retrospektīvs
Lietojumprogrammu kiberdraudu mÄrogs, sastÄvs un sastÄvs strauji attÄ«stÄs. Daudzus gadus lietotÄji ir piekļuvuÅ”i tÄ«mekļa lietojumprogrammÄm internetÄ, izmantojot populÄras tÄ«mekļa pÄrlÅ«kprogrammas. JebkurÄ laikÄ bija nepiecieÅ”ams atbalstÄ«t 2-5 tÄ«mekļa pÄrlÅ«kprogrammas, un tÄ«mekļa lietojumprogrammu izstrÄdes un testÄÅ”anas standartu kopums bija diezgan ierobežots. PiemÄram, gandrÄ«z visas datu bÄzes tika veidotas, izmantojot SQL. DiemžÄl pÄc neilga laika hakeri iemÄcÄ«jÄs izmantot tÄ«mekļa lietojumprogrammas, lai nozagtu, dzÄstu vai mainÄ«tu datus. ViÅi ieguva nelikumÄ«gu piekļuvi un ļaunprÄtÄ«gi izmantoja lietojumprogrammu iespÄjas, izmantojot dažÄdas metodes, tostarp lietojumprogrammu lietotÄju maldinÄÅ”anu, injekciju un attÄlinÄtu koda izpildi. DrÄ«z tirgÅ« parÄdÄ«jÄs komerciÄli tÄ«mekļa lietojumprogrammu droŔības rÄ«ki, ko sauc par tÄ«mekļa lietojumprogrammu ugunsmÅ«riem (WAF), un sabiedrÄ«ba reaÄ£Äja, izveidojot atvÄrtu tÄ«mekļa lietojumprogrammu droŔības projektu, Open Web Application Security Project (OWASP), lai definÄtu un uzturÄtu izstrÄdes standartus un metodoloÄ£ijas. droÅ”as lietojumprogrammas.
Lietojumprogrammu pamata aizsardzība
TurklÄt WAF funkcionalitÄtÄ ir jÄÅem vÄrÄ citi izplatÄ«ti uzbrukumi tÄ«mekļa lietojumprogrammÄm, tostarp starpvietÅu pieprasÄ«juma viltoÅ”ana (CSRF), klikŔķu uzlaupÄ«Å”ana, tÄ«mekļa nokasÄ«Å”ana un failu iekļauÅ”ana (RFI/LFI).
Draudi un izaicinÄjumi mÅ«sdienu lietojumprogrammu droŔības nodroÅ”inÄÅ”anai
MÅ«sdienÄs ne visas lietojumprogrammas ir ieviestas tÄ«kla versijÄ. Ir mÄkoÅa lietotnes, mobilÄs lietotnes, API un jaunÄkajÄs arhitektÅ«rÄs pat pielÄgotas programmatÅ«ras funkcijas. Visi Å”ie lietojumprogrammu veidi ir jÄsinhronizÄ un jÄkontrolÄ, jo tie veido, pÄrveido un apstrÄdÄ mÅ«su datus. LÄ«dz ar jaunu tehnoloÄ£iju un paradigmu parÄdÄ«Å”anos visos lietojumprogrammu dzÄ«ves cikla posmos rodas jaunas sarežģītÄ«bas un izaicinÄjumi. Tas ietver izstrÄdes un operÄciju integrÄciju (DevOps), konteinerus, lietu internetu (IoT), atvÄrtÄ pirmkoda rÄ«kus, API un daudz ko citu.
IzkliedÄtÄ lietojumprogrammu izvietoÅ”ana un tehnoloÄ£iju daudzveidÄ«ba rada sarežģītus un sarežģītus izaicinÄjumus ne tikai informÄcijas droŔības profesionÄļiem, bet arÄ« droŔības risinÄjumu piegÄdÄtÄjiem, kuri vairs nevar paļauties uz vienotu pieeju. Lietojumprogrammu droŔības pasÄkumos ir jÄÅem vÄrÄ to uzÅÄmÄjdarbÄ«bas specifika, lai novÄrstu viltus rezultÄtus un pakalpojumu kvalitÄtes traucÄjumus lietotÄjiem.
Hakeru galvenais mÄrÄ·is parasti ir vai nu zagt datus, vai traucÄt pakalpojumu pieejamÄ«bu. UzbrucÄji arÄ« gÅ«st labumu no tehnoloÄ£iju attÄ«stÄ«bas. PirmkÄrt, jaunu tehnoloÄ£iju attÄ«stÄ«ba rada vairÄk potenciÄlu nepilnÄ«bu un ievainojamÄ«bu. OtrkÄrt, viÅu arsenÄlÄ ir vairÄk instrumentu un zinÄÅ”anu, lai apietu tradicionÄlos droŔības pasÄkumus. Tas ievÄrojami palielina tÄ saukto āuzbrukuma virsmuā un organizÄciju pakļautÄ«bu jauniem riskiem. DroŔības politikai ir pastÄvÄ«gi jÄmaina, reaÄ£Äjot uz izmaiÅÄm tehnoloÄ£ijÄ un lietojumprogrammÄs.
