අතීතාවර්ජනය
යෙදුම් සඳහා සයිබර් තර්ජන වල පරිමාණය, සංයුතිය සහ සංයුතිය වේගයෙන් වර්ධනය වේ. වසර ගණනාවක් තිස්සේ, පරිශීලකයින් ජනප්රිය වෙබ් බ්රව්සර් භාවිතයෙන් අන්තර්ජාලය හරහා වෙබ් යෙදුම් වෙත ප්රවේශ වී ඇත. ඕනෑම අවස්ථාවක වෙබ් බ්රව්සර් 2-5කට සහය දැක්වීමට අවශ්ය වූ අතර වෙබ් යෙදුම් සංවර්ධනය කිරීම සහ පරීක්ෂා කිරීම සඳහා වූ ප්රමිතීන් තරමක් සීමිත විය. උදාහරණයක් ලෙස, සියලුම දත්ත සමුදායන් පාහේ SQL භාවිතයෙන් ගොඩනගා ඇත. අවාසනාවකට, කෙටි කාලයකට පසු, හැකර්වරු දත්ත සොරකම් කිරීමට, මකා දැමීමට හෝ වෙනස් කිරීමට වෙබ් යෙදුම් භාවිතා කිරීමට ඉගෙන ගත්හ. යෙදුම් භාවිතා කරන්නන් රැවටීම, එන්නත් කිරීම සහ දුරස්ථ කේත ක්රියාත්මක කිරීම ඇතුළු විවිධ ශිල්පීය ක්රම භාවිතා කරමින් ඔවුන් යෙදුම් හැකියාවන් වෙත නීති විරෝධී ප්රවේශය ලබා ගත් අතර අනිසි ලෙස භාවිතා කළහ. ඉක්මනින්ම, Web Application Firewalls (WAFs) නමින් වාණිජ වෙබ් යෙදුම් ආරක්ෂණ මෙවලම් වෙළඳපොළට පැමිණි අතර, සංවර්ධන ප්රමිතීන් සහ ක්රමවේද නිර්වචනය කිරීම සහ පවත්වාගෙන යාම සඳහා විවෘත වෙබ් යෙදුම් ආරක්ෂණ ව්යාපෘතියක් (OWASP) නිර්මාණය කිරීමෙන් ප්රජාව ප්රතිචාර දැක්වීය. ආරක්ෂිත යෙදුම්.
මූලික යෙදුම් ආරක්ෂාව
යෙදුම් සුරක්ෂිත කිරීම සඳහා ආරම්භක ලක්ෂ්යය වන අතර යෙදුම් අවදානම් වලට තුඩු දිය හැකි වඩාත් භයානක තර්ජන සහ වැරදි වින්යාස ලැයිස්තුවක් මෙන්ම ප්රහාර අනාවරණය කර පරාජය කිරීමේ උපක්රම අඩංගු වේ. OWASP Top 10 යනු ලොව පුරා යෙදුම් සයිබර් ආරක්ෂණ කර්මාන්තයේ පිළිගත් මිණුම් ලකුණක් වන අතර වෙබ් යෙදුම් ආරක්ෂණ (WAF) පද්ධතියකට තිබිය යුතු මූලික හැකියාවන් ලැයිස්තුව නිර්වචනය කරයි.
මීට අමතරව, WAF ක්රියාකාරීත්වය හරස් අඩවි ඉල්ලීම් ව්යාජය (CSRF), ක්ලික් ජැක් කිරීම, වෙබ් සීරීම් සහ ගොනු ඇතුළත් කිරීම (RFI/LFI) ඇතුළුව, වෙබ් යෙදුම් මත ඇති අනෙකුත් පොදු ප්රහාර සැලකිල්ලට ගත යුතුය.
