Retrospektive
Shkalla, përbërja dhe përbërja e kërcënimeve kibernetike ndaj aplikacioneve po evoluojnë me shpejtësi. Për shumë vite, përdoruesit kanë aksesuar aplikacionet në internet përmes internetit duke përdorur shfletues të njohur të internetit. Ishte e nevojshme të mbështeteshin 2-5 shfletues ueb në çdo kohë, dhe grupi i standardeve për zhvillimin dhe testimin e aplikacioneve në internet ishte mjaft i kufizuar. Për shembull, pothuajse të gjitha bazat e të dhënave janë ndërtuar duke përdorur SQL. Fatkeqësisht, pas një kohe të shkurtër, hakerët mësuan të përdorin aplikacione në internet për të vjedhur, fshirë ose ndryshuar të dhënat. Ata fituan akses të paligjshëm dhe abuzuan me aftësitë e aplikacionit duke përdorur një sërë teknikash, duke përfshirë mashtrimin e përdoruesve të aplikacionit, injektimin dhe ekzekutimin e kodit në distancë. Së shpejti, mjetet komerciale të sigurisë së aplikacioneve në ueb të quajtura muret e zjarrit të aplikacionit në ueb (WAF) dolën në treg dhe komuniteti u përgjigj duke krijuar një projekt të sigurisë së aplikacionit të hapur në ueb, Projekti i Sigurisë së Aplikacionit të Ueb-it të Hapur (OWASP), për të përcaktuar dhe ruajtur standardet dhe metodologjitë e zhvillimit. aplikacione të sigurta.
Mbrojtja bazë e aplikimit
është pika fillestare për sigurimin e aplikacioneve dhe përmban një listë të kërcënimeve dhe konfigurimeve të gabuara më të rrezikshme që mund të çojnë në dobësi të aplikacioneve, si dhe taktika për zbulimin dhe mposhtjen e sulmeve. OWASP Top 10 është një pikë referimi e njohur në industrinë e sigurisë kibernetike të aplikacioneve në mbarë botën dhe përcakton listën thelbësore të aftësive që duhet të ketë një sistem i sigurisë së aplikacioneve në internet (WAF).
Për më tepër, funksionaliteti WAF duhet të marrë parasysh sulme të tjera të zakonshme në aplikacionet në internet, duke përfshirë falsifikimin e kërkesave në faqe (CSRF), klikim, scraping në ueb dhe përfshirjen e skedarëve (RFI/LFI).
Kërcënimet dhe sfidat për sigurimin e sigurisë së aplikacioneve moderne
Sot, jo të gjitha aplikacionet zbatohen në një version të rrjetit. Ka aplikacione cloud, aplikacione celulare, API dhe në arkitekturat më të fundit, madje edhe funksione të personalizuara të softuerit. Të gjitha këto lloje aplikacionesh duhet të sinkronizohen dhe kontrollohen ndërsa krijojnë, modifikojnë dhe përpunojnë të dhënat tona. Me ardhjen e teknologjive dhe paradigmave të reja, ndërlikimet dhe sfidat e reja lindin në të gjitha fazat e ciklit jetësor të aplikacionit. Kjo përfshin zhvillimin dhe integrimin e operacioneve (DevOps), kontejnerët, Internetin e Gjërave (IoT), mjetet me burim të hapur, API-të dhe më shumë.
Shpërndarja e aplikacioneve dhe shumëllojshmëria e teknologjive krijon sfida komplekse dhe komplekse jo vetëm për profesionistët e sigurisë së informacionit, por edhe për shitësit e zgjidhjeve të sigurisë, të cilët nuk mund të