🥇Mūsdienu lietojumprogrammu aizsardzības sistēmu (WAF) funkcionalitātei vajadzētu būt daudz plašākai par ievainojamību sarakstu no OWASP Top 10

retrospektīvs

Lietojumprogrammu kiberdraudu mērogs, sastāvs un sastāvs strauji attīstās. Daudzus gadus lietotāji ir piekļuvuši tīmekļa lietojumprogrammām internetā, izmantojot populāras tīmekļa pārlūkprogrammas. Jebkurā laikā bija nepieciešams atbalstīt 2-5 tīmekļa pārlūkprogrammas, un tīmekļa lietojumprogrammu izstrādes un testēšanas standartu kopums bija diezgan ierobežots. Piemēram, gandrīz visas datu bāzes tika veidotas, izmantojot SQL. Diemžēl pēc neilga laika hakeri iemācījās izmantot tīmekļa lietojumprogrammas, lai nozagtu, dzēstu vai mainītu datus. Viņi ieguva nelikumīgu piekļuvi un ļaunprātīgi izmantoja lietojumprogrammu iespējas, izmantojot dažādas metodes, tostarp lietojumprogrammu lietotāju maldināšanu, injekciju un attālinātu koda izpildi. Drīz tirgū parādījās komerciāli tīmekļa lietojumprogrammu drošības rīki, ko sauc par tīmekļa lietojumprogrammu ugunsmūriem (WAF), un sabiedrība reaģēja, izveidojot atvērtu tīmekļa lietojumprogrammu drošības projektu, Open Web Application Security Project (OWASP), lai definētu un uzturētu izstrādes standartus un metodoloģijas. drošas lietojumprogrammas.

Lietojumprogrammu pamata aizsardzība

OWASP Top 10 saraksts ir sākumpunkts lietojumprogrammu aizsardzībai, un tajā ir saraksts ar visbīstamākajiem draudiem un nepareizām konfigurācijām, kas var izraisīt lietojumprogrammu ievainojamības, kā arī taktikas uzbrukumu noteikšanai un pārvarēšanai. OWASP Top 10 ir atzīts etalons lietojumprogrammu kiberdrošības nozarē visā pasaulē, un tas nosaka galveno iespēju sarakstu, kurām vajadzētu būt tīmekļa lietojumprogrammu drošības (WAF) sistēmai.

Turklāt WAF funkcionalitātē ir jāņem vērā citi izplatīti uzbrukumi tīmekļa lietojumprogrammām, tostarp starpvietņu pieprasījuma viltošana (CSRF), klikšķu uzlaupīšana, tīmekļa nokasīšana un failu iekļaušana (RFI/LFI).

Draudi un izaicinājumi mūsdienu lietojumprogrammu drošības nodrošināšanai

Mūsdienās ne visas lietojumprogrammas ir ieviestas tīkla versijā. Ir mākoņa lietotnes, mobilās lietotnes, API un jaunākajās arhitektūrās pat pielāgotas programmatūras funkcijas. Visi šie lietojumprogrammu veidi ir jāsinhronizē un jākontrolē, jo tie veido, pārveido un apstrādā mūsu datus. Līdz ar jaunu tehnoloģiju un paradigmu parādīšanos visos lietojumprogrammu dzīves cikla posmos rodas jaunas sarežģītības un izaicinājumi. Tas ietver izstrādes un operāciju integrāciju (DevOps), konteinerus, lietu internetu (IoT), atvērtā pirmkoda rīkus, API un daudz ko citu.

Izkliedētā lietojumprogrammu izvietošana un tehnoloģiju daudzveidība rada sarežģītus un sarežģītus izaicinājumus ne tikai informācijas drošības profesionāļiem, bet arī drošības risinājumu piegādātājiem, kuri vairs nevar paļauties uz vienotu pieeju. Lietojumprogrammu drošības pasākumos ir jāņem vērā to uzņēmējdarbības specifika, lai novērstu viltus rezultātus un pakalpojumu kvalitātes traucējumus lietotājiem.

Hakeru galvenais mērķis parasti ir vai nu zagt datus, vai traucēt pakalpojumu pieejamību. Uzbrucēji arī gūst labumu no tehnoloģiju attīstības. Pirmkārt, jaunu tehnoloģiju attīstība rada vairāk potenciālu nepilnību un ievainojamību. Otrkārt, viņu arsenālā ir vairāk instrumentu un zināšanu, lai apietu tradicionālos drošības pasākumus. Tas ievērojami palielina tā saukto “uzbrukuma virsmu” un organizāciju pakļautību jauniem riskiem. Drošības politikai ir pastāvīgi jāmaina, reaģējot uz izmaiņām tehnoloģijā un lietojumprogrammās.

