Retrospektif
Skala, komposisi dan komposisi ancaman siber terhadap aplikasi berkembang pesat. Selama bertahun-tahun, pengguna telah mengakses aplikasi web melalui Internet menggunakan pelayar web yang popular. Ia adalah perlu untuk menyokong 2-5 pelayar web pada bila-bila masa, dan set piawaian untuk membangunkan dan menguji aplikasi web adalah agak terhad. Sebagai contoh, hampir semua pangkalan data dibina menggunakan SQL. Malangnya, selepas masa yang singkat, penggodam belajar menggunakan aplikasi web untuk mencuri, memadam atau menukar data. Mereka mendapat akses haram kepada dan menyalahgunakan keupayaan aplikasi menggunakan pelbagai teknik, termasuk penipuan pengguna aplikasi, suntikan dan pelaksanaan kod jauh. Tidak lama kemudian, alat keselamatan aplikasi web komersil yang dipanggil Web Application Firewalls (WAFs) muncul ke pasaran, dan komuniti bertindak balas dengan mencipta projek keselamatan aplikasi web terbuka, Open Web Application Security Project (OWASP), untuk mentakrifkan dan mengekalkan standard dan metodologi pembangunan. .aplikasi selamat.
Perlindungan aplikasi asas
ialah titik permulaan untuk mengamankan aplikasi dan mengandungi senarai ancaman dan salah konfigurasi yang paling berbahaya yang boleh membawa kepada kelemahan aplikasi, serta taktik untuk mengesan dan mengalahkan serangan. 10 Teratas OWASP ialah penanda aras yang diiktiraf dalam industri keselamatan siber aplikasi di seluruh dunia dan mentakrifkan senarai teras keupayaan yang perlu ada pada sistem keselamatan aplikasi web (WAF).
Selain itu, kefungsian WAF mesti mengambil kira serangan biasa lain pada aplikasi web, termasuk pemalsuan permintaan merentas tapak (CSRF), clickjacking, mengikis web dan kemasukan fail (RFI/LFI).
Ancaman dan cabaran untuk memastikan keselamatan aplikasi moden
Hari ini, tidak semua aplikasi dilaksanakan dalam versi rangkaian. Terdapat apl awan, apl mudah alih, API dan dalam seni bina terkini, malah fungsi perisian tersuai. Semua jenis aplikasi ini perlu disegerakkan dan dikawal semasa mereka membuat, mengubah suai dan memproses data kami. Dengan kemunculan teknologi dan paradigma baharu, kerumitan dan cabaran baharu timbul pada semua peringkat kitaran hayat aplikasi. Ini termasuk penyepaduan pembangunan dan operasi (DevOps), bekas, Internet of Things (IoT), alatan sumber terbuka, API dan banyak lagi.
Penggunaan aplikasi yang diedarkan dan kepelbagaian teknologi mewujudkan cabaran yang kompleks dan kompleks bukan sahaja untuk profesional keselamatan maklumat, tetapi juga untuk vendor penyelesaian keselamatan yang tidak lagi boleh bergantung pada pendekatan bersatu. Langkah keselamatan aplikasi mesti mengambil kira spesifik perniagaan mereka untuk mengelakkan positif palsu dan gangguan kualiti perkhidmatan untuk pengguna.
Matlamat utama penggodam biasanya sama ada untuk mencuri data atau mengganggu ketersediaan perkhidmatan. Penyerang juga mendapat manfaat daripada evolusi teknologi. Pertama, pembangunan teknologi baharu mewujudkan lebih banyak jurang dan kelemahan yang berpotensi. Kedua, mereka mempunyai lebih banyak alat dan pengetahuan dalam senjata mereka untuk memintas langkah keselamatan tradisional. Ini sangat meningkatkan apa yang dipanggil "permukaan serangan" dan pendedahan organisasi kepada risiko baharu. Dasar keselamatan mesti sentiasa berubah sebagai tindak balas kepada perubahan dalam teknologi dan aplikasi.
Oleh itu, aplikasi mesti dilindungi daripada pelbagai kaedah dan sumber serangan yang semakin meningkat, dan serangan automatik mesti dilawan dalam masa nyata berdasarkan keputusan termaklum. Hasilnya ialah peningkatan kos urus niaga dan buruh manual, ditambah dengan postur keselamatan yang lemah.
Tugasan #1: Mengurus bot
Lebih daripada 60% trafik Internet dijana oleh bot, separuh daripadanya adalah trafik "buruk" (mengikut ). Organisasi melabur dalam meningkatkan kapasiti rangkaian, pada asasnya menyediakan beban rekaan. Membezakan dengan tepat antara trafik pengguna sebenar dan trafik bot, serta bot "baik" (contohnya, enjin carian dan perkhidmatan perbandingan harga) dan bot "buruk" boleh menghasilkan penjimatan kos yang ketara dan kualiti perkhidmatan yang lebih baik untuk pengguna.
Bot tidak akan memudahkan tugas ini, dan mereka boleh meniru gelagat pengguna sebenar, memintas CAPTCHA dan halangan lain. Selain itu, dalam kes serangan menggunakan alamat IP dinamik, perlindungan berdasarkan penapisan alamat IP menjadi tidak berkesan. Selalunya, alatan pembangunan sumber terbuka (contohnya, Phantom JS) yang boleh mengendalikan JavaScript sisi klien digunakan untuk melancarkan serangan brute-force, serangan pemadat bukti kelayakan, serangan DDoS dan serangan bot automatik. .
Untuk mengurus trafik bot dengan berkesan, pengenalan unik sumbernya (seperti cap jari) diperlukan. Memandangkan serangan bot menjana berbilang rekod, cap jarinya membolehkannya mengenal pasti aktiviti yang mencurigakan dan menetapkan markah, berdasarkan sistem perlindungan aplikasi membuat keputusan termaklum - sekat/benarkan - dengan kadar minimum positif palsu.
