Ретроспектив
Хэрэглээнд учирч буй кибер аюулын цар хүрээ, бүтэц, бүтэц нь хурдацтай хөгжиж байна. Хэрэглэгчид олон жилийн турш алдартай вэб хөтчүүдийг ашиглан интернетээр дамжуулан вэб програм руу ханддаг. Ямар ч үед 2-5 вэб хөтчийг дэмжих шаардлагатай байсан бөгөөд вэб програмыг хөгжүүлэх, турших стандартын багц нь нэлээд хязгаарлагдмал байв. Жишээлбэл, бараг бүх мэдээллийн санг SQL ашиглан бүтээсэн. Харамсалтай нь богино хугацааны дараа хакерууд мэдээлэл хулгайлах, устгах, өөрчлөхийн тулд вэб программуудыг ашиглаж сурсан. Тэд програмын хэрэглэгчдийг хууран мэхлэх, тарилга хийх, алсын зайнаас код гүйцэтгэх зэрэг янз бүрийн арга техникийг ашиглан хууль бусаар нэвтэрч, програмын чадавхийг урвуулан ашигласан. Удалгүй Вэб програмын галт хана (WAFs) хэмээх арилжааны вэб програмын аюулгүй байдлын хэрэгслүүд зах зээлд гарч ирсэн бөгөөд олон нийт хариу арга хэмжээ авч, хөгжүүлэлтийн стандарт, арга зүйг тодорхойлж, хадгалахын тулд нээлттэй вэб програмын аюулгүй байдлын төсөл болох Open Web Application Security Project (OWASP) бий болгосон. аюулгүй програмууд.
Хэрэглээний үндсэн хамгаалалт
нь програмын аюулгүй байдлыг хангах эхлэлийн цэг бөгөөд програмын эмзэг байдалд хүргэж болох хамгийн аюултай аюул заналхийлэл, буруу тохируулгын жагсаалт, түүнчлэн халдлагыг илрүүлэх, устгах тактикуудыг агуулдаг. OWASP шилдэг 10 нь програмын кибер аюулгүй байдлын салбарт дэлхий даяар хүлээн зөвшөөрөгдсөн жишиг үзүүлэлт бөгөөд вэб програмын аюулгүй байдлын (WAF) системд байх ёстой чадамжуудын үндсэн жагсаалтыг тодорхойлдог.
Нэмж дурдахад WAF функц нь сайт хоорондын хүсэлтийг хуурамчаар үйлдэх (CSRF), товшилт хийх, вэб хусах, файл оруулах (RFI/LFI) зэрэг вэб програмын бусад нийтлэг халдлагуудыг харгалзан үзэх ёстой.
Орчин үеийн хэрэглээний аюулгүй байдлыг хангахад тулгарч буй аюул заналхийлэл, сорилтууд
Өнөөдөр бүх програмууд сүлжээний хувилбарт хэрэгждэггүй. Клоуд програмууд, гар утасны програмууд, API-ууд, хамгийн сүүлийн үеийн архитектурууд, тэр ч байтугай захиалгат програм хангамжийн функцүүд байдаг. Эдгээр бүх төрлийн програмууд нь бидний өгөгдлийг үүсгэх, өөрчлөх, боловсруулах явцад синхрончлол, хяналттай байх шаардлагатай. Шинэ технологи, парадигмууд гарч ирснээр хэрэглээний амьдралын мөчлөгийн бүх үе шатанд шинэ төвөгтэй, сорилтууд гарч ирдэг. Үүнд хөгжүүлэлт, үйл ажиллагааны интеграцчлал (DevOps), контейнер, интернетийн зүйлс (IoT), нээлттэй эхийн хэрэгслүүд, API болон бусад зүйлс орно.
Аппликейшнүүдийн тархалт, технологийн олон талт байдал нь мэдээллийн аюулгүй байдлын мэргэжилтнүүдэд төдийгүй нэгдсэн арга барилд найдахаа больсон аюулгүй байдлын шийдэл үйлдвэрлэгчдэд нарийн төвөгтэй, төвөгтэй сорилтуудыг бий болгодог. Хэрэглээний аюулгүй байдлын арга хэмжээ нь хуурамч эерэг үр дүн, хэрэглэгчдэд үзүүлэх үйлчилгээний чанарыг алдагдуулахаас урьдчилан сэргийлэхийн тулд бизнесийн онцлогийг харгалзан үзэх ёстой.
Хакеруудын эцсийн зорилго нь ихэвчлэн мэдээлэл хулгайлах эсвэл үйлчилгээний хүртээмжийг тасалдуулах явдал юм. Халдагчид технологийн хувьсалаас бас ашиг тус хүртдэг. Нэгдүгээрт, шинэ технологийг хөгжүүлэх нь илүү их боломжит цоорхой, эмзэг байдлыг бий болгодог. Хоёрдугаарт, тэд уламжлалт аюулгүй байдлын арга хэмжээг тойрон гарахын тулд өөрсдийн зэвсэглэлд илүү их хэрэгсэл, мэдлэгтэй байдаг. Энэ нь "халдлагын гадаргуу" гэж нэрлэгддэг нөхцөл байдал болон байгууллагуудын шинэ эрсдэлд өртөх боломжийг ихээхэн нэмэгдүүлдэг. Аюулгүй байдлын бодлого нь технологи, хэрэглээний өөрчлөлтийн хариуд байнга өөрчлөгдөж байх ёстой.