Tādējādi lietojumprogrammas ir jāaizsargā no arvien lielāka uzbrukuma metožu un avotu daudzveidības, un automatizēti uzbrukumi ir jācīnās reāllaikā, pamatojoties uz apzinātiem lēmumiem. Rezultāts ir palielinātas darījumu izmaksas un roku darbs, kā arī novājināta drošības pozīcija.

1. uzdevums: robotprogrammatūras pārvaldība

Vairāk nekā 60% interneta trafika ģenerē robotprogrammatūra, no kurām puse ir “sliktā” trafika (saskaņā ar Radware drošības ziņojums). Organizācijas iegulda līdzekļus tīkla jaudas palielināšanā, būtībā apkalpojot fiktīvu slodzi. Precīzi nošķirot reālo lietotāju trafiku un robotu trafiku, kā arī “labos” robotus (piemēram, meklētājprogrammas un cenu salīdzināšanas pakalpojumus) un “sliktos” robotus, var ievērojami ietaupīt izmaksas un uzlabot pakalpojumu kvalitāti lietotājiem.

Boti nepadarīs šo uzdevumu vieglu, un tie var atdarināt reālu lietotāju uzvedību, apiet CAPTCHA un citus šķēršļus. Turklāt uzbrukumos, izmantojot dinamiskas IP adreses, aizsardzība, kuras pamatā ir IP adrešu filtrēšana, kļūst neefektīva. Bieži vien atklātā pirmkoda izstrādes rīki (piemēram, Phantom JS), kas var apstrādāt klienta puses JavaScript, tiek izmantoti, lai uzsāktu brutāla spēka uzbrukumus, akreditācijas datu papildināšanas uzbrukumus, DDoS uzbrukumus un automatizētus robotu uzbrukumus.

Lai efektīvi pārvaldītu robotprogrammatūru trafiku, ir nepieciešama unikāla tā avota identifikācija (piemēram, pirkstu nospiedums). Tā kā robotprogrammatūras uzbrukums ģenerē vairākus ierakstus, tā pirkstu nospiedums ļauj tam identificēt aizdomīgas darbības un piešķirt punktus, pamatojoties uz kuriem lietojumprogrammu aizsardzības sistēma pieņem pārdomātu lēmumu — bloķēt/atļaut — ar minimālu viltus pozitīvu rezultātu skaitu.

2. izdevums: API aizsardzība

Daudzas lietojumprogrammas apkopo informāciju un datus no pakalpojumiem, ar kuriem tās mijiedarbojas, izmantojot API. Pārsūtot sensitīvus datus, izmantojot API, vairāk nekā 50% organizāciju ne validē, ne neaizsargā API, lai atklātu kiberuzbrukumus.

API izmantošanas piemēri:

Lietu interneta (IoT) integrācija
Mašīnu komunikācija
Vides bez serveriem
Mobilās lietotnes
Uz notikumiem balstītas lietojumprogrammas

API ievainojamības ir līdzīgas lietojumprogrammu ievainojamībām un ietver injekcijas, protokolu uzbrukumus, parametru manipulācijas, novirzīšanu un robotu uzbrukumus. Īpašas API vārtejas palīdz nodrošināt saderību starp lietojumprogrammu pakalpojumiem, kas mijiedarbojas, izmantojot API. Tomēr tie nenodrošina pilnīgu lietojumprogrammu drošību, piemēram, WAF var ar būtiskiem drošības rīkiem, piemēram, HTTP galvenes parsēšanu, 7. līmeņa piekļuves kontroles sarakstu (ACL), JSON/XML lietderīgās slodzes parsēšanu un pārbaudi, kā arī aizsardzību pret visām ievainojamībām no OWASP Top 10 saraksts. Tas tiek panākts, pārbaudot galvenās API vērtības, izmantojot pozitīvos un negatīvos modeļus.