TÄdÄjÄdi lietojumprogrammas ir jÄaizsargÄ no arvien lielÄka uzbrukuma metožu un avotu daudzveidÄ«bas, un automatizÄti uzbrukumi ir jÄcÄ«nÄs reÄllaikÄ, pamatojoties uz apzinÄtiem lÄmumiem. RezultÄts ir palielinÄtas darÄ«jumu izmaksas un roku darbs, kÄ arÄ« novÄjinÄta droŔības pozÄ«cija.
1. uzdevums: robotprogrammatÅ«ras pÄrvaldÄ«ba
VairÄk nekÄ 60% interneta trafika Ä£enerÄ robotprogrammatÅ«ra, no kurÄm puse ir āsliktÄā trafika (saskaÅÄ ar
Boti nepadarÄ«s Å”o uzdevumu vieglu, un tie var atdarinÄt reÄlu lietotÄju uzvedÄ«bu, apiet CAPTCHA un citus ŔķÄrŔļus. TurklÄt uzbrukumos, izmantojot dinamiskas IP adreses, aizsardzÄ«ba, kuras pamatÄ ir IP adreÅ”u filtrÄÅ”ana, kļūst neefektÄ«va. Bieži vien atklÄtÄ pirmkoda izstrÄdes rÄ«ki (piemÄram, Phantom JS), kas var apstrÄdÄt klienta puses JavaScript, tiek izmantoti, lai uzsÄktu brutÄla spÄka uzbrukumus, akreditÄcijas datu papildinÄÅ”anas uzbrukumus, DDoS uzbrukumus un automatizÄtus robotu uzbrukumus.
Lai efektÄ«vi pÄrvaldÄ«tu robotprogrammatÅ«ru trafiku, ir nepiecieÅ”ama unikÄla tÄ avota identifikÄcija (piemÄram, pirkstu nospiedums). TÄ kÄ robotprogrammatÅ«ras uzbrukums Ä£enerÄ vairÄkus ierakstus, tÄ pirkstu nospiedums ļauj tam identificÄt aizdomÄ«gas darbÄ«bas un pieŔķirt punktus, pamatojoties uz kuriem lietojumprogrammu aizsardzÄ«bas sistÄma pieÅem pÄrdomÄtu lÄmumu ā bloÄ·Ät/atļaut ā ar minimÄlu viltus pozitÄ«vu rezultÄtu skaitu.
2. izdevums: API aizsardzība
Daudzas lietojumprogrammas apkopo informÄciju un datus no pakalpojumiem, ar kuriem tÄs mijiedarbojas, izmantojot API. PÄrsÅ«tot sensitÄ«vus datus, izmantojot API, vairÄk nekÄ 50% organizÄciju ne validÄ, ne neaizsargÄ API, lai atklÄtu kiberuzbrukumus.
API izmantoÅ”anas piemÄri:
- Lietu interneta (IoT) integrÄcija
- MaŔīnu komunikÄcija
- Vides bez serveriem
- MobilÄs lietotnes
- Uz notikumiem balstītas lietojumprogrammas
API ievainojamÄ«bas ir lÄ«dzÄ«gas lietojumprogrammu ievainojamÄ«bÄm un ietver injekcijas, protokolu uzbrukumus, parametru manipulÄcijas, novirzÄ«Å”anu un robotu uzbrukumus. ÄŖpaÅ”as API vÄrtejas palÄ«dz nodroÅ”inÄt saderÄ«bu starp lietojumprogrammu pakalpojumiem, kas mijiedarbojas, izmantojot API. TomÄr tie nenodroÅ”ina pilnÄ«gu lietojumprogrammu droŔību, piemÄram, WAF var ar bÅ«tiskiem droŔības rÄ«kiem, piemÄram, HTTP galvenes parsÄÅ”anu, 7. lÄ«meÅa piekļuves kontroles sarakstu (ACL), JSON/XML lietderÄ«gÄs slodzes parsÄÅ”anu un pÄrbaudi, kÄ arÄ« aizsardzÄ«bu pret visÄm ievainojamÄ«bÄm no OWASP Top 10 saraksts. Tas tiek panÄkts, pÄrbaudot galvenÄs API vÄrtÄ«bas, izmantojot pozitÄ«vos un negatÄ«vos modeļus.
