Retrospectiv
Amploarea, compoziția și compoziția amenințărilor cibernetice la adresa aplicațiilor evoluează rapid. De mulți ani, utilizatorii au accesat aplicații web prin Internet folosind browsere web populare. Era necesar să se suporte 2-5 browsere web în orice moment, iar setul de standarde pentru dezvoltarea și testarea aplicațiilor web a fost destul de limitat. De exemplu, aproape toate bazele de date au fost construite folosind SQL. Din păcate, după puțin timp, hackerii au învățat să folosească aplicații web pentru a fura, șterge sau modifica date. Aceștia au obținut acces ilegal și au abuzat de capabilitățile aplicației folosind o varietate de tehnici, inclusiv înșelarea utilizatorilor aplicației, injectarea și executarea codului de la distanță. În curând, instrumentele comerciale de securitate a aplicațiilor web numite Web Application Firewalls (WAF) au apărut pe piață, iar comunitatea a răspuns prin crearea unui proiect de securitate a aplicațiilor web deschise, Open Web Application Security Project (OWASP), pentru a defini și menține standardele și metodologiile de dezvoltare. . aplicații sigure.
Protecția de bază a aplicației
este punctul de plecare pentru securizarea aplicațiilor și conține o listă cu cele mai periculoase amenințări și configurații greșite care pot duce la vulnerabilități ale aplicațiilor, precum și tactici pentru detectarea și înfrângerea atacurilor. OWASP Top 10 este un etalon recunoscut în industria de securitate cibernetică a aplicațiilor la nivel mondial și definește lista de bază de capabilități pe care ar trebui să le aibă un sistem de securitate a aplicațiilor web (WAF).
În plus, funcționalitatea WAF trebuie să țină cont de alte atacuri comune asupra aplicațiilor web, inclusiv falsificarea cererilor între site-uri (CSRF), clickjacking, web scraping și includerea fișierelor (RFI/LFI).
Amenințări și provocări pentru asigurarea securității aplicațiilor moderne
Astăzi, nu toate aplicațiile sunt implementate într-o versiune de rețea. Există aplicații cloud, aplicații mobile, API-uri și, în cele mai recente arhitecturi, chiar și funcții software personalizate. Toate aceste tipuri de aplicații trebuie să fie sincronizate și controlate pe măsură ce creează, modifică și procesează datele noastre. Odată cu apariția noilor tehnologii și paradigme, apar noi complexități și provocări în toate etapele ciclului de viață al aplicației. Aceasta include dezvoltarea și integrarea operațiunilor (DevOps), containere, Internet of Things (IoT), instrumente open source, API-uri și multe altele.
Implementarea distribuită a aplicațiilor și diversitatea tehnologiilor creează provocări complexe și complexe nu numai pentru profesioniștii în securitatea informațiilor, ci și pentru furnizorii de soluții de securitate care nu se mai pot baza pe o abordare unificată. Măsurile de securitate a aplicațiilor trebuie să țină cont de specificul lor de afaceri pentru a preveni falsele pozitive și perturbarea calității serviciilor pentru utilizatori.
Scopul final al hackerilor este de obicei fie să fure date, fie să perturbe disponibilitatea serviciilor. Atacatorii beneficiază și de evoluția tehnologică. În primul rând, dezvoltarea de noi tehnologii creează mai multe lacune potențiale și vulnerabilități. În al doilea rând, au mai multe instrumente și cunoștințe în arsenalul lor pentru a ocoli măsurile tradiționale de securitate. Acest lucru crește foarte mult așa-numita „suprafață de atac” și expunerea organizațiilor la noi riscuri. Politicile de securitate trebuie să se schimbe în mod constant ca răspuns la schimbările din tehnologie și aplicații.
Astfel, aplicațiile trebuie protejate de o varietate din ce în ce mai mare de metode și surse de atac, iar atacurile automate trebuie contracarate în timp real pe baza unor decizii informate. Rezultatul este creșterea costurilor de tranzacție și a forței de muncă manuală, împreună cu o poziție de securitate slăbită.
Sarcina #1: Gestionarea botilor
Peste 60% din traficul pe Internet este generat de roboți, din care jumătate este trafic „prost” (conform ). Organizațiile investesc în creșterea capacității rețelei, servind în esență o sarcină fictivă. Distingerea cu precizie între traficul real al utilizatorilor și traficul de bot, precum și roboții „bune” (de exemplu, motoarele de căutare și serviciile de comparare a prețurilor) și roboții „răi” poate duce la economii semnificative de costuri și la îmbunătățirea calității serviciilor pentru utilizatori.
Boții nu vor face această sarcină ușoară și pot imita comportamentul utilizatorilor reali, pot ocoli CAPTCHA-urile și alte obstacole. Mai mult, în cazul atacurilor care utilizează adrese IP dinamice, protecția bazată pe filtrarea adreselor IP devine ineficientă. Adesea, instrumentele de dezvoltare open source (de exemplu, Phantom JS) care pot gestiona JavaScript la nivel de client sunt folosite pentru a lansa atacuri de forță brută, atacuri de umplere a acreditărilor, atacuri DDoS și atacuri automate de bot.
Pentru a gestiona eficient traficul bot, este necesară o identificare unică a sursei sale (cum ar fi o amprentă). Deoarece un atac de bot generează mai multe înregistrări, amprenta sa îi permite să identifice activități suspecte și să atribuie scoruri, pe baza cărora sistemul de protecție a aplicației ia o decizie informată - blochează/permite - cu o rată minimă de fals pozitive.
