Retrospektíva
Rozsah, zloženie a zloženie kybernetických hrozieb pre aplikácie sa rýchlo vyvíja. Používatelia už mnoho rokov pristupujú k webovým aplikáciám cez internet pomocou populárnych webových prehliadačov. V každom okamihu bolo potrebné podporovať 2-5 webových prehliadačov a súbor štandardov pre vývoj a testovanie webových aplikácií bol značne obmedzený. Napríklad takmer všetky databázy boli vytvorené pomocou SQL. Žiaľ, po krátkom čase sa hackeri naučili využívať webové aplikácie na odcudzenie, mazanie či zmenu údajov. Získali nelegálny prístup k aplikačným schopnostiam a zneužili ich pomocou rôznych techník, vrátane klamania používateľov aplikácie, vstrekovania a vzdialeného spúšťania kódu. Čoskoro prišli na trh komerčné bezpečnostné nástroje webových aplikácií s názvom Web Application Firewalls (WAF) a komunita zareagovala vytvorením projektu bezpečnosti otvorených webových aplikácií, Open Web Application Security Project (OWASP), s cieľom definovať a udržiavať vývojové štandardy a metodológie. bezpečné aplikácie.
Základná ochrana aplikácie
je východiskovým bodom pre zabezpečenie aplikácií a obsahuje zoznam najnebezpečnejších hrozieb a nesprávnych konfigurácií, ktoré môžu viesť k zraniteľnosti aplikácií, ako aj taktiky na detekciu a porážku útokov. Top 10 OWASP je celosvetovo uznávaným meradlom v odvetví kybernetickej bezpečnosti aplikácií a definuje hlavný zoznam schopností, ktoré by mal mať systém zabezpečenia webových aplikácií (WAF).
Funkcionalita WAF musí navyše brať do úvahy ďalšie bežné útoky na webové aplikácie, vrátane falšovania žiadostí medzi stránkami (CSRF), clickjacking, web scraping a začlenenie súborov (RFI/LFI).
Hrozby a výzvy pre zaistenie bezpečnosti moderných aplikácií
Dnes nie sú všetky aplikácie implementované v sieťovej verzii. Existujú cloudové aplikácie, mobilné aplikácie, API a v najnovších architektúrach dokonca aj vlastné softvérové funkcie. Všetky tieto typy aplikácií musia byť synchronizované a kontrolované, keď vytvárajú, upravujú a spracúvajú naše údaje. S príchodom nových technológií a paradigiem vznikajú vo všetkých fázach životného cyklu aplikácie nové zložitosti a výzvy. To zahŕňa vývojovú a prevádzkovú integráciu (DevOps), kontajnery, internet vecí (IoT), open source nástroje, API a ďalšie.
Distribuované nasadenie aplikácií a rôznorodosť technológií vytvára zložité a komplexné výzvy nielen pre profesionálov v oblasti informačnej bezpečnosti, ale aj pre predajcov bezpečnostných riešení, ktorí sa už nemôžu spoliehať na jednotný prístup. Bezpečnostné opatrenia aplikácií musia zohľadňovať ich obchodné špecifiká, aby sa predišlo falošným pozitívam a narušeniu kvality služieb pre používateľov.
Konečným cieľom hackerov je zvyčajne buď ukradnúť dáta, alebo narušiť dostupnosť služieb. Útočníci tiež ťažia z technologického vývoja. Po prvé, vývoj nových technológií vytvára ďalšie potenciálne medzery a zraniteľné miesta. Po druhé, vo svojom arzenáli majú viac nástrojov a znalostí na obídenie tradičných bezpečnostných opatrení. To výrazne zvyšuje takzvaný „útočný povrch“ a vystavenie organizácií novým rizikám. Bezpečnostná politika sa musí neustále meniť v reakcii na zmeny v technológii a aplikáciách.
Aplikácie teda musia byť chránené pred neustále rastúcou rozmanitosťou metód a zdrojov útokov a automatizovaným útokom je potrebné čeliť v reálnom čase na základe informovaných rozhodnutí. Výsledkom sú zvýšené transakčné náklady a manuálna práca spojená s oslabenou bezpečnostnou pozíciou.
Úloha č. 1: Správa robotov
Viac ako 60 % internetovej prevádzky generujú roboty, pričom polovica z nich je „zlá“ návštevnosť (podľa ). Organizácie investujú do zvyšovania kapacity siete, v podstate slúžiacej fiktívnej záťaži. Presné rozlíšenie medzi reálnou návštevnosťou používateľov a návštevnosťou robotov, ako aj „dobrých“ robotov (napríklad vyhľadávače a služby porovnávania cien) a „zlých“ robotov môže viesť k výrazným úsporám nákladov a zlepšeniu kvality služieb pre používateľov.
Boti túto úlohu neuľahčia a dokážu napodobniť správanie skutočných používateľov, obísť CAPTCHA a iné prekážky. Navyše v prípade útokov využívajúcich dynamické IP adresy sa ochrana založená na filtrovaní IP adries stáva neúčinnou. Vývojové nástroje s otvoreným zdrojovým kódom (napríklad Phantom JS), ktoré dokážu spracovať JavaScript na strane klienta, sa často používajú na spustenie útokov hrubou silou, útokov na plnenie poverení, útokov DDoS a automatizovaných útokov botov.