3. izdevums: pakalpojuma atteikums
Vecs uzbrukuma vektors, pakalpojuma atteikums (DoS), turpina pierÄdÄ«t savu efektivitÄti uzbrukumos lietojumprogrammÄm. UzbrucÄjiem ir virkne veiksmÄ«gu paÅÄmienu lietojumprogrammu pakalpojumu pÄrtraukÅ”anai, tostarp HTTP vai HTTPS plÅ«di, lÄni un lÄni uzbrukumi (piemÄram, SlowLoris, LOIC, Torshammer), uzbrukumi, izmantojot dinamiskas IP adreses, bufera pÄrpilde, brutÄla spÄka uzbrukumi un daudzi citi. . LÄ«dz ar lietu interneta attÄ«stÄ«bu un tam sekojoÅ”o IoT robottÄ«klu parÄdÄ«Å”anos uzbrukumi lietojumprogrammÄm ir kļuvuÅ”i par galveno DDoS uzbrukumu uzmanÄ«bu. LielÄkÄ daļa statusu WAF var apstrÄdÄt tikai ierobežotu slodzes daudzumu. TomÄr viÅi var pÄrbaudÄ«t HTTP/S trafika plÅ«smas un noÅemt uzbrukuma trafiku un ļaunprÄtÄ«gos savienojumus. Kad uzbrukums ir identificÄts, nav jÄgas atkÄrtoti ŔķÄrsot Å”o satiksmi. TÄ kÄ WAF spÄja atvairÄ«t uzbrukumus ir ierobežota, ir nepiecieÅ”ams papildu risinÄjums tÄ«kla perimetrÄ, lai automÄtiski bloÄ·Ätu nÄkamÄs "sliktÄs" paketes. Å im droŔības scenÄrijam abiem risinÄjumiem ir jÄspÄj sazinÄties vienam ar otru, lai apmainÄ«tos ar informÄciju par uzbrukumiem.
1. att. VisaptveroÅ”a tÄ«kla un lietojumprogrammu aizsardzÄ«bas organizÄcija, izmantojot Radware risinÄjumu piemÄru
4. izaicinÄjums: nepÄrtraukta aizsardzÄ«ba
Lietojumprogrammas bieži mainÄs. IzstrÄdes un ievieÅ”anas metodoloÄ£ijas, piemÄram, slÄ«doÅ”ie atjauninÄjumi, nozÄ«mÄ, ka modifikÄcijas notiek bez cilvÄka iejaukÅ”anÄs vai kontroles. Å ÄdÄ dinamiskÄ vidÄ ir grÅ«ti uzturÄt adekvÄti funkcionÄjoÅ”as droŔības politikas bez liela skaita viltus pozitÄ«vu rezultÄtu. MobilÄs lietojumprogrammas tiek atjauninÄtas daudz biežÄk nekÄ tÄ«mekļa lietojumprogrammas. TreÅ”o puÅ”u lietojumprogrammas var mainÄ«ties bez jÅ«su ziÅas. Dažas organizÄcijas cenÅ”as panÄkt lielÄku kontroli un redzamÄ«bu, lai izvairÄ«tos no iespÄjamiem riskiem. TomÄr tas ne vienmÄr ir sasniedzams, un uzticamai lietojumprogrammu aizsardzÄ«bai ir jÄizmanto maŔīnmÄcÄ«Å”anÄs spÄjas, lai Åemtu vÄrÄ un vizualizÄtu pieejamos resursus, analizÄtu iespÄjamos draudus un izveidotu un optimizÄtu droŔības politikas lietojumprogrammu modifikÄciju gadÄ«jumÄ.
Atzinumi
TÄ kÄ lietotnÄm ir arvien lielÄka nozÄ«me ikdienas dzÄ«vÄ, tÄs kļūst par galveno hakeru mÄrÄ·i. IespÄjamÄs atlÄ«dzÄ«bas noziedzniekiem un iespÄjamie zaudÄjumi uzÅÄmumiem ir milzÄ«gi. Lietojumprogrammu droŔības uzdevuma sarežģītÄ«bu nevar pÄrvÄrtÄt, Åemot vÄrÄ lietojumprogrammu un draudu skaitu un variÄcijas.
Par laimi, mÄs esam brÄ«dÄ«, kad mÄkslÄ«gais intelekts var nÄkt mums palÄ«gÄ. Uz maŔīnmÄcÄ«bÄm balstÄ«ti algoritmi nodroÅ”ina reÄllaika, adaptÄ«vu aizsardzÄ«bu pret vismodernÄkajiem kiberdraudiem, kas vÄrsti uz lietojumprogrammÄm. Tie arÄ« automÄtiski atjaunina droŔības politikas, lai aizsargÄtu tÄ«mekļa, mobilÄs un mÄkoÅa lietojumprogrammas un API, bez viltus pozitÄ«viem rezultÄtiem.
Ir grÅ«ti droÅ”i paredzÄt, kÄdi bÅ«s nÄkamÄs paaudzes lietojumprogrammu kiberdraudi (iespÄjams, arÄ« uz maŔīnmÄcÄ«bas pamata). TaÄu organizÄcijas noteikti var veikt pasÄkumus, lai aizsargÄtu klientu datus, aizsargÄtu intelektuÄlo Ä«paÅ”umu un nodroÅ”inÄtu pakalpojumu pieejamÄ«bu ar lieliskÄm uzÅÄmÄjdarbÄ«bas priekÅ”rocÄ«bÄm.
Radware pÄtÄ«jumÄ un ziÅojumÄ ir izklÄstÄ«tas efektÄ«vas pieejas un metodes lietojumprogrammu droŔības nodroÅ”inÄÅ”anai, galvenie uzbrukumu veidi un vektori, riska zonas un nepilnÄ«bas tÄ«mekļa lietojumprogrammu kiberaizsardzÄ«bÄ, kÄ arÄ« globÄlÄ pieredze un labÄkÄs prakses.
Avots: www.habr.com