retrospectief
De omvang, samenstelling en samenstelling van cyberdreigingen voor applicaties evolueren snel. Jarenlang hebben gebruikers via internet toegang gekregen tot webapplicaties met behulp van populaire webbrowsers. Het was noodzakelijk om op elk moment twee tot vijf webbrowsers te ondersteunen, en de reeks standaarden voor het ontwikkelen en testen van webapplicaties was vrij beperkt. Bijna alle databases zijn bijvoorbeeld gebouwd met behulp van SQL. Helaas leerden hackers na korte tijd webapplicaties te gebruiken om gegevens te stelen, te verwijderen of te wijzigen. Ze verkregen illegale toegang tot en misbruikten de mogelijkheden van applicaties met behulp van verschillende technieken, waaronder misleiding van applicatiegebruikers, injectie en uitvoering van code op afstand. Al snel kwamen commerciële webapplicatie-beveiligingstools genaamd Web Application Firewalls (WAF's) op de markt, en de gemeenschap reageerde door een open webapplicatie-beveiligingsproject op te zetten, het Open Web Application Security Project (OWASP), om ontwikkelingsstandaarden en -methodologieën te definiëren en te onderhouden. beveiligde applicaties.
Basisapplicatiebescherming
is het startpunt voor het beveiligen van applicaties en bevat een lijst met de gevaarlijkste bedreigingen en verkeerde configuraties die kunnen leiden tot kwetsbaarheden in applicaties, evenals tactieken voor het detecteren en verslaan van aanvallen. De OWASP Top 10 is een erkende benchmark in de applicatie-cyberbeveiligingsindustrie wereldwijd en definieert de kernlijst van mogelijkheden waarover een webapplicatiebeveiligingssysteem (WAF) zou moeten beschikken.
Bovendien moet de WAF-functionaliteit rekening houden met andere veelvoorkomende aanvallen op webapplicaties, waaronder cross-site request forgery (CSRF), clickjacking, webscraping en bestandsopname (RFI/LFI).
Bedreigingen en uitdagingen voor het waarborgen van de veiligheid van moderne applicaties
Tegenwoordig zijn niet alle applicaties geïmplementeerd in een netwerkversie. Er zijn cloud-apps, mobiele apps, API’s en, in de nieuwste architecturen, zelfs aangepaste softwarefuncties. Al dit soort applicaties moeten worden gesynchroniseerd en gecontroleerd terwijl ze onze gegevens creëren, wijzigen en verwerken. Met de komst van nieuwe technologieën en paradigma’s ontstaan er nieuwe complexiteiten en uitdagingen in alle fasen van de levenscyclus van applicaties. Dit omvat ontwikkelings- en operationele integratie (DevOps), containers, Internet of Things (IoT), open source-tools, API's en meer.
De gedistribueerde inzet van applicaties en de diversiteit aan technologieën creëren complexe en complexe uitdagingen, niet alleen voor informatiebeveiligingsprofessionals, maar ook voor leveranciers van beveiligingsoplossingen die niet langer kunnen vertrouwen op een uniforme aanpak. Beveiligingsmaatregelen voor applicaties moeten rekening houden met hun bedrijfsspecifieke kenmerken om valse positieven en verstoring van de kwaliteit van de dienstverlening voor gebruikers te voorkomen.
Het uiteindelijke doel van hackers is meestal het stelen van gegevens of het verstoren van de beschikbaarheid van diensten. Aanvallers profiteren ook van de technologische evolutie. Ten eerste creëert de ontwikkeling van nieuwe technologieën meer potentiële hiaten en kwetsbaarheden. Ten tweede hebben ze meer tools en kennis in hun arsenaal om traditionele beveiligingsmaatregelen te omzeilen. Dit vergroot het zogenaamde ‘aanvalsoppervlak’ en de blootstelling van organisaties aan nieuwe risico’s aanzienlijk. Beveiligingsbeleid moet voortdurend veranderen als reactie op veranderingen in technologie en applicaties.
Applicaties moeten dus worden beschermd tegen een steeds grotere verscheidenheid aan aanvalsmethoden en -bronnen, en geautomatiseerde aanvallen moeten in realtime worden bestreden op basis van weloverwogen beslissingen. Het resultaat is hogere transactiekosten en handarbeid, gekoppeld aan een verzwakte beveiligingspositie.
Taak #1: Bots beheren
Meer dan 60% van het internetverkeer wordt gegenereerd door bots, waarvan de helft ‘slecht’ verkeer is (volgens ). Organisaties investeren in het vergroten van de netwerkcapaciteit, waarbij ze feitelijk een fictieve belasting bedienen. Een nauwkeurig onderscheid maken tussen echt gebruikersverkeer en botverkeer, evenals ‘goede’ bots (bijvoorbeeld zoekmachines en prijsvergelijkingsdiensten) en ‘slechte’ bots kan resulteren in aanzienlijke kostenbesparingen en een verbeterde servicekwaliteit voor gebruikers.
Bots zullen deze taak niet gemakkelijk maken, en ze kunnen het gedrag van echte gebruikers imiteren, CAPTCHA’s en andere obstakels omzeilen. Bovendien wordt bij aanvallen waarbij gebruik wordt gemaakt van dynamische IP-adressen de bescherming op basis van IP-adresfiltering ineffectief. Vaak worden open source-ontwikkeltools (bijvoorbeeld Phantom JS) die JavaScript aan de clientzijde aankunnen, gebruikt om brute-force-aanvallen, credential stuffing-aanvallen, DDoS-aanvallen en geautomatiseerde bot-aanvallen uit te voeren.