Cabaran #2: Melindungi API
Banyak aplikasi mengumpul maklumat dan data daripada perkhidmatan yang mereka berinteraksi melalui API. Apabila menghantar data sensitif melalui API, lebih daripada 50% organisasi tidak mengesahkan atau melindungi API untuk mengesan serangan siber.
Contoh penggunaan API:
- Penyepaduan Internet Perkara (IoT).
- Komunikasi mesin ke mesin
- Persekitaran Tanpa Pelayan
- Apps Bergerak
- Aplikasi Didorong Peristiwa
Kerentanan API adalah serupa dengan kelemahan aplikasi dan termasuk suntikan, serangan protokol, manipulasi parameter, ubah hala dan serangan bot. Gerbang API khusus membantu memastikan keserasian antara perkhidmatan aplikasi yang berinteraksi melalui API. Walau bagaimanapun, mereka tidak menyediakan keselamatan aplikasi hujung ke hujung seperti WAF boleh dengan alat keselamatan penting seperti penghuraian pengepala HTTP, senarai kawalan akses Lapisan 7 (ACL), penghuraian dan pemeriksaan muatan JSON/XML serta perlindungan terhadap semua kelemahan daripada Senarai 10 Teratas OWASP. Ini dicapai dengan memeriksa nilai API utama menggunakan model positif dan negatif.
Cabaran #3: Penafian Perkhidmatan
Vektor serangan lama, penafian perkhidmatan (DoS), terus membuktikan keberkesanannya dalam menyerang aplikasi. Penyerang mempunyai pelbagai teknik yang berjaya untuk mengganggu perkhidmatan aplikasi, termasuk banjir HTTP atau HTTPS, serangan rendah dan perlahan (cth. SlowLoris, LOIC, Torshammer), serangan menggunakan alamat IP dinamik, limpahan penimbal, kekerasan -serangan dan banyak lagi. . Dengan perkembangan Internet of Things dan kemunculan botnet IoT seterusnya, serangan terhadap aplikasi telah menjadi fokus utama serangan DDoS. Kebanyakan WAF berstatus hanya boleh mengendalikan jumlah beban yang terhad. Walau bagaimanapun, mereka boleh memeriksa aliran trafik HTTP/S dan mengalih keluar trafik serangan dan sambungan berniat jahat. Sebaik sahaja serangan telah dikenal pasti, tidak ada gunanya melepasi semula trafik ini. Memandangkan kapasiti WAF untuk menangkis serangan adalah terhad, penyelesaian tambahan diperlukan di perimeter rangkaian untuk menyekat paket "buruk" seterusnya secara automatik. Untuk senario keselamatan ini, kedua-dua penyelesaian mesti boleh berkomunikasi antara satu sama lain untuk bertukar maklumat tentang serangan.
Rajah 1. Organisasi rangkaian komprehensif dan perlindungan aplikasi menggunakan contoh penyelesaian Radware
Cabaran #4: Perlindungan Berterusan
Permohonan sering berubah. Metodologi pembangunan dan pelaksanaan seperti kemas kini bergulir bermakna pengubahsuaian berlaku tanpa campur tangan atau kawalan manusia. Dalam persekitaran dinamik sedemikian, adalah sukar untuk mengekalkan dasar keselamatan yang berfungsi secukupnya tanpa bilangan positif palsu yang tinggi. Aplikasi mudah alih dikemas kini dengan lebih kerap daripada aplikasi web. Aplikasi pihak ketiga mungkin berubah tanpa pengetahuan anda. Sesetengah organisasi mencari kawalan dan keterlihatan yang lebih besar untuk terus mengetahui potensi risiko. Walau bagaimanapun, ini tidak selalu boleh dicapai, dan perlindungan aplikasi yang boleh dipercayai mesti menggunakan kuasa pembelajaran mesin untuk mengambil kira dan menggambarkan sumber yang tersedia, menganalisis potensi ancaman dan mencipta serta mengoptimumkan dasar keselamatan sekiranya berlaku pengubahsuaian aplikasi.
Penemuan
Memandangkan apl memainkan peranan yang semakin penting dalam kehidupan seharian, ia menjadi sasaran utama penggodam. Potensi ganjaran untuk penjenayah dan potensi kerugian untuk perniagaan adalah sangat besar. Kerumitan tugas keselamatan aplikasi tidak boleh dilebih-lebihkan memandangkan bilangan dan variasi aplikasi dan ancaman.
Nasib baik, kita berada pada masa di mana kecerdasan buatan boleh membantu kita. Algoritma berasaskan pembelajaran mesin menyediakan perlindungan penyesuaian masa nyata terhadap ancaman siber yang paling canggih yang menyasarkan aplikasi. Mereka juga mengemas kini dasar keselamatan secara automatik untuk melindungi aplikasi web, mudah alih dan awanβdan APIβtanpa positif palsu.
Sukar untuk meramalkan dengan pasti tentang ancaman siber aplikasi generasi seterusnya (mungkin juga berdasarkan pembelajaran mesin). Tetapi organisasi pastinya boleh mengambil langkah untuk melindungi data pelanggan, melindungi harta intelek dan memastikan ketersediaan perkhidmatan dengan faedah perniagaan yang hebat.
Pendekatan dan kaedah yang berkesan untuk memastikan keselamatan aplikasi, jenis dan vektor utama serangan, kawasan berisiko dan jurang dalam perlindungan siber aplikasi web, serta pengalaman global dan amalan terbaik dibentangkan dalam kajian dan laporan Radware "".
Sumber: www.habr.com