Retrospective
Mivoatra haingana ny habeny, ny fandrafetana ary ny firafitry ny fandrahonana an-tserasera amin'ny fampiharana. Nandritra ny taona maro, ny mpampiasa dia niditra tamin'ny rindranasa an-tranonkala amin'ny Internet amin'ny fampiasana mpitety tranonkala malaza. Ilaina ny nanohana mpitety tranonkala 2-5 amin'ny fotoana rehetra, ary voafetra ihany ny fenitry ny famolavolana sy ny fitiliana ny rindranasa an-tranonkala. Ohatra, saika ny angon-drakitra rehetra dia natsangana tamin'ny fampiasana SQL. Indrisy anefa, taorian'ny fotoana fohy dia nianatra nampiasa rindranasa an-tranonkala mba hangalarana, hamafa na hanovana angona ireo mpijirika. Nahazo fidirana tsy ara-dalΓ na izy ireo ary nanararaotra ny fahaiza-manao fampiharana tamin'ny fampiasana teknika isan-karazany, ao anatin'izany ny famitahana ny mpampiasa fampiharana, ny tsindrona ary ny famonoana kaody lavitra. Vetivety dia tonga teny an-tsena ny fitaovana fiarovana fampiharana tranonkala ara-barotra antsoina hoe Web Application Firewalls (WAFs), ary namaly ny vondrom-piarahamonina tamin'ny famoronana tetikasa fiarovana fampiharana amin'ny tranonkala misokatra, Open Web Application Security Project (OWASP), hamaritana sy hitazonana ny fenitra sy ny fomba fiasa. .fampiharana azo antoka.
Fiarovana fampiharana fototra
no toerana fiaingana amin'ny fiarovana ny rindranasa ary misy lisitr'ireo fandrahonana mampidi-doza indrindra sy fanodinkodinana diso izay mety hitarika ho amin'ny faharefoan'ny fampiharana, ary koa ny tetika hamantarana sy handresena fanafihana. Ny OWASP Top 10 dia mari-pamantarana ekena ao amin'ny indostrian'ny cybersecurity fampiharana manerantany ary mamaritra ny lisitry ny fahaiza-manaon'ny rafitra fiarovana amin'ny tranonkala (WAF).
Ho fanampin'izany, ny fampiasa WAF dia tsy maintsy mandinika ny fanafihana mahazatra hafa amin'ny rindranasa an-tranonkala, ao anatin'izany ny hosoka (CSRF), ny clickjacking, ny fikikisana tranonkala, ary ny fampidirana rakitra (RFI/LFI).
Fandrahonana sy fanamby hiantohana ny fiarovana ny fampiharana maoderina
Ankehitriny, tsy ny fampiharana rehetra no ampiharina amin'ny dikan-tambajotra. Misy fampiharana rahona, fampiharana finday, API, ary amin'ny maritrano farany indrindra, eny fa na dia ny rindrambaiko manokana aza. Ireo karazana fampiharana rehetra ireo dia mila ampifandraisina sy fehezina rehefa mamorona, manova ary manodina ny angonay. Miaraka amin'ny fahatongavan'ireo teknolojia sy paradigma vaovao, misy fahasarotana sy fanamby vaovao amin'ny dingana rehetra amin'ny tsingerin'ny fiainana. Tafiditra ao anatin'izany ny fampidirana ny fampandrosoana sy ny asa (DevOps), kaontenera, Internet of Things (IoT), fitaovana loharano misokatra, API, sy ny maro hafa.
Ny fanaparitahana ny fampiharana sy ny fahasamihafan'ny teknolojia dia miteraka fanamby sarotra sy saro-takarina tsy ho an'ny matihanina amin'ny fiarovana ny fampahalalam-baovao ihany, fa koa ho an'ireo mpivarotra vahaolana momba ny fiarovana izay tsy afaka miantehitra amin'ny fomba iraisana intsony. Ny fepetra fiarovana amin'ny fampiharana dia tsy maintsy mandinika ny mombamomba ny orinasany mba hisorohana ny vokatra diso sy ny fanelingelenana ny kalitaon'ny serivisy ho an'ny mpampiasa.
Ny tanjona faratampon'ny hackers dia matetika na hangalatra angon-drakitra na hanakorontana ny fisian'ny serivisy. Mandray soa avy amin'ny fivoaran'ny teknolojia koa ireo mpanafika. Voalohany, ny fivoaran'ny teknolojia vaovao dia miteraka hantsana sy fahalemena bebe kokoa. Faharoa, manana fitaovana sy fahalalana bebe kokoa izy ireo ao amin'ny fitaovam-piadiany mba hialana amin'ny fepetra fiarovana mahazatra. Izany dia mampitombo be ny antsoina hoe "fanafihana" sy ny fidiran'ny fikambanana amin'ny risika vaovao. Ny politikan'ny fiarovana dia tsy maintsy miova tsy tapaka ho setrin'ny fiovan'ny teknolojia sy ny fampiharana.