Тиймээс програмууд нь байнга өсөн нэмэгдэж буй олон төрлийн халдлагын арга, эх сурвалжаас хамгаалагдсан байх ёстой бөгөөд автоматжуулсан халдлагыг мэдээлэлтэй шийдвэр дээр үндэслэн бодит цаг хугацаанд эсэргүүцэх ёстой. Үүний үр дүнд гүйлгээний зардал, гар ажиллагаа нэмэгдэж, хамгаалалтын байдал суларсан.
Даалгавар №1: Ботуудыг удирдах
Интернэт траффикийн 60 гаруй хувийг роботууд үүсгэдэг бөгөөд үүний тал хувь нь "муу" урсгал юм. ). Байгууллагууд сүлжээний хүчин чадлыг нэмэгдүүлэхэд хөрөнгө оруулалт хийж, үндсэндээ зохиомол ачаалалд үйлчилдэг. Бодит хэрэглэгчийн урсгал болон ботын урсгал, түүнчлэн "сайн" роботууд (жишээлбэл, хайлтын роботууд болон үнийн харьцуулалтын үйлчилгээ) болон "муу" ботуудыг нарийн ялгах нь зардлаа ихээхэн хэмнэж, хэрэглэгчдийн үйлчилгээний чанарыг сайжруулахад хүргэдэг.
Ботууд энэ ажлыг хялбаршуулахгүй бөгөөд тэд жинхэнэ хэрэглэгчдийн зан байдлыг дуурайж, CAPTCHA болон бусад саад бэрхшээлийг даван туулж чаддаг. Түүнчлэн, динамик IP хаяг ашиглан халдсан тохиолдолд IP хаягийн шүүлтүүрт суурилсан хамгаалалт үр дүнгүй болно. Үйлчлүүлэгчийн JavaScript-г зохицуулах боломжтой нээлттэй эхийн хөгжүүлэлтийн хэрэгслүүдийг (жишээ нь, Phantom JS) ихэвчлэн харгис хэрцгий халдлага, итгэмжлэл бөглөх халдлага, DDoS халдлага, автомат ботын халдлага үйлдэхэд ашигладаг.
Ботын урсгалыг үр дүнтэй удирдахын тулд түүний эх сурвалжийг (хурууны хээ гэх мэт) өвөрмөц таних шаардлагатай. Бот халдлага нь олон бичлэг үүсгэдэг тул түүний хурууны хээ нь сэжигтэй үйлдлийг тодорхойлж, оноо өгөх боломжийг олгодог бөгөөд үүний үндсэн дээр программыг хамгаалах систем нь мэдээлэлтэй шийдвэр гаргадаг - блоклох/зөвшөөрөх - худал эерэг үр дүнгийн хамгийн бага хувьтай.
Сорилт №2: API-г хамгаалах
Олон програмууд API-уудаар дамжуулан харилцдаг үйлчилгээнээсээ мэдээлэл, өгөгдлийг цуглуулдаг. API-ээр дамжуулан эмзэг өгөгдлийг дамжуулахдаа байгууллагуудын 50 гаруй хувь нь кибер халдлагыг илрүүлэхийн тулд API-г баталгаажуулдаггүй, хамгаалдаггүй.
API ашиглах жишээ:
- Интернэт зүйлсийн (IoT) нэгдэл
- Машинаас машин хоорондын харилцаа холбоо
- Сервергүй орчин
- Гар утасны програмууд
- Үйл явдалд тулгуурласан програмууд
API-ийн эмзэг байдал нь програмын сул талуудтай төстэй бөгөөд тарилга, протоколын халдлага, параметрийн өөрчлөлт, дахин чиглүүлэлт, роботын халдлага зэргийг багтаадаг. Зориулалтын API гарцууд нь API-ээр дамжуулан харилцан үйлчилдэг програмын үйлчилгээнүүдийн хоорондын нийцтэй байдлыг хангахад тусалдаг. Гэсэн хэдий ч тэдгээр нь HTTP толгой хэсгийг задлах, 7-р түвшний хандалтын хяналтын жагсаалт (ACL), JSON/XML ачааллыг задлан шинжлэх, шалгах зэрэг чухал хамгаалалтын хэрэгслээр WAF сав шиг төгсгөлөөс төгсгөл хүртэлх програмын аюулгүй байдлыг хангадаггүй. OWASP шилдэг 10 жагсаалт. Энэ нь эерэг ба сөрөг загваруудыг ашиглан API-ийн гол утгыг шалгах замаар хийгддэг.
