Retrospectiva
A escala, a composição e a composição das ameaças cibernéticas às aplicações estão evoluindo rapidamente. Por muitos anos, os usuários acessaram aplicativos da web pela Internet usando navegadores populares. Era necessário oferecer suporte de 2 a 5 navegadores da Web a qualquer momento, e o conjunto de padrões para desenvolvimento e teste de aplicativos da Web era bastante limitado. Por exemplo, quase todos os bancos de dados foram construídos em SQL. Infelizmente, depois de um curto período de tempo, os hackers aprenderam a usar aplicativos da web para roubar, excluir ou alterar dados. Eles obtiveram acesso ilegal e abusaram dos recursos dos aplicativos usando uma variedade de técnicas, incluindo engano de usuários de aplicativos, injeção e execução remota de código. Logo, ferramentas comerciais de segurança de aplicações web chamadas Web Application Firewalls (WAFs) chegaram ao mercado, e a comunidade respondeu criando um projeto aberto de segurança de aplicações web, o Open Web Application Security Project (OWASP), para definir e manter padrões e metodologias de desenvolvimento. • aplicativos seguros.
Proteção básica de aplicativos
é o ponto de partida para proteger aplicativos e contém uma lista das ameaças e configurações incorretas mais perigosas que podem levar a vulnerabilidades de aplicativos, bem como táticas para detectar e derrotar ataques. O OWASP Top 10 é uma referência reconhecida no setor de segurança cibernética de aplicações em todo o mundo e define a lista básica de recursos que um sistema de segurança de aplicações web (WAF) deve ter.
Além disso, a funcionalidade WAF deve levar em conta outros ataques comuns a aplicações web, incluindo falsificação de solicitação entre sites (CSRF), clickjacking, web scraping e inclusão de arquivos (RFI/LFI).
Ameaças e desafios para garantir a segurança das aplicações modernas
Hoje, nem todos os aplicativos são implementados em versão de rede. Existem aplicativos em nuvem, aplicativos móveis, APIs e, nas arquiteturas mais recentes, até funções de software personalizadas. Todos esses tipos de aplicativos precisam ser sincronizados e controlados à medida que criam, modificam e processam nossos dados. Com o advento de novas tecnologias e paradigmas, surgem novas complexidades e desafios em todas as fases do ciclo de vida da aplicação. Isso inclui integração de desenvolvimento e operações (DevOps), contêineres, Internet das Coisas (IoT), ferramentas de código aberto, APIs e muito mais.
A implantação distribuída de aplicativos e a diversidade de tecnologias criam desafios complexos e complexos não apenas para os profissionais de segurança da informação, mas também para os fornecedores de soluções de segurança que não podem mais confiar em uma abordagem unificada. As medidas de segurança das aplicações devem levar em consideração as especificidades do seu negócio para evitar falsos positivos e interrupção da qualidade dos serviços aos usuários.
O objetivo final dos hackers geralmente é roubar dados ou interromper a disponibilidade de serviços. Os invasores também se beneficiam da evolução tecnológica. Primeiro, o desenvolvimento de novas tecnologias cria mais lacunas e vulnerabilidades potenciais. Em segundo lugar, têm mais ferramentas e conhecimentos no seu arsenal para contornar as medidas de segurança tradicionais. Isto aumenta enormemente a chamada “superfície de ataque” e a exposição das organizações a novos riscos. As políticas de segurança devem mudar constantemente em resposta às mudanças na tecnologia e nas aplicações.
Assim, as aplicações devem ser protegidas contra uma variedade cada vez maior de métodos e fontes de ataque, e os ataques automatizados devem ser combatidos em tempo real com base em decisões informadas. O resultado é o aumento dos custos de transação e do trabalho manual, juntamente com uma postura de segurança enfraquecida.
Tarefa nº 1: Gerenciando bots
Mais de 60% do tráfego da Internet é gerado por bots, metade dos quais é tráfego “ruim” (de acordo com ). As organizações investem no aumento da capacidade da rede, atendendo essencialmente a uma carga fictícia. Distinguir com precisão entre o tráfego real de usuários e o tráfego de bots, bem como entre bots “bons” (por exemplo, robôs de pesquisa e serviços de comparação de preços) e bots “ruins” pode resultar em economias de custos significativas e melhor qualidade de serviço para os usuários.
Os bots não vão facilitar essa tarefa e podem imitar o comportamento de usuários reais, contornar CAPTCHAs e outros obstáculos. Além disso, no caso de ataques que utilizam endereços IP dinâmicos, a proteção baseada na filtragem de endereços IP torna-se ineficaz. Freqüentemente, ferramentas de desenvolvimento de código aberto (por exemplo, Phantom JS) que podem lidar com JavaScript do lado do cliente são usadas para lançar ataques de força bruta, ataques de preenchimento de credenciais, ataques DDoS e ataques automatizados de bots.