Noho izany, ny fampiharana dia tsy maintsy arovana amin'ny fomba fanafihana isan-karazany tsy mitsaha-mitombo, ary ny fanafihana mandeha ho azy dia tsy maintsy toherina amin'ny fotoana tena izy mifototra amin'ny fanapahan-kevitra tsara. Ny vokatr'izany dia ny fitomboan'ny vidin'ny varotra sy ny asa tanana, miaraka amin'ny filaminam-piarovana malemy.
Asa #1: Mitantana bots
Mihoatra ny 60% amin'ny fifamoivoizana amin'ny Internet no vokarin'ny bots, ny antsasany dia fifamoivoizana "ratsy" (araka ny ). Ny fikambanana dia mampiasa vola amin'ny fampitomboana ny fahafahan'ny tambajotra, amin'ny ankapobeny dia mitondra entana noforonina. Ny fanavahana tsara ny fifamoivoizan'ny mpampiasa sy ny fifamoivoizana bot, ary koa ny bots "tsara" (ohatra, ny milina fikarohana sy ny serivisy fampitahana vidiny) sy ny bots "ratsy" dia mety hiteraka fihenam-bidy lehibe sy fanatsarana ny kalitaon'ny serivisy ho an'ny mpampiasa.
Tsy hanamora ity asa ity ny bots, ary afaka maka tahaka ny fihetsiky ny tena mpampiasa izy ireo, mandingana ny CAPTCHA sy ireo sakana hafa. Ankoatra izany, amin'ny tranga fanafihana mampiasa adiresy IP mavitrika, ny fiarovana mifototra amin'ny sivana adiresy IP dia lasa tsy mahomby. Matetika, ny fitaovana fampivoarana loharano misokatra (ohatra, Phantom JS) izay mahazaka JavaScript amin'ny lafiny mpanjifa dia ampiasaina amin'ny fanafihana mahery vaika, fanafihana famenoana fahazoan-dΓ lana, fanafihana DDoS, ary fanafihana bot mandeha ho azy. .
Mba hitantana tsara ny fifamoivoizana bot, ilaina ny famantarana tokana ny loharanony (toy ny dian-tanana). Koa satria ny fanafihana bot dia miteraka firaketana marobe, ny fanondrony dia mamela azy hamantatra hetsika mampiahiahy sy hanome isa, mifototra amin'ny fanapahan-kevitry ny rafitra fiarovana ny fampiharana - sakanana/avelao - miaraka amin'ny taham-pahafatesana farany ambany indrindra.
Fanamby #2: Fiarovana ny API
Fampiharana maro no manangona vaovao sy angona avy amin'ny serivisy ifaneraserany amin'ny alΓ lan'ny API. Rehefa mamindra angon-drakitra saro-pady amin'ny alΓ lan'ny API dia mihoatra ny 50% amin'ny fikambanana no tsy manamarina na miaro ny API hahitana ny fanafihana an-tserasera.
Ohatra amin'ny fampiasana ny API:
- Internet of Things (IoT) fampidirana
- Fifandraisana amin'ny milina
- Tontolo iainana tsy misy mpizara
- Fampiharana finday
- Fampiharana entin'ny hetsika
Ny vulnerabilities API dia mitovy amin'ny vulnerability amin'ny fampiharana ary misy ny tsindrona, ny fanafihana protocol, ny fanodinkodinana ny mari-pamantarana, ny redirect, ary ny fanafihana bot. Ny vavahadin'ny API voatokana dia manampy amin'ny fiantohana ny fifanarahana eo amin'ny serivisy fampiharana izay mifandray amin'ny alΓ lan'ny API. Na izany aza, tsy manome fiarovana amin'ny fampiharana farany izy ireo toy ny WAF afaka miaraka amin'ny fitaovana fiarovana tena ilaina toy ny HTTP header parsing, Layer 7 access control list (ACL), JSON/XML payload parsing and inspection, ary fiarovana amin'ny vulnerability rehetra Lisitry ny OWASP Top 10. Izany dia tratra amin'ny fisavana ny soatoavin'ny API fototra amin'ny fampiasana modely tsara sy ratsy.
