z mocą wsteczną
Skala, skład i skład cyberzagrożeń dla aplikacji szybko ewoluują. Od wielu lat użytkownicy uzyskują dostęp do aplikacji internetowych za pośrednictwem Internetu, korzystając z popularnych przeglądarek internetowych. W danym momencie konieczna była obsługa 2-5 przeglądarek internetowych, a zestaw standardów tworzenia i testowania aplikacji internetowych był dość ograniczony. Na przykład prawie wszystkie bazy danych zostały zbudowane przy użyciu języka SQL. Niestety, po krótkim czasie hakerzy nauczyli się wykorzystywać aplikacje internetowe do kradzieży, usuwania lub zmiany danych. Uzyskali nielegalny dostęp do aplikacji i nadużyli ich przy użyciu różnych technik, w tym oszukiwania użytkowników aplikacji, wstrzykiwania i zdalnego wykonywania kodu. Wkrótce na rynku pojawiły się komercyjne narzędzia zabezpieczające aplikacje internetowe zwane zaporami aplikacji sieciowych (WAF), a społeczność zareagowała, tworząc otwarty projekt bezpieczeństwa aplikacji internetowych, Open Web Application Security Project (OWASP), w celu zdefiniowania i utrzymania standardów i metodologii programowania Bezpieczne aplikacje.
Podstawowa ochrona aplikacji
to punkt wyjścia do zabezpieczania aplikacji i zawiera listę najniebezpieczniejszych zagrożeń i błędnych konfiguracji, które mogą prowadzić do podatności aplikacji, a także taktykę wykrywania i pokonywania ataków. Lista OWASP Top 10 to uznany punkt odniesienia w branży cyberbezpieczeństwa aplikacji na całym świecie i definiuje podstawową listę możliwości, jakie powinien posiadać system bezpieczeństwa aplikacji internetowych (WAF).
Ponadto funkcjonalność WAF musi uwzględniać inne typowe ataki na aplikacje internetowe, w tym fałszowanie żądań między witrynami (CSRF), przechwytywanie kliknięć, skrobanie sieci i dołączanie plików (RFI/LFI).
Zagrożenia i wyzwania dla zapewnienia bezpieczeństwa współczesnych aplikacji
Nie wszystkie aplikacje są dziś realizowane w wersji sieciowej. Istnieją aplikacje w chmurze, aplikacje mobilne, interfejsy API, a w najnowszych architekturach nawet niestandardowe funkcje oprogramowania. Wszystkie tego typu aplikacje muszą być synchronizowane i kontrolowane podczas tworzenia, modyfikowania i przetwarzania naszych danych. Wraz z pojawieniem się nowych technologii i paradygmatów na wszystkich etapach cyklu życia aplikacji pojawiają się nowe złożoności i wyzwania. Obejmuje to integrację programowania i operacji (DevOps), kontenery, Internet rzeczy (IoT), narzędzia open source, interfejsy API i nie tylko.
Rozproszone wdrażanie aplikacji i różnorodność technologii stwarza złożone i złożone wyzwania nie tylko dla specjalistów ds. bezpieczeństwa informacji, ale także dla dostawców rozwiązań w zakresie bezpieczeństwa, którzy nie mogą już polegać na ujednoliconym podejściu. Środki bezpieczeństwa aplikacji muszą uwzględniać specyfikę ich działalności, aby zapobiec fałszywym alarmom i zakłóceniom jakości usług dla użytkowników.
Ostatecznym celem hakerów jest zazwyczaj kradzież danych lub zakłócenie dostępności usług. Atakujący również czerpią korzyści z ewolucji technologicznej. Po pierwsze, rozwój nowych technologii stwarza więcej potencjalnych luk i słabych punktów. Po drugie, mają w swoim arsenale więcej narzędzi i wiedzy, aby ominąć tradycyjne środki bezpieczeństwa. To znacznie zwiększa tzw. „powierzchnię ataku” i narażenie organizacji na nowe ryzyka. Zasady bezpieczeństwa muszą stale się zmieniać w odpowiedzi na zmiany w technologii i aplikacjach.