Para gerenciar efetivamente o tráfego de bots, é necessária uma identificação exclusiva de sua origem (como uma impressão digital). Como um ataque de bot gera múltiplos registros, sua impressão digital permite identificar atividades suspeitas e atribuir pontuações, com base nas quais o sistema de proteção de aplicativos toma uma decisão informada – bloquear/permitir – com uma taxa mínima de falsos positivos.
Desafio nº 2: Protegendo a API
Muitos aplicativos coletam informações e dados de serviços com os quais interagem por meio de APIs. Ao transmitir dados confidenciais por meio de APIs, mais de 50% das organizações não validam nem protegem APIs para detectar ataques cibernéticos.
Exemplos de uso da API:
- Integração da Internet das Coisas (IoT)
- Comunicação máquina a máquina
- Ambientes sem servidor
- Мобильные приложения
- Aplicativos orientados a eventos
As vulnerabilidades de API são semelhantes às vulnerabilidades de aplicativos e incluem injeções, ataques de protocolo, manipulação de parâmetros, redirecionamentos e ataques de bot. Gateways de API dedicados ajudam a garantir a compatibilidade entre serviços de aplicativos que interagem por meio de APIs. No entanto, eles não fornecem segurança de aplicativo ponta a ponta como um WAF pode oferecer com ferramentas de segurança essenciais, como análise de cabeçalho HTTP, lista de controle de acesso (ACL) da Camada 7, análise e inspeção de carga útil JSON/XML e proteção contra todas as vulnerabilidades de Lista OWASP Top 10. Isso é conseguido inspecionando os principais valores da API usando modelos positivos e negativos.
Desafio nº 3: Negação de serviço
Um antigo vetor de ataque, a negação de serviço (DoS), continua a provar sua eficácia no ataque a aplicações. Os invasores têm uma variedade de técnicas bem-sucedidas para interromper serviços de aplicativos, incluindo inundações HTTP ou HTTPS, ataques lentos e lentos (por exemplo, SlowLoris, LOIC, Torshammer), ataques usando endereços IP dinâmicos, buffer overflow, ataques de força bruta e muitos outros. . Com o desenvolvimento da Internet das Coisas e o subsequente surgimento de botnets IoT, os ataques a aplicações tornaram-se o foco principal dos ataques DDoS. A maioria dos WAFs com estado só consegue lidar com uma quantidade limitada de carga. No entanto, eles podem inspecionar fluxos de tráfego HTTP/S e remover tráfego de ataque e conexões maliciosas. Uma vez identificado um ataque, não faz sentido repassar esse tráfego. Como a capacidade do WAF de repelir ataques é limitada, é necessária uma solução adicional no perímetro da rede para bloquear automaticamente os próximos pacotes “ruins”. Para este cenário de segurança, ambas as soluções devem ser capazes de comunicar entre si para trocar informações sobre ataques.
Fig 1. Organização de proteção abrangente de redes e aplicativos usando o exemplo das soluções Radware
Desafio nº 4: Proteção Contínua
Os aplicativos mudam com frequência. Metodologias de desenvolvimento e implementação, como atualizações contínuas, significam que as modificações ocorrem sem intervenção ou controle humano. Nesses ambientes dinâmicos, é difícil manter políticas de segurança funcionando adequadamente sem um grande número de falsos positivos. Os aplicativos móveis são atualizados com muito mais frequência do que os aplicativos da web. Os aplicativos de terceiros podem mudar sem o seu conhecimento. Algumas organizações estão buscando maior controle e visibilidade para ficarem atentas aos riscos potenciais. No entanto, isso nem sempre é possível, e a proteção confiável de aplicações deve usar o poder do aprendizado de máquina para contabilizar e visualizar os recursos disponíveis, analisar ameaças potenciais e criar e otimizar políticas de segurança no caso de modificações nas aplicações.
Descobertas
À medida que os aplicativos desempenham um papel cada vez mais importante na vida cotidiana, eles se tornam o principal alvo dos hackers. As recompensas potenciais para os criminosos e as perdas potenciais para as empresas são enormes. A complexidade da tarefa de segurança de aplicações não pode ser exagerada, dado o número e as variações de aplicações e ameaças.
Felizmente, estamos num momento em que a inteligência artificial pode vir em nosso auxílio. Algoritmos baseados em aprendizado de máquina fornecem proteção adaptativa em tempo real contra as ameaças cibernéticas mais avançadas direcionadas a aplicativos. Eles também atualizam automaticamente as políticas de segurança para proteger aplicativos da Web, móveis e em nuvem — e APIs — sem falsos positivos.
É difícil prever com certeza qual será a próxima geração de ameaças cibernéticas a aplicações (possivelmente também baseadas em aprendizagem automática). Mas as organizações podem certamente tomar medidas para proteger os dados dos clientes, proteger a propriedade intelectual e garantir a disponibilidade do serviço com grandes benefícios comerciais.
Abordagens e métodos eficazes para garantir a segurança das aplicações, os principais tipos e vetores de ataques, áreas de risco e lacunas na proteção cibernética de aplicações web, bem como a experiência global e as melhores práticas são apresentadas no estudo e relatório da Radware “".
Fonte: habr.com