Na efektívne riadenie návštevnosti robotov je potrebná jedinečná identifikácia ich zdroja (napríklad odtlačok prsta). Keďže útok botom generuje viacero záznamov, jeho odtlačok umožňuje identifikovať podozrivú aktivitu a priradiť skóre, na základe ktorého systém ochrany aplikácií urobí informované rozhodnutie – blokovať/povoliť – s minimálnou mierou falošných poplachov.
Výzva č. 2: Ochrana API
Mnohé aplikácie zhromažďujú informácie a údaje zo služieb, s ktorými interagujú prostredníctvom rozhraní API. Pri prenose citlivých údajov cez API viac ako 50 % organizácií neoveruje ani nezabezpečuje API na detekciu kybernetických útokov.
Príklady použitia API:
- Integrácia internetu vecí (IoT).
- Komunikácia medzi strojmi
- Bezserverové prostredia
- Mobilné Apps
- Aplikácie riadené udalosťami
Zraniteľnosť API sú podobné zraniteľnostiam aplikácií a zahŕňajú injekcie, protokolové útoky, manipuláciu s parametrami, presmerovania a útoky botov. Vyhradené brány API pomáhajú zabezpečiť kompatibilitu medzi aplikačnými službami, ktoré interagujú prostredníctvom rozhraní API. Neposkytujú však komplexnú bezpečnosť aplikácií ako WAF so základnými bezpečnostnými nástrojmi, ako je analýza hlavičiek HTTP, zoznam riadenia prístupu k vrstve 7 (ACL), analýza a kontrola dát JSON/XML a ochrana pred všetkými zraniteľnosťami Zoznam OWASP Top 10. Dosahuje sa to kontrolou kľúčových hodnôt API pomocou pozitívnych a negatívnych modelov.
Výzva č. 3: Odmietnutie služby
Starý vektor útoku, odmietnutie služby (DoS), naďalej preukazuje svoju účinnosť pri útokoch na aplikácie. Útočníci majú celý rad úspešných techník na narušenie aplikačných služieb, vrátane záplav HTTP alebo HTTPS, nízkych a pomalých útokov (napr. SlowLoris, LOIC, Torshammer), útokov pomocou dynamických IP adries, pretečenia vyrovnávacej pamäte, útokov hrubou silou a mnohých ďalších. . S rozvojom internetu vecí a následným vznikom IoT botnetov sa útoky na aplikácie stali hlavným ohniskom DDoS útokov. Väčšina stavových WAF zvládne iba obmedzené množstvo záťaže. Môžu však kontrolovať toky prenosu HTTP/S a odstrániť útoky a škodlivé spojenia. Akonáhle je útok identifikovaný, nemá zmysel túto komunikáciu znova prechádzať. Keďže schopnosť WAF odraziť útoky je obmedzená, je potrebné dodatočné riešenie na perimetri siete na automatické blokovanie ďalších „zlých“ paketov. Pre tento bezpečnostný scenár musia byť obe riešenia schopné vzájomne komunikovať a vymieňať si informácie o útokoch.
Obr. 1. Organizácia komplexnej ochrany siete a aplikácií na príklade riešení Radware
Výzva č. 4: Nepretržitá ochrana
Aplikácie sa často menia. Vývojové a implementačné metodiky, ako sú priebežné aktualizácie, znamenajú, že úpravy prebiehajú bez ľudského zásahu alebo kontroly. V takýchto dynamických prostrediach je ťažké udržiavať adekvátne fungujúce bezpečnostné politiky bez vysokého počtu falošných poplachov. Mobilné aplikácie sa aktualizujú oveľa častejšie ako webové aplikácie. Aplikácie tretích strán sa môžu zmeniť bez vášho vedomia. Niektoré organizácie hľadajú väčšiu kontrolu a prehľad, aby mali prehľad o možných rizikách. Nie je to však vždy dosiahnuteľné a spoľahlivá ochrana aplikácií musí využívať silu strojového učenia na zohľadnenie a vizualizáciu dostupných zdrojov, analýzu potenciálnych hrozieb a vytváranie a optimalizáciu bezpečnostných politík v prípade úprav aplikácií.
Závery
Keďže aplikácie zohrávajú v každodennom živote čoraz dôležitejšiu úlohu, stávajú sa hlavným cieľom hackerov. Potenciálne odmeny pre zločincov a potenciálne straty pre podniky sú obrovské. Zložitosť úlohy zabezpečenia aplikácie nemožno preceňovať vzhľadom na počet a variácie aplikácií a hrozieb.
Našťastie sme v bode, kedy nám môže pomôcť umelá inteligencia. Algoritmy založené na strojovom učení poskytujú adaptívnu ochranu v reálnom čase proti najpokročilejším kybernetickým hrozbám zameraným na aplikácie. Automaticky tiež aktualizujú bezpečnostné zásady, aby chránili webové, mobilné a cloudové aplikácie – a rozhrania API – bez falošných poplachov.
Je ťažké s istotou predpovedať, aká bude ďalšia generácia aplikačných kybernetických hrozieb (možno aj založených na strojovom učení). Organizácie však môžu určite podniknúť kroky na ochranu údajov o zákazníkoch, ochranu duševného vlastníctva a zabezpečenie dostupnosti služieb s veľkými obchodnými výhodami.
Efektívne prístupy a metódy na zaistenie bezpečnosti aplikácií, hlavné typy a vektory útokov, rizikové oblasti a medzery v kybernetickej ochrane webových aplikácií, ako aj globálne skúsenosti a osvedčené postupy sú prezentované v štúdii a správe Radware „".
Zdroj: hab.com