērsti pret tīmekļa lietojumprogrammu un vietņu ievainojamību: šādi uzbrukumi informācijas drošības infrastruktūrai un informācijas drošības dienestiem parasti ir neredzami. Tīmekļa lietojumprogrammu ievainojamības savukārt rada apdraudējumu un lietotāju kontu un personas datu, paroļu un kredītkaršu numuru krāpšanas risku. Turklāt vietnes ievainojamības kalpo kā ieejas punkts uzbrucējiem korporatīvajā tīklā.

Tīmekļa lietojumprogrammu ugunsmūris (WAF) ir aizsargekrāns, kas bloķē uzbrukumus tīmekļa lietojumprogrammām: SQL ievadīšanu, starpvietņu skriptēšanu, attālu koda izpildi, brutālu spēku un autorizācijas apiešanu. Tostarp uzbrukumi, kas izmanto nulles dienas ievainojamības. Lietojumprogrammu ugunsmūri nodrošina aizsardzību, uzraugot tīmekļa lapu saturu, tostarp HTML, DHTML un CSS, un filtrējot potenciāli ļaunprātīgus HTTP/HTTPS pieprasījumus.

Kādi bija pirmie lēmumi?

Pirmie mēģinājumi izveidot tīmekļa lietojumprogrammu ugunsmūri tika veikti 90. gadu sākumā. Zināms, ka šajā jomā strādājuši vismaz trīs inženieri. Pirmais ir datorzinātņu profesors Džīns Spafords no Purdjū universitātes. Viņš aprakstīja starpniekservera lietojumprogrammu ugunsmūra arhitektūru un publicēja to 1991. gadā grāmatā "UNIX drošība praksē".

Otrais un trešais bija informācijas drošības speciālisti Viljams Česviks un Markuss Ranums no Bell Labs. Viņi izstrādāja vienu no pirmajiem lietojumprogrammu ugunsmūra prototipiem. To izplatīja DEC – produkts tika izlaists ar nosaukumu SEAL (Secure External Access Link).

Taču SEAL nebija pilnvērtīgs WAF risinājums. Tas bija klasisks tīkla ugunsmūris ar uzlabotu funkcionalitāti – iespēju bloķēt uzbrukumus FTP un RSH. Šī iemesla dēļ pirmais WAF risinājums mūsdienās tiek uzskatīts par Perfecto Technologies (vēlāk Sanctum) produktu. 1999. gadā viņa uzrādīts AppShield sistēma. Tolaik Perfecto Technologies izstrādāja informācijas drošības risinājumus e-komercijai, un interneta veikali kļuva par viņu jaunā produkta mērķauditoriju. AppShield spēja analizēt HTTP pieprasījumus un bloķētus uzbrukumus, pamatojoties uz dinamiskām informācijas drošības politikām.

Aptuveni tajā pašā laikā, kad AppShield (2002. gadā), parādījās pirmais atvērtā pirmkoda WAF. Viņš kļuva ModSecurity. Tas tika izveidots ar mērķi popularizēt WAF tehnoloģijas, un to joprojām atbalsta IT kopiena (šeit tas ir krātuve vietnē GitHub). ModSecurity bloķē uzbrukumus lietojumprogrammām, pamatojoties uz standarta regulāro izteiksmju (parakstu) kopu - rīki pieprasījumu pārbaudei, pamatojoties uz modeļiem - OWASP pamatnoteikumu komplekts.

Rezultātā izstrādātājiem izdevās sasniegt savu mērķi – tirgū sāka parādīties jauni WAF risinājumi, tostarp tie, kas veidoti uz ModSecurity bāzes.

Trīs paaudzes jau ir vēsture

Ir pieņemts izšķirt trīs WAF sistēmu paaudzes, kas attīstījušās līdz ar tehnoloģiju attīstību.

Pirmā paaudze. Darbojas ar regulārām izteiksmēm (vai gramatikām). Tas ietver ModSecurity. Sistēmas nodrošinātājs pēta uzbrukumu veidus lietojumprogrammām un ģenerē modeļus, kas apraksta likumīgus un potenciāli ļaunprātīgus pieprasījumus. WAF pārbauda šos sarakstus un izlemj, kā rīkoties konkrētajā situācijā – bloķēt satiksmi vai nē.