Om botverkeer effectief te kunnen beheren, is een unieke identificatie van de bron (zoals een vingerafdruk) vereist. Omdat een botaanval meerdere records genereert, kan de vingerafdruk ervan verdachte activiteiten identificeren en scores toekennen, op basis waarvan het applicatiebeveiligingssysteem een weloverwogen beslissing neemt (blokkeren/toestaan) met een minimum aan valse positieven.
Uitdaging #2: De API beschermen
Veel applicaties verzamelen informatie en gegevens van services waarmee ze communiceren via API's. Bij het verzenden van gevoelige gegevens via API's valideert of beveiligt meer dan 50% van de organisaties API's niet om cyberaanvallen te detecteren.
Voorbeelden van het gebruik van de API:
- Internet of Things (IoT)-integratie
- Communicatie tussen machines
- Serverloze omgevingen
- Mobile Apps
- Gebeurtenisgestuurde toepassingen
API-kwetsbaarheden zijn vergelijkbaar met kwetsbaarheden in applicaties en omvatten injecties, protocolaanvallen, parametermanipulatie, omleidingen en botaanvallen. Toegewijde API-gateways zorgen voor compatibiliteit tussen applicatieservices die via API's communiceren. Ze bieden echter geen end-to-end applicatiebeveiliging zoals een WAF dat kan met essentiële beveiligingstools zoals het parseren van HTTP-headers, Layer 7-toegangscontrolelijst (ACL), het parseren en inspecteren van JSON/XML-payloads, en bescherming tegen alle kwetsbaarheden van OWASP Top 10-lijst. Dit wordt bereikt door de belangrijkste API-waarden te inspecteren met behulp van positieve en negatieve modellen.
Uitdaging #3: Denial of Service
Een oude aanvalsvector, Denial of Service (DoS), blijft zijn effectiviteit bewijzen bij het aanvallen van applicaties. Aanvallers beschikken over een reeks succesvolle technieken om applicatieservices te verstoren, waaronder HTTP- of HTTPS-floods, low-and-slow-aanvallen (bijvoorbeeld SlowLoris, LOIC, Torshammer), aanvallen met behulp van dynamische IP-adressen, bufferoverflow, brute force-aanvallen en vele andere. . Met de ontwikkeling van het Internet of Things en de daaropvolgende opkomst van IoT-botnets zijn aanvallen op applicaties de belangrijkste focus van DDoS-aanvallen geworden. De meeste stateful WAF's kunnen slechts een beperkte hoeveelheid belasting aan. Ze kunnen echter HTTP/S-verkeersstromen inspecteren en aanvalsverkeer en kwaadaardige verbindingen verwijderen. Als een aanval eenmaal is geïdentificeerd, heeft het geen zin dit verkeer opnieuw te passeren. Omdat de capaciteit van de WAF om aanvallen af te weren beperkt is, is er een aanvullende oplossing nodig aan de netwerkrand om de volgende "slechte" pakketten automatisch te blokkeren. Voor dit beveiligingsscenario moeten beide oplossingen met elkaar kunnen communiceren om informatie over aanvallen uit te wisselen.
Figuur 1. Organisatie van uitgebreide netwerk- en applicatiebescherming met behulp van het voorbeeld van Radware-oplossingen
Uitdaging #4: Continue bescherming
Applicaties veranderen regelmatig. Ontwikkelings- en implementatiemethodologieën zoals rolling updates zorgen ervoor dat wijzigingen plaatsvinden zonder menselijke tussenkomst of controle. In dergelijke dynamische omgevingen is het moeilijk om een adequaat functionerend beveiligingsbeleid te handhaven zonder een groot aantal valse positieven. Mobiele applicaties worden veel vaker geüpdatet dan webapplicaties. Applicaties van derden kunnen zonder uw medeweten veranderen. Sommige organisaties streven naar meer controle en zichtbaarheid om potentiële risico's onder controle te houden. Dit is echter niet altijd haalbaar, en betrouwbare applicatiebescherming moet gebruik maken van de kracht van machinaal leren om rekening te houden met beschikbare bronnen en deze te visualiseren, potentiële bedreigingen te analyseren en beveiligingsbeleid te creëren en te optimaliseren in het geval van applicatiewijzigingen.
Bevindingen
Omdat apps een steeds belangrijkere rol spelen in het dagelijks leven, worden ze een belangrijk doelwit voor hackers. De potentiële beloningen voor criminelen en de potentiële verliezen voor bedrijven zijn enorm. De complexiteit van de applicatiebeveiligingstaak kan niet genoeg worden benadrukt gezien het aantal en de variaties van applicaties en bedreigingen.
Gelukkig bevinden we ons op een punt in de tijd waarop kunstmatige intelligentie ons te hulp kan komen. Op machine learning gebaseerde algoritmen bieden realtime, adaptieve bescherming tegen de meest geavanceerde cyberdreigingen die zich op applicaties richten. Ze updaten ook automatisch het beveiligingsbeleid om web-, mobiele en cloud-applicaties (en API's) te beschermen zonder valse positieven.
Het is moeilijk om met zekerheid te voorspellen wat de volgende generatie applicatie-cyberdreigingen (mogelijk ook gebaseerd op machine learning) zal zijn. Maar organisaties kunnen zeker stappen ondernemen om klantgegevens te beschermen, intellectueel eigendom te beschermen en de beschikbaarheid van diensten te garanderen, met grote zakelijke voordelen.
Effectieve benaderingen en methoden voor het garanderen van applicatiebeveiliging, de belangrijkste typen en vectoren van aanvallen, risicogebieden en lacunes in de cyberbescherming van webapplicaties, evenals wereldwijde ervaringen en best practices worden gepresenteerd in de Radware-studie en het rapport “'.
Bron: www.habr.com