නවීන යෙදුම්වල ආරක්ෂාව සහතික කිරීම සඳහා තර්ජන සහ අභියෝග
අද, සියලුම යෙදුම් ජාල අනුවාදයක් තුළ ක්රියාත්මක නොවේ. වලාකුළු යෙදුම්, ජංගම යෙදුම්, API සහ නවතම ගෘහ නිර්මාණ ශිල්පය තුළ අභිරුචි මෘදුකාංග ක්රියාකාරකම් පවා ඇත. මෙම සියලුම යෙදුම් වර්ග අපගේ දත්ත නිර්මාණය කරන විට, වෙනස් කරන විට සහ සැකසීමේදී සමමුහුර්ත කර පාලනය කළ යුතුය. නව තාක්ෂණයන් සහ සුසමාදර්ශයන් පැමිණීමත් සමඟ, යෙදුම් ජීවන චක්රයේ සෑම අදියරකදීම නව සංකීර්ණතා සහ අභියෝග මතු වේ. මෙයට සංවර්ධන සහ මෙහෙයුම් ඒකාබද්ධ කිරීම (DevOps), බහාලුම්, Internet of Things (IoT), විවෘත මූලාශ්ර මෙවලම්, API සහ තවත් දේ ඇතුළත් වේ.
බෙදා හරින ලද යෙදුම් යෙදවීම සහ තාක්ෂණයේ විවිධත්වය තොරතුරු ආරක්ෂණ වෘත්තිකයන් සඳහා පමණක් නොව, තවදුරටත් ඒකාබද්ධ ප්රවේශයක් මත විශ්වාසය තැබිය නොහැකි ආරක්ෂක විසඳුම් වෙළෙන්දන් සඳහාද සංකීර්ණ සහ සංකීර්ණ අභියෝග නිර්මාණය කරයි. ව්යාජ ධනාත්මක සහ පරිශීලකයින් සඳහා වන සේවාවන්හි ගුණාත්මක භාවය කඩාකප්පල් කිරීම වැළැක්වීම සඳහා යෙදුම් ආරක්ෂණ පියවරයන් ඔවුන්ගේ ව්යාපාරික විශේෂතා සැලකිල්ලට ගත යුතුය.
හැකර්වරුන්ගේ අවසාන ඉලක්කය සාමාන්යයෙන් දත්ත සොරකම් කිරීම හෝ සේවා ලබා ගැනීමට බාධා කිරීමයි. ප්රහාරකයන්ට තාක්ෂණික පරිණාමයෙන් ද ප්රතිලාභ ලැබේ. පළමුව, නව තාක්ෂණයන් දියුණු කිරීම වඩාත් විභව හිඩැස් සහ දුර්වලතා ඇති කරයි. දෙවනුව, සාම්ප්රදායික ආරක්ෂක පියවරයන් මඟ හැරීමට ඔවුන්ට වැඩි මෙවලම් සහ දැනුමක් ඇත. මෙය ඊනියා "ප්රහාරක මතුපිට" සහ නව අවදානම් වලට සංවිධානවල නිරාවරණය විශාල ලෙස වැඩි කරයි. තාක්ෂණයේ සහ යෙදුම්වල වෙනස්කම්වලට ප්රතිචාර වශයෙන් ආරක්ෂක ප්රතිපත්ති නිරන්තරයෙන් වෙනස් විය යුතුය.
මේ අනුව, යෙදුම් දිනෙන් දින වැඩි වන විවිධ ප්රහාරක ක්රම සහ ප්රභවයන්ගෙන් ආරක්ෂා කළ යුතු අතර, දැනුවත් තීරණ මත පදනම්ව ස්වයංක්රීය ප්රහාර තථ්ය කාලීනව ප්රතිරෝධය දැක්විය යුතුය. එහි ප්රතිඵලය වනුයේ ගණුදෙණු පිරිවැය සහ ශ්රමික ශ්රමය, දුර්වල වූ ආරක්ෂක ඉරියව්ව සමඟ සම්බන්ධ වීමයි.