Сорилт №3: Үйлчилгээнээс татгалзах
Хуучин халдлагын вектор болох Denial of Service (DoS) нь довтолгооны аппликешнүүдэд үр дүнтэй байдгийг нотолсоор байна. Халдагчид нь HTTP эсвэл HTTPS үер, бага ба удаан халдлага (жишээ нь, SlowLoris, LOIC, Torshammer), динамик IP хаяг ашиглан халдлага, буфер халих, бүдүүлэг хүчний дайралт гэх мэт програмын үйлчилгээг тасалдуулах олон амжилттай арга техниктэй. . Интернэт зүйлсийн хөгжил, дараа нь IoT ботнетүүд гарч ирснээр программууд руу халдлага хийх нь DDoS халдлагын гол чиглэл болсон. Ихэнх төлөвтэй WAF нь зөвхөн хязгаарлагдмал хэмжээний ачааллыг дааж чаддаг. Гэсэн хэдий ч тэд HTTP/S хөдөлгөөний урсгалыг шалгаж, халдлагын урсгал болон хортой холболтыг устгаж чадна. Нэгэнт халдлага илэрсэн бол энэ урсгалыг дахин давах нь утгагүй юм. WAF-ийн халдлагыг няцаах хүчин чадал хязгаарлагдмал тул дараагийн "муу" пакетуудыг автоматаар хаахын тулд сүлжээний периметрт нэмэлт шийдэл хэрэгтэй. Энэхүү аюулгүй байдлын хувилбарын хувьд хоёр шийдэл нь халдлагын талаар мэдээлэл солилцохын тулд өөр хоорондоо харилцах чадвартай байх ёстой.
Зураг 1. Radware шийдлүүдийн жишээг ашиглан сүлжээ болон хэрэглээний иж бүрэн хамгаалалтыг зохион байгуулах
Сорилт №4: Тасралтгүй хамгаалалт
Програмууд байнга өөрчлөгддөг. Шинэчлэлт хийх гэх мэт хөгжүүлэлт, хэрэгжүүлэх аргачлалууд нь хүний оролцоо, хяналтгүйгээр өөрчлөлтүүдийг хийдэг гэсэн үг юм. Ийм динамик орчинд олон тооны худал эерэг үр дүн байхгүй бол зохих ёсоор ажиллаж буй аюулгүй байдлын бодлогыг хадгалахад хэцүү байдаг. Мобайл программууд вэб программуудаас хамаагүй олон удаа шинэчлэгддэг. Гуравдагч талын програмууд танд мэдэгдэлгүйгээр өөрчлөгдөж болно. Зарим байгууллагууд болзошгүй эрсдэлээс урьдчилан сэргийлэхийн тулд илүү их хяналт, харагдах байдлыг эрэлхийлж байна. Гэсэн хэдий ч, энэ нь үргэлж боломжгүй байдаг бөгөөд найдвартай програмын хамгаалалт нь боломжтой нөөцийг тооцоолох, дүрслэн харуулах, болзошгүй аюулыг шинжлэх, програмыг өөрчлөх тохиолдолд аюулгүй байдлын бодлогыг бий болгох, оновчтой болгоход машин сургалтын хүчийг ашиглах ёстой.
үр дүн нь
Аппликейшн нь өдөр тутмын амьдралд улам чухал үүрэг гүйцэтгэхийн хэрээр хакеруудын гол бай болж байна. Гэмт хэрэгтнүүдэд учирч болох урамшуулал, бизнес эрхлэгчдэд учирч болзошгүй хохирол асар их байна. Аппликейшн болон аюулын тоо, өөрчлөлтийг харгалзан програмын аюулгүй байдлын даалгаврын нарийн төвөгтэй байдлыг хэтрүүлэн хэлж болохгүй.
Аз болоход бид хиймэл оюун ухаан бидэнд туслах цаг мөчид ирээд байна. Машины сургалтанд суурилсан алгоритмууд нь программуудад чиглэсэн хамгийн дэвшилтэт кибер аюулаас бодит цагийн, дасан зохицох хамгаалалтыг өгдөг. Тэд мөн вэб, мобайл, үүлэн программ болон API-г хамгаалахын тулд аюулгүй байдлын бодлогыг автоматаар шинэчилдэг.
Хэрэглээний кибер аюул заналхийллийн дараагийн үе (магадгүй машин сургалтанд тулгуурласан) ямар байхыг тодорхой таамаглахад хэцүү байдаг. Гэхдээ байгууллагууд хэрэглэгчийн мэдээллийг хамгаалах, оюуны өмчийг хамгаалах, бизнесийн ашиг тустай үйлчилгээний хүртээмжийг хангах арга хэмжээ авах нь гарцаагүй.
Програмын аюулгүй байдлыг хангах үр дүнтэй арга, арга барил, халдлагын үндсэн төрөл, векторууд, вэб программуудын кибер хамгаалалтын эрсдэлт газар, цоорхой, түүнчлэн дэлхийн туршлага, шилдэг туршлагыг Radware судалгаа, тайланд танилцуулсан.".
Эх сурвалж: www.habr.com