3. izdevums: pakalpojuma atteikums

Vecs uzbrukuma vektors, pakalpojuma atteikums (DoS), turpina pierādīt savu efektivitāti uzbrukumos lietojumprogrammām. Uzbrucējiem ir virkne veiksmīgu paņēmienu lietojumprogrammu pakalpojumu pārtraukšanai, tostarp HTTP vai HTTPS plūdi, lēni un lēni uzbrukumi (piemēram, SlowLoris, LOIC, Torshammer), uzbrukumi, izmantojot dinamiskas IP adreses, bufera pārpilde, brutāla spēka uzbrukumi un daudzi citi. . Līdz ar lietu interneta attīstību un tam sekojošo IoT robottīklu parādīšanos uzbrukumi lietojumprogrammām ir kļuvuši par galveno DDoS uzbrukumu uzmanību. Lielākā daļa statusu WAF var apstrādāt tikai ierobežotu slodzes daudzumu. Tomēr viņi var pārbaudīt HTTP/S trafika plūsmas un noņemt uzbrukuma trafiku un ļaunprātīgos savienojumus. Kad uzbrukums ir identificēts, nav jēgas atkārtoti šķērsot šo satiksmi. Tā kā WAF spēja atvairīt uzbrukumus ir ierobežota, ir nepieciešams papildu risinājums tīkla perimetrā, lai automātiski bloķētu nākamās "sliktās" paketes. Šim drošības scenārijam abiem risinājumiem ir jāspēj sazināties vienam ar otru, lai apmainītos ar informāciju par uzbrukumiem.

1. att. Visaptveroša tīkla un lietojumprogrammu aizsardzības organizācija, izmantojot Radware risinājumu piemēru

4. izaicinājums: nepārtraukta aizsardzība

Lietojumprogrammas bieži mainās. Izstrādes un ieviešanas metodoloģijas, piemēram, slīdošie atjauninājumi, nozīmē, ka modifikācijas notiek bez cilvēka iejaukšanās vai kontroles. Šādā dinamiskā vidē ir grūti uzturēt adekvāti funkcionējošas drošības politikas bez liela skaita viltus pozitīvu rezultātu. Mobilās lietojumprogrammas tiek atjauninātas daudz biežāk nekā tīmekļa lietojumprogrammas. Trešo pušu lietojumprogrammas var mainīties bez jūsu ziņas. Dažas organizācijas cenšas panākt lielāku kontroli un redzamību, lai izvairītos no iespējamiem riskiem. Tomēr tas ne vienmēr ir sasniedzams, un uzticamai lietojumprogrammu aizsardzībai ir jāizmanto mašīnmācīšanās spējas, lai ņemtu vērā un vizualizētu pieejamos resursus, analizētu iespējamos draudus un izveidotu un optimizētu drošības politikas lietojumprogrammu modifikāciju gadījumā.

Atzinumi

Tā kā lietotnēm ir arvien lielāka nozīme ikdienas dzīvē, tās kļūst par galveno hakeru mērķi. Iespējamās atlīdzības noziedzniekiem un iespējamie zaudējumi uzņēmumiem ir milzīgi. Lietojumprogrammu drošības uzdevuma sarežģītību nevar pārvērtēt, ņemot vērā lietojumprogrammu un draudu skaitu un variācijas.

Par laimi, mēs esam brīdī, kad mākslīgais intelekts var nākt mums palīgā. Uz mašīnmācībām balstīti algoritmi nodrošina reāllaika, adaptīvu aizsardzību pret vismodernākajiem kiberdraudiem, kas vērsti uz lietojumprogrammām. Tie arī automātiski atjaunina drošības politikas, lai aizsargātu tīmekļa, mobilās un mākoņa lietojumprogrammas un API, bez viltus pozitīviem rezultātiem.

Ir grūti droši paredzēt, kādi būs nākamās paaudzes lietojumprogrammu kiberdraudi (iespējams, arī uz mašīnmācības pamata). Taču organizācijas noteikti var veikt pasākumus, lai aizsargātu klientu datus, aizsargātu intelektuālo īpašumu un nodrošinātu pakalpojumu pieejamību ar lieliskām uzņēmējdarbības priekšrocībām.

Radware pētījumā un ziņojumā ir izklāstītas efektīvas pieejas un metodes lietojumprogrammu drošības nodrošināšanai, galvenie uzbrukumu veidi un vektori, riska zonas un nepilnības tīmekļa lietojumprogrammu kiberaizsardzībā, kā arī globālā pieredze un labākās prakses.Tīmekļa lietojumprogrammu drošība digitāli savienotā pasaulē".

Avots: www.habr.com

Mūsdienu lietojumprogrammu drošības sistēmu (WAF) funkcionalitātei vajadzētu būt daudz plašākai nekā ievainojamību sarakstam no OWASP Top 10