කාර්යය #1: බොට් කළමනාකරණය
අන්තර්ජාල ගමනාගමනයෙන් 60%කට වඩා උත්පාදනය වන්නේ බොට් මගිනි, එයින් අඩක් "නරක" ගමනාගමනය වේ (අනුව ) සංවිධාන ජාල ධාරිතාව වැඩි කිරීම සඳහා ආයෝජනය කරයි, අත්යවශ්යයෙන්ම ව්යාජ බරක් සේවය කරයි. සැබෑ පරිශීලක ගමනාගමනය සහ බොට් ගමනාගමනය මෙන්ම “හොඳ” බොට් (උදාහරණයක් ලෙස සෙවුම් යන්ත්ර සහ මිල සැසඳීමේ සේවා) සහ “නරක” බොට් අතර නිවැරදිව වෙන්කර හඳුනා ගැනීමෙන් පරිශීලකයින් සඳහා සැලකිය යුතු පිරිවැය ඉතිරියක් සහ සේවාවේ ගුණාත්මක භාවය වැඩි කළ හැකිය.
බොට්ස් මෙම කාර්යය පහසු නොකරන අතර, ඔවුන්ට සැබෑ පරිශීලකයින්ගේ හැසිරීම අනුකරණය කළ හැකිය, CAPTCHAs සහ වෙනත් බාධක මඟ හැරිය හැක. එපමණක් නොව, ගතික IP ලිපින භාවිතා කරන ප්රහාර වලදී, IP ලිපින පෙරීම මත පදනම් වූ ආරක්ෂාව අකාර්යක්ෂම වේ. බොහෝ විට, සේවාදායකයා-පාර්ශවීය JavaScript හැසිරවිය හැකි විවෘත මූලාශ්ර සංවර්ධන මෙවලම් (උදාහරණයක් ලෙස, Phantom JS) තිරිසන් ප්රහාර, අක්තපත්ර පිරවුම් ප්රහාර, DDoS ප්රහාර සහ ස්වයංක්රීය බොට් ප්රහාර දියත් කිරීමට භාවිතා කරයි.
bot Traffic ඵලදායී ලෙස කළමනාකරණය කිරීම සඳහා, එහි මූලාශ්රය (ඇඟිලි සලකුණක් වැනි) අනන්ය හඳුනාගැනීමක් අවශ්ය වේ. බොට් ප්රහාරයක් බහු වාර්තා ජනනය කරන බැවින්, එහි ඇඟිලි සලකුණ මඟින් සැක කටයුතු ක්රියාකාරකම් හඳුනා ගැනීමට සහ ලකුණු ලබා දීමට ඉඩ සලසයි, ඒ මත පදනම්ව යෙදුම් ආරක්ෂණ පද්ධතිය දැනුවත් තීරණයක් - අවහිර කිරීම/අවසර දීම - අවම ව්යාජ ධනාත්මක අනුපාතයක් සහිතව.
අභියෝගය #2: API ආරක්ෂා කිරීම
බොහෝ යෙදුම් API හරහා අන්තර්ක්රියා කරන සේවාවන්ගෙන් තොරතුරු සහ දත්ත රැස් කරයි. API හරහා සංවේදී දත්ත සම්ප්රේෂණය කරන විට, ආයතනවලින් 50%කට වඩා වැඩි ප්රමාණයක් සයිබර් ප්රහාර හඳුනාගැනීම සඳහා API වලංගු කිරීම හෝ සුරක්ෂිත නොකරයි.
API භාවිතා කිරීමේ උදාහරණ:
- දේවල් අන්තර්ජාලය (IoT) ඒකාබද්ධ කිරීම
- යන්ත්රයෙන් යන්ත්රයෙන් සන්නිවේදනය
- සේවාදායක රහිත පරිසරය
- ජංගම යෙදුම්
- සිදුවීම් මත පදනම් වූ යෙදුම්
API දුර්වලතා යෙදුම් දුර්වලතා වලට සමාන වන අතර එන්නත්, ප්රොටෝකෝල ප්රහාර, පරාමිති හැසිරවීම, යළි-යොමුවීම් සහ බොට් ප්රහාර ඇතුළත් වේ. API හරහා අන්තර්ක්රියා කරන යෙදුම් සේවා අතර ගැළපුම සහතික කිරීමට කැපවූ API ද්වාර උපකාරී වේ. කෙසේ වෙතත්, ඔවුන් HTTP ශීර්ෂ විග්රහ කිරීම, ලේයර් 7 ප්රවේශ පාලන ලැයිස්තුව (ACL), JSON/XML ගෙවීම් විග්රහ කිරීම සහ පරීක්ෂණය වැනි අත්යවශ්ය ආරක්ෂක මෙවලම් සමඟ WAF කෑන් වැනි අන්තයේ සිට අවසානය දක්වා යෙදුම් ආරක්ෂාව සපයන්නේ නැත. OWASP Top 10 ලැයිස්තුව. මෙය සාක්ෂාත් කරගනු ලබන්නේ ධනාත්මක සහ සෘණ ආකෘති භාවිතා කරමින් ප්රධාන API අගයන් පරීක්ෂා කිරීමෙනි.