Fanamby #3: Fandavana ny fanompoana
Vector fanafihana taloha, fandavana ny serivisy (DoS), dia manohy manaporofo ny fahombiazany amin'ny fanafihana fampiharana. Ny mpanafika dia manana teknika mahomby isan-karazany hanakorontanana ny serivisy fampiharana, anisan'izany ny HTTP na HTTPS tondra-drano, fanafihana ambany sy miadana (ohatra SlowLoris, LOIC, Torshammer), fanafihana mampiasa adiresy IP mavitrika, buffer overflow, brute force -attacks, ary maro hafa. . Miaraka amin'ny fivoaran'ny Internet of Things sy ny firongatry ny botnets IoT manaraka, ny fanafihana amin'ny fampiharana dia lasa ivon'ny fanafihana DDoS. Ny ankamaroan'ny WAF manana fanjakana dia tsy mahazaka entana voafetra ihany. Na izany aza, afaka manara-maso ny fizotran'ny fifamoivoizana HTTP/S izy ireo ary manaisotra ny fifamoivoizana fanafihana sy ny fifandraisana ratsy. Raha vao fantatra ny fanafihana dia tsy misy dikany ny fandalovana indray ity fifamoivoizana ity. Satria voafetra ny fahafahan'ny WAF hanohitra ny fanafihana, ilaina ny vahaolana fanampiny eo amin'ny perimeter tambajotra mba hanakanana ho azy ireo fonosana "ratsy" manaraka. Ho an'ity scenario fiarovana ity, ny vahaolana dia tsy maintsy afaka mifandray amin'ny tsirairay mba hifanakalozana vaovao momba ny fanafihana.
Fig 1. Fandaminana ny tambajotra feno sy ny fiarovana fampiharana mampiasa ny ohatra ny Radware vahaolana
Fanamby #4: Fiarovana mitohy
Miova matetika ny fampiharana. Ny fomba fampivoarana sy fampiharana toy ny fanavaozana mihodinkodina dia midika fa ny fanovana dia mitranga tsy misy fitsabahan'ny olombelona na fanaraha-maso. Amin'ny tontolo mihetsiketsika toy izany, sarotra ny mitazona politikam-piarovana miasa tsara tsy misy valiny diso. Ny fampiharana finday dia havaozina matetika kokoa noho ny fampiharana amin'ny Internet. Mety hiova tsy fantatrao ny fampiharana an'ny antoko fahatelo. Ny fikambanana sasany dia mitady fanaraha-maso sy fahitana bebe kokoa mba hijanonana amin'ny loza mety hitranga. Na izany aza, tsy azo tanterahina foana izany, ary ny fiarovana ny fampiharana azo itokisana dia tsy maintsy mampiasa ny herin'ny fianarana milina mba hijerena sy hijerena ireo loharano misy, hamakafaka ny mety ho fandrahonana, ary hamorona sy hanatsara ny politikam-piarovana raha misy ny fanovana fampiharana.
hitany
Satria mitana anjara toerana manan-danja eo amin'ny fiainana andavanandro ny fampiharana, dia lasa lasibatry ny hackers izy ireo. Ny valisoa mety ho an'ny mpanao heloka bevava sy ny mety ho fatiantoka ho an'ny orinasa dia goavana. Ny fahasarotan'ny asa fiarovana amin'ny fampiharana dia tsy azo ovaina noho ny isa sy ny fiovaovan'ny fampiharana ary ny fandrahonana.
Soa ihany fa eo amin'ny fotoana ahafahan'ny intelligence artificielle manampy antsika isika. Ny algorithm mifototra amin'ny fianarana amin'ny milina dia manome fiarovana amin'ny fotoana tena izy, miaro amin'ny fandrahonana an-tserasera mandroso indrindra amin'ny fampiharana. Manavao ho azy ireo politika fiarovana ihany koa izy ireo mba hiarovana ny rindranasa tranonkala, finday ary rahonaβary APIβtsy misy valiny diso.
Sarotra ny maminavina amin'ny fomba azo antoka hoe inona no ho avy amin'ny fandrahonana an-tserasera (mety ho mifototra amin'ny fianarana milina ihany koa). Saingy ny fikambanana dia azo antoka fa afaka manao dingana hiarovana ny angon-drakitra mpanjifa, hiarovana ny fananana ara-tsaina, ary hiantohana ny fisian'ny serivisy miaraka amin'ny tombontsoa ara-barotra lehibe.
Ny fomba fiasa sy ny fomba mahomby hiantohana ny fiarovana ny fampiharana, ny karazana fanafihana lehibe indrindra, ny faritra mety hampidi-doza ary ny banga amin'ny fiarovana amin'ny Internet amin'ny fampiharana amin'ny Internet, ary koa ny traikefa manerantany sy ny fomba fanao tsara indrindra dia aseho ao amin'ny fandalinana sy tatitra Radware "".
Source: www.habr.com