Atklāšanas piemērs, pamatojoties uz regulārām izteiksmēm, ir jau minētais projekts Pamatnoteikumu komplekts atvērtais avots. Vēl viens piemērs - Naxsi, kas arī ir atvērtais avots. Sistēmām ar regulārām izteiksmēm ir vairāki trūkumi, jo īpaši, atklājot jaunu ievainojamību, administratoram ir manuāli jāizveido papildu noteikumi. Liela mēroga IT infrastruktūras gadījumā var būt vairāki tūkstoši noteikumu. Tik daudz regulāro izteiksmju pārvaldība ir diezgan sarežģīta, nemaz nerunājot par to, ka to pārbaude var samazināt tīkla veiktspēju.

Regulārām izteiksmēm ir arī diezgan augsts viltus pozitīvu rezultātu rādītājs. Slavenais valodnieks Noams Čomskis ierosināja gramatiku klasifikāciju, kurā viņš tās sadalīja četros nosacītos sarežģītības līmeņos. Saskaņā ar šo klasifikāciju regulārās izteiksmes var aprakstīt tikai ugunsmūra noteikumus, kas neietver novirzes no modeļa. Tas nozīmē, ka uzbrucēji var viegli "apmānīt" pirmās paaudzes WAF. Viena no metodēm, kā to apkarot, ir lietojumprogrammu pieprasījumiem pievienot īpašas rakstzīmes, kas neietekmē ļaunprātīgo datu loģiku, bet pārkāpj paraksta noteikumu.

Otrā paaudze. Lai apietu WAF veiktspējas un precizitātes problēmas, tika izstrādāti otrās paaudzes lietojumprogrammu ugunsmūri. Tagad tiem ir parsētāji, kas ir atbildīgi par stingri noteiktu uzbrukumu veidu identificēšanu (HTML, JS utt.). Šie parsētāji darbojas ar īpašiem marķieriem, kas apraksta vaicājumus (piemēram, mainīgais, virkne, nezināmais, skaitlis). Potenciāli ļaunprātīgas marķieru secības tiek ievietotas atsevišķā sarakstā, kuru WAF sistēma regulāri pārbauda. Šī pieeja pirmo reizi tika parādīta Black Hat 2012 konferencē C/C++ formātā libinjekcijas bibliotēkas, kas ļauj noteikt SQL injekcijas.

Salīdzinot ar pirmās paaudzes WAF, specializētie parsētāji var būt ātrāki. Tomēr tie neatrisināja grūtības, kas saistītas ar manuālu sistēmas konfigurēšanu, kad parādās jauni ļaunprātīgi uzbrukumi.

Trešā paaudze. Trešās paaudzes noteikšanas loģikas attīstība sastāv no mašīnmācīšanās metožu izmantošanas, kas ļauj tuvināt noteikšanas gramatiku pēc iespējas tuvāk aizsargāto sistēmu reālajai SQL/HTML/JS gramatikai. Šī noteikšanas loģika spēj pielāgot Tjūringa mašīnu, lai aptvertu rekursīvi uzskaitāmas gramatikas. Turklāt iepriekš adaptējamas Tjūringa mašīnas izveides uzdevums bija neatrisināms, līdz tika publicēti pirmie neironu Tjūringa mašīnu pētījumi.

Mašīnmācība nodrošina unikālu iespēju pielāgot jebkuru gramatiku, lai aptvertu jebkura veida uzbrukumus, manuāli neveidojot parakstu sarakstus, kas nepieciešami pirmās paaudzes noteikšanai, un neizstrādājot jaunus marķierus/parsētājus jauniem uzbrukuma veidiem, piemēram, Memcached, Redis, Cassandra, SSRF injekcijām. , kā to prasa otrās paaudzes metodoloģija.

Apvienojot visas trīs noteikšanas loģikas paaudzes, mēs varam uzzīmēt jaunu diagrammu, kurā trešās paaudzes noteikšana ir attēlota ar sarkanu kontūru (3. attēls). Šī paaudze ietver vienu no risinājumiem, ko mēs ieviešam mākonī kopā ar Onsek, tīmekļa lietojumprogrammu adaptīvās aizsardzības platformas un Wallarm API izstrādātāju.