අභියෝගය #3: සේවය ප්රතික්ෂේප කිරීම
පැරණි ප්රහාරක දෛශිකයක්, සේවා ප්රතික්ෂේප කිරීම (DoS), යෙදුම් වලට පහර දීමේදී එහි කාර්යක්ෂමතාවය දිගටම ඔප්පු කරයි. HTTP හෝ HTTPS ගංවතුර, අඩු සහ මන්දගාමී ප්රහාර (උදා. SlowLoris, LOIC, Torshammer), ගතික IP ලිපින භාවිතා කරන ප්රහාර, බෆර පිටාර ගැලීම, බෲට් ප්රහාර, සහ තවත් බොහෝ දේ ඇතුළුව යෙදුම් සේවා කඩාකප්පල් කිරීමට ප්රහාරකයන්ට සාර්ථක තාක්ෂණික ක්රම රාශියක් ඇත. . ඉන්ටර්නෙට් ඔෆ් තින්ග්ස් හි දියුණුවත් සමඟම සහ පසුව IoT බොට්නෙට් බිහිවීමත් සමඟ, යෙදුම් වලට පහර දීම DDoS ප්රහාරවල ප්රධාන අවධානය බවට පත්ව ඇත. බොහෝ ප්රකාශිත WAF වලට හැසිරවිය හැක්කේ සීමිත බරක් පමණි. කෙසේ වෙතත්, ඔවුන්ට HTTP/S ගමනාගමන ප්රවාහ පරීක්ෂා කිරීමට සහ ප්රහාරක තදබදය සහ අනිෂ්ට සම්බන්ධතා ඉවත් කිරීමට හැකිය. ප්රහාරයක් හදුනාගත් පසු නැවත මේ ගමනාගමනය පසුකර යාමෙන් පලක් නැත. ප්රහාර මැඩලීමට WAF සතු හැකියාව සීමිත බැවින්, මීළඟ "නරක" පැකට් ස්වයංක්රීයව අවහිර කිරීමට ජාල පරිමිතියේදී අමතර විසඳුමක් අවශ්ය වේ. මෙම ආරක්ෂක තත්ත්වය සඳහා, ප්රහාර පිළිබඳ තොරතුරු හුවමාරු කර ගැනීම සඳහා විසඳුම් දෙකටම එකිනෙකා සමඟ සන්නිවේදනය කිරීමට හැකි විය යුතුය.