Dlatego aplikacje należy chronić przed coraz większą różnorodnością metod i źródeł ataków, a zautomatyzowanym atakom należy przeciwdziałać w czasie rzeczywistym w oparciu o świadome decyzje. Rezultatem są zwiększone koszty transakcji i pracy fizycznej, w połączeniu z osłabionym poziomem bezpieczeństwa.
Zadanie nr 1: Zarządzanie botami
Ponad 60% ruchu w Internecie generują boty, z czego połowa to ruch „zły” (wg. ). Organizacje inwestują w zwiększanie przepustowości sieci, obsługując zasadniczo fikcyjne obciążenie. Dokładne rozróżnienie pomiędzy rzeczywistym ruchem użytkowników a ruchem botów, a także „dobrych” botów (na przykład wyszukiwarek i porównywarek cen) i „złych” botów może skutkować znacznymi oszczędnościami i poprawą jakości usług dla użytkowników.
Boty nie ułatwią tego zadania, mogą imitować zachowania prawdziwych użytkowników, omijać CAPTCHA i inne przeszkody. Ponadto w przypadku ataków z wykorzystaniem dynamicznych adresów IP ochrona oparta na filtrowaniu adresów IP staje się nieskuteczna. Często narzędzia programistyczne typu open source (na przykład Phantom JS), które obsługują JavaScript po stronie klienta, są używane do przeprowadzania ataków brute-force, ataków polegających na upychaniu poświadczeń, ataków DDoS i automatycznych ataków botów.
Aby skutecznie zarządzać ruchem botów, wymagana jest jednoznaczna identyfikacja jego źródła (np. odcisk palca). Ponieważ atak bota generuje wiele rekordów, jego odcisk palca pozwala mu zidentyfikować podejrzaną aktywność i przypisać wyniki, na podstawie których system ochrony aplikacji podejmuje świadomą decyzję – blokuj/zezwól – przy minimalnym wskaźniku fałszywych alarmów.
Wyzwanie nr 2: Ochrona API
Wiele aplikacji zbiera informacje i dane z usług, z którymi wchodzą w interakcję za pośrednictwem interfejsów API. Przesyłając wrażliwe dane za pośrednictwem interfejsów API, ponad 50% organizacji nie sprawdza ani nie zabezpiecza interfejsów API w celu wykrycia cyberataków.
Przykłady wykorzystania API:
- Integracja z Internetem rzeczy (IoT).
- Komunikacja maszyna-maszyna
- Środowiska bezserwerowe
- Aplikacje mobilne
- Aplikacje sterowane zdarzeniami
Luki w zabezpieczeniach API są podobne do luk w aplikacjach i obejmują wstrzykiwanie, ataki na protokoły, manipulację parametrami, przekierowania i ataki botów. Dedykowane bramy API pomagają zapewnić kompatybilność pomiędzy usługami aplikacji, które współdziałają za pośrednictwem interfejsów API. Nie zapewniają jednak kompleksowego bezpieczeństwa aplikacji, jak WAF, z niezbędnymi narzędziami bezpieczeństwa, takimi jak analizowanie nagłówków HTTP, lista kontroli dostępu warstwy 7 (ACL), analizowanie i inspekcja ładunku JSON/XML oraz ochrona przed wszystkimi lukami w zabezpieczeniach Lista OWASP Top 10. Osiąga się to poprzez kontrolę kluczowych wartości API przy użyciu modeli dodatnich i ujemnych.