Provocarea nr. 2: Protejarea API-ului
Multe aplicații colectează informații și date de la serviciile cu care interacționează prin intermediul API-urilor. Atunci când transmit date sensibile prin intermediul API-urilor, mai mult de 50% dintre organizații nici nu validează și nici nu securizează API-urile pentru a detecta atacurile cibernetice.
Exemple de utilizare a API-ului:
- Integrare Internet of Things (IoT).
- Comunicare de la mașină la mașină
- Medii fără server
- Aplicații mobile
- Aplicații bazate pe evenimente
Vulnerabilitățile API sunt similare cu vulnerabilitățile aplicațiilor și includ injecții, atacuri de protocol, manipulare a parametrilor, redirecționări și atacuri bot. Gateway-urile API dedicate ajută la asigurarea compatibilității între serviciile aplicației care interacționează prin intermediul API-urilor. Cu toate acestea, ele nu oferă securitate de la capăt la capăt la aplicații, cum ar fi un WAF cu instrumente de securitate esențiale, cum ar fi analiza antetului HTTP, lista de control al accesului de nivel 7 (ACL), analiza și inspecția sarcinii utile JSON/XML și protecție împotriva tuturor vulnerabilităților de la Lista OWASP Top 10 Acest lucru se realizează prin inspectarea valorilor cheie API folosind modele pozitive și negative.
Provocarea nr. 3: Refuzarea serviciului
Un vechi vector de atac, denial of service (DoS), continuă să-și demonstreze eficiența în atacarea aplicațiilor. Atacatorii au o serie de tehnici de succes pentru a perturba serviciile de aplicații, inclusiv inundații HTTP sau HTTPS, atacuri scăzute și lente (de exemplu, SlowLoris, LOIC, Torshammer), atacuri care utilizează adrese IP dinamice, depășire a memoriei tampon, atacuri cu forță brută și multe altele. . Odată cu dezvoltarea Internetului lucrurilor și apariția ulterioară a rețelelor botnet IoT, atacurile asupra aplicațiilor au devenit principalul obiectiv al atacurilor DDoS. Majoritatea WAF-urilor cu stare pot gestiona doar o cantitate limitată de încărcare. Cu toate acestea, ei pot inspecta fluxurile de trafic HTTP/S și pot elimina traficul de atac și conexiunile rău intenționate. Odată ce un atac a fost identificat, nu mai are rost să trecem din nou peste acest trafic. Deoarece capacitatea WAF de a respinge atacurile este limitată, este necesară o soluție suplimentară la perimetrul rețelei pentru a bloca automat următoarele pachete „rele”. Pentru acest scenariu de securitate, ambele soluții trebuie să poată comunica între ele pentru a face schimb de informații despre atacuri.
Fig 1. Organizarea protecției cuprinzătoare a rețelei și a aplicațiilor folosind exemplul soluțiilor Radware
Provocarea #4: Protecție continuă
Aplicațiile se schimbă frecvent. Metodologiile de dezvoltare și implementare, cum ar fi actualizările continuă, înseamnă că modificările apar fără intervenție sau control uman. În astfel de medii dinamice, este dificil să se mențină politici de securitate funcționale adecvat fără un număr mare de fals pozitive. Aplicațiile mobile sunt actualizate mult mai frecvent decât aplicațiile web. Aplicațiile de la terți se pot schimba fără știrea dvs. Unele organizații caută un control și o vizibilitate mai mare pentru a rămâne la curent cu potențialele riscuri. Cu toate acestea, acest lucru nu este întotdeauna realizabil, iar protecția fiabilă a aplicațiilor trebuie să folosească puterea învățării automate pentru a lua în considerare și a vizualiza resursele disponibile, pentru a analiza potențialele amenințări și pentru a crea și optimiza politici de securitate în cazul modificărilor aplicației.
Constatări
Pe măsură ce aplicațiile joacă un rol din ce în ce mai important în viața de zi cu zi, ele devin o țintă principală pentru hackeri. Potențialele recompense pentru criminali și potențialele pierderi pentru afaceri sunt enorme. Complexitatea sarcinii de securitate a aplicației nu poate fi supraestimată, având în vedere numărul și variațiile aplicațiilor și amenințărilor.
Din fericire, ne aflăm într-un moment în care inteligența artificială ne poate veni în ajutor. Algoritmii bazați pe învățarea automată oferă protecție adaptivă în timp real împotriva celor mai avansate amenințări cibernetice care vizează aplicații. De asemenea, actualizează automat politicile de securitate pentru a proteja aplicațiile web, mobile și cloud — și API-urile — fără fals pozitive.
Este dificil de prezis cu certitudine care va fi următoarea generație de amenințări cibernetice de aplicații (posibil bazate și pe învățarea automată). Dar organizațiile pot lua cu siguranță măsuri pentru a proteja datele clienților, pentru a proteja proprietatea intelectuală și pentru a asigura disponibilitatea serviciilor cu avantaje mari de afaceri.
Abordările și metodele eficiente pentru asigurarea securității aplicațiilor, principalele tipuri și vectori de atacuri, zone de risc și lacune în protecția cibernetică a aplicațiilor web, precum și experiența globală și cele mai bune practici sunt prezentate în studiul și raportul Radware „".
Sursa: www.habr.com