Atklāšanas loģika tagad izmanto atgriezenisko saiti no lietojumprogrammas, lai sevi noregulētu. Mašīnmācībā šo atgriezenisko saiti sauc par “pastiprināšanu”. Parasti ir viens vai vairāki šāda pastiprinājuma veidi:

• Lietojumprogrammas reakcijas uzvedības analīze (pasīva)
• Skenēt/izplūdinātājs (aktīvs)
• Ziņošana par failiem/pārtvērēja procedūrām/slazdiem (pēc fakta)
• Rokasgrāmata (noteicis vadītājs)

Rezultātā trešās paaudzes noteikšanas loģika pievēršas arī svarīgajam precizitātes jautājumam. Tagad ir iespējams ne tikai izvairīties no viltus pozitīviem un viltus negatīviem, bet arī noteikt derīgus patiesus negatīvus, piemēram, SQL komandas elementu lietojuma noteikšanu vadības panelī, tīmekļa lapas veidņu ielādi, AJAX pieprasījumus, kas saistīti ar JavaScript kļūdām un citus.

Tālāk apskatīsim dažādu WAF ieviešanas iespēju tehnoloģiskās iespējas.

Aparatūra, programmatūra vai mākonis — ko izvēlēties?

Viena no lietojumprogrammu ugunsmūru ieviešanas iespējām ir aparatūras risinājums. Šādas sistēmas ir specializētas skaitļošanas ierīces, kuras uzņēmums instalē lokāli savā datu centrā. Bet šajā gadījumā jums ir jāiegādājas savs aprīkojums un jāmaksā nauda integratoriem par tā iestatīšanu un atkļūdošanu (ja uzņēmumam nav sava IT nodaļas). Tajā pašā laikā jebkura iekārta kļūst novecojusi un kļūst nelietojama, tāpēc klienti ir spiesti ieplānot budžetu aparatūras jauninājumiem.

Vēl viena WAF izvietošanas iespēja ir programmatūras ieviešana. Risinājums tiek instalēts kā papildinājums kādai programmatūrai (piemēram, ModSecurity ir konfigurēts Apache augšpusē) un darbojas tajā pašā serverī, kurā ir tas. Parasti šādus risinājumus var izvietot gan fiziskajā serverī, gan mākonī. To trūkums ir ierobežota mērogojamība un pārdevēja atbalsts.

Trešā iespēja ir WAF iestatīšana no mākoņa. Šādus risinājumus mākoņpakalpojumu sniedzēji nodrošina kā abonēšanas pakalpojumu. Uzņēmumam nav jāiegādājas un jākonfigurē specializēta aparatūra, šie uzdevumi gulstas uz pakalpojumu sniedzēja pleciem. Svarīgi ir tas, ka mūsdienu mākoņa WAF nenozīmē resursu migrāciju uz pakalpojumu sniedzēja platformu. Vietni var izvietot jebkur, pat uz vietas.

Mēs sīkāk paskaidrosim, kāpēc cilvēki tagad arvien vairāk meklē mākoņa WAF.

Ko WAF var darīt mākonī

Runājot par tehnoloģiskajām iespējām:

• Pakalpojumu sniedzējs ir atbildīgs par atjauninājumiem. WAF tiek nodrošināts ar abonementu, tāpēc pakalpojumu sniedzējs uzrauga atjauninājumu un licenču atbilstību. Atjauninājumi attiecas ne tikai uz programmatūru, bet arī uz aparatūru. Pakalpojumu sniedzējs atjaunina serveru parku un uztur to. Tas ir arī atbildīgs par slodzes līdzsvarošanu un atlaišanu. Ja WAF serveris neizdodas, trafiks nekavējoties tiek novirzīts uz citu iekārtu. Racionāla trafika sadale ļauj izvairīties no situācijām, kad ugunsmūris pāriet fail open režīmā – tas netiek galā ar slodzi un pārtrauc pieprasījumu filtrēšanu.
• Virtuālā ielāpēšana. Virtuālie ielāpi ierobežo piekļuvi apdraudētajām lietojumprogrammas daļām, līdz izstrādātājs aizver ievainojamību. Rezultātā mākoņpakalpojumu sniedzēja klients iegūst iespēju mierīgi gaidīt, kamēr šīs vai citas programmatūras piegādātājs publicēs oficiālus “ielāpus”. Programmatūras piegādātāja prioritāte ir to izdarīt pēc iespējas ātrāk. Piemēram, Wallarm platformā par virtuālo ielāpu ir atbildīgs atsevišķs programmatūras modulis. Administrators var pievienot pielāgotas regulārās izteiksmes, lai bloķētu ļaunprātīgus pieprasījumus. Sistēma dod iespēju dažus pieprasījumus atzīmēt ar karogu “Konfidenciāli dati”. Pēc tam to parametri tiek maskēti un nekādā gadījumā netiek pārraidīti ārpus ugunsmūra darba zonas.
• Iebūvēts perimetra un ievainojamības skeneris. Tas ļauj neatkarīgi noteikt IT infrastruktūras tīkla robežas, izmantojot datus no DNS vaicājumiem un WHOIS protokolu. Pēc tam WAF automātiski analizē pakalpojumus, kas darbojas perimetrā (veic portu skenēšanu). Ugunsmūris spēj atklāt visus izplatītākos ievainojamību veidus – SQLi, XSS, XXE u.c. – un identificēt kļūdas programmatūras konfigurācijā, piemēram, nesankcionētu piekļuvi Git un BitBucket krātuvēm un anonīmus zvanus uz Elasticsearch, Redis, MongoDB.
• Uzbrukumus uzrauga mākoņa resursi. Parasti mākoņa pakalpojumu sniedzējiem ir liela skaitļošanas jauda. Tas ļauj analizēt draudus ar augstu precizitāti un ātrumu. Mākonī ir izvietots filtru mezglu kopums, caur kuru iet visa satiksme. Šie mezgli bloķē uzbrukumus tīmekļa lietojumprogrammām un nosūta statistiku uz Analytics centru. Tas izmanto mašīnmācīšanās algoritmus, lai atjauninātu bloķēšanas noteikumus visām aizsargātajām lietojumprogrammām. Šādas shēmas ieviešana ir parādīta attēlā. 4. Šādi pielāgoti drošības noteikumi samazina viltus ugunsmūra trauksmju skaitu.

Tagad nedaudz par mākoņa WAF funkcijām organizatorisku jautājumu un pārvaldības ziņā:

• Pāreja uz OpEx. Mākoņa WAF gadījumā ieviešanas izmaksas būs nulle, jo pakalpojumu sniedzējs jau ir samaksājis par visu aparatūru un licencēm; samaksa par pakalpojumu tiek veikta abonējot.
• Dažādi tarifu plāni. Mākoņpakalpojuma lietotājs var ātri iespējot vai atspējot papildu opcijas. Funkcijas tiek pārvaldītas no viena vadības paneļa, kas arī ir drošs. Tam var piekļūt, izmantojot HTTPS, kā arī ir divu faktoru autentifikācijas mehānisms, kura pamatā ir TOTP (Time-based One-Time Password Algorithm) protokols.
• Savienojums caur DNS. Varat pats mainīt DNS un konfigurēt tīkla maršrutēšanu. Lai atrisinātu šīs problēmas, nav nepieciešams piesaistīt un apmācīt atsevišķus speciālistus. Parasti pakalpojumu sniedzēja tehniskais atbalsts var palīdzēt iestatīšanā.

WAF tehnoloģijas ir attīstījušās no vienkāršiem ugunsmūriem ar īkšķa noteikumiem līdz sarežģītām aizsardzības sistēmām ar mašīnmācīšanās algoritmiem. Lietojumprogrammu ugunsmūri tagad piedāvā plašu funkciju klāstu, kuras 90. gados bija grūti ieviest. Daudzos veidos jaunas funkcionalitātes parādīšanās kļuva iespējama, pateicoties mākoņtehnoloģijām. WAF risinājumi un to komponenti turpina attīstīties. Tāpat kā citās informācijas drošības jomās.

Tekstu sagatavoja Aleksandrs Karpuzikovs, mākoņpakalpojuma sniedzēja #CloudMTS informācijas drošības produktu attīstības vadītājs.

Avots: www.habr.com