Wyzwanie nr 3: Odmowa usługi
Stary wektor ataku, odmowa usługi (DoS), w dalszym ciągu udowadnia swoją skuteczność w atakowaniu aplikacji. Osoby atakujące dysponują szeregiem skutecznych technik zakłócania usług aplikacji, w tym zalewami HTTP lub HTTPS, atakami o niskim i wolnym działaniu (np. SlowLoris, LOIC, Torshammer), atakami wykorzystującymi dynamiczne adresy IP, przepełnieniem bufora, atakami typu brute-force i wieloma innymi. . Wraz z rozwojem Internetu rzeczy i późniejszym pojawieniem się botnetów IoT, głównym celem ataków DDoS stały się ataki na aplikacje. Większość stanowych WAF-ów może obsłużyć tylko ograniczoną ilość obciążenia. Mogą jednak sprawdzać przepływ ruchu HTTP/S i usuwać ruch związany z atakami oraz złośliwe połączenia. Po zidentyfikowaniu ataku nie ma sensu ponownie przepuszczać tego ruchu. Ponieważ zdolność WAF do odpierania ataków jest ograniczona, potrzebne jest dodatkowe rozwiązanie na obwodzie sieci, aby automatycznie blokować kolejne „złe” pakiety. W tym scenariuszu bezpieczeństwa oba rozwiązania muszą mieć możliwość komunikowania się ze sobą w celu wymiany informacji o atakach.
Rys. 1. Organizacja kompleksowej ochrony sieci i aplikacji na przykładzie rozwiązań Radware
Wyzwanie nr 4: Ciągła ochrona
Aplikacje zmieniają się często. Metodologie opracowywania i wdrażania, takie jak aktualizacje kroczące, oznaczają, że modyfikacje zachodzą bez interwencji i kontroli człowieka. W tak dynamicznych środowiskach trudno jest utrzymać odpowiednio funkcjonujące polityki bezpieczeństwa bez dużej liczby fałszywych alarmów. Aplikacje mobilne są aktualizowane znacznie częściej niż aplikacje internetowe. Aplikacje stron trzecich mogą ulec zmianie bez Twojej wiedzy. Niektóre organizacje poszukują większej kontroli i widoczności, aby być na bieżąco z potencjalnymi zagrożeniami. Nie zawsze jest to jednak możliwe do osiągnięcia, a niezawodna ochrona aplikacji musi wykorzystywać moc uczenia maszynowego do rozliczania i wizualizacji dostępnych zasobów, analizowania potencjalnych zagrożeń oraz tworzenia i optymalizowania polityk bezpieczeństwa na wypadek modyfikacji aplikacji.
odkrycia
Ponieważ aplikacje odgrywają coraz ważniejszą rolę w życiu codziennym, stają się głównym celem hakerów. Potencjalne korzyści dla przestępców i potencjalne straty dla przedsiębiorstw są ogromne. Nie można przecenić złożoności zadań związanych z bezpieczeństwem aplikacji, biorąc pod uwagę liczbę i różnorodność aplikacji i zagrożeń.
Na szczęście jesteśmy w takim momencie, że z pomocą może przyjść nam sztuczna inteligencja. Algorytmy oparte na uczeniu maszynowym zapewniają adaptacyjną ochronę w czasie rzeczywistym przed najbardziej zaawansowanymi zagrożeniami cybernetycznymi, których celem są aplikacje. Automatycznie aktualizują także zasady bezpieczeństwa, aby chronić aplikacje internetowe, mobilne i chmurowe – oraz interfejsy API – bez fałszywych alarmów.
Trudno z całą pewnością przewidzieć, jaka będzie kolejna generacja cyberzagrożeń aplikacyjnych (być może także opartych na uczeniu maszynowym). Jednak organizacje z pewnością mogą podjąć kroki w celu ochrony danych klientów, ochrony własności intelektualnej i zapewnienia dostępności usług, co przyniesie ogromne korzyści biznesowe.
Skuteczne podejścia i metody zapewnienia bezpieczeństwa aplikacji, główne rodzaje i wektory ataków, obszary ryzyka i luki w cyberochronie aplikacji webowych, a także globalne doświadczenia i najlepsze praktyki zostały przedstawione w badaniu i raporcie Radware „".
Źródło: www.habr.com