Figure 1. Radware විසඳුම්වල උදාහරණය භාවිතා කරමින් විස්තීර්ණ ජාලයක් සහ යෙදුම් ආරක්ෂාවක් සංවිධානය කිරීම
අභියෝගය #4: අඛණ්ඩ ආරක්ෂාව
යෙදුම් නිතර වෙනස් වේ. රෝලිං යාවත්කාලීන වැනි සංවර්ධන සහ ක්රියාත්මක කිරීමේ ක්රමවේද යන්නෙන් අදහස් වන්නේ වෙනස් කිරීම් මිනිස් මැදිහත්වීමකින් හෝ පාලනයකින් තොරව සිදු වන බවයි. එවැනි ගතික පරිසරයන් තුළ, ව්යාජ ධනාත්මක සංඛ්යාවකින් තොරව ප්රමාණවත් ලෙස ක්රියාත්මක වන ආරක්ෂක ප්රතිපත්ති පවත්වා ගැනීම දුෂ්කර ය. ජංගම යෙදුම් වෙබ් යෙදුම් වලට වඩා බොහෝ විට යාවත්කාලීන වේ. තෙවන පාර්ශවීය යෙදුම් ඔබගේ අනුදැනුමකින් තොරව වෙනස් විය හැක. සමහර ආයතන විභව අවදානම් මත රැඳී සිටීමට වැඩි පාලනයක් සහ දෘශ්යතාවක් අපේක්ෂා කරයි. කෙසේ වෙතත්, මෙය සැමවිටම සාක්ෂාත් කරගත නොහැකි අතර, පවතින සම්පත් ගිණුම්ගත කිරීමට සහ දෘශ්යමාන කිරීමට, විභව තර්ජන විශ්ලේෂණය කිරීමට සහ යෙදුම් වෙනස් කිරීම් වලදී ආරක්ෂක ප්රතිපත්ති නිර්මාණය කිරීමට සහ ප්රශස්ත කිරීමට විශ්වාසනීය යෙදුම් ආරක්ෂාව යන්ත්ර ඉගෙනීමේ බලය භාවිතා කළ යුතුය.
සොයා ගැනීම්
එදිනෙදා ජීවිතයේදී යෙදුම් වැඩි වැඩියෙන් වැදගත් කාර්යභාරයක් ඉටු කරන බැවින්, ඒවා හැකර්වරුන්ගේ ප්රධාන ඉලක්කයක් බවට පත්වේ. අපරාධකරුවන්ට ලැබිය හැකි විපාක සහ ව්යාපාරවලට ඇති විය හැකි පාඩු අතිමහත් ය. යෙදුම් සහ තර්ජන වල සංඛ්යාව සහ වෙනස්කම් අනුව යෙදුම් ආරක්ෂණ කාර්යයේ සංකීර්ණත්වය අධිතක්සේරු කළ නොහැක.
වාසනාවකට මෙන්, අපි කෘතිම බුද්ධිය අපගේ ආධාරයට පැමිණිය හැකි කාලයක සිටිමු. යන්ත්ර ඉගෙනීම මත පදනම් වූ ඇල්ගොරිතම යෙදුම් ඉලක්ක කර ගන්නා වඩාත් දියුණු සයිබර් තර්ජනවලට එරෙහිව තත්ය කාලීන, අනුවර්තන ආරක්ෂාව සපයයි. ඔවුන් වෙබ්, ජංගම සහ වලාකුළු යෙදුම්-සහ API-ව්යාජ ධනාත්මක වලින් තොරව ආරක්ෂා කිරීමට ආරක්ෂක ප්රතිපත්ති ස්වයංක්රීයව යාවත්කාලීන කරයි.
ඊළඟ පරම්පරාවේ යෙදුම් සයිබර් තර්ජන (සමහරවිට යන්ත්ර ඉගෙනීම මතද) කුමක් වේ දැයි නිශ්චිතව අනාවැකි කීම අපහසුය. එහෙත් ආයතනවලට නිසැකවම පාරිභෝගික දත්ත ආරක්ෂා කිරීමට, බුද්ධිමය දේපළ ආරක්ෂා කිරීමට සහ විශාල ව්යාපාරික ප්රතිලාභ සමඟ සේවා ලබා ගැනීම සහතික කිරීමට පියවර ගත හැකිය.
යෙදුම් ආරක්ෂාව සහතික කිරීම සඳහා ඵලදායී ප්රවේශයන් සහ ක්රම, ප්රහාරවල ප්රධාන වර්ග සහ වාහකයන්, අවදානම් ප්රදේශ සහ වෙබ් යෙදුම්වල සයිබර් ආරක්ෂණයේ හිඩැස් මෙන්ම ගෝලීය අත්දැකීම් සහ හොඳම භාවිතයන් Radware අධ්යයනය සහ වාර්තාවේ ඉදිරිපත් කර ඇත.".
මූලාශ්රය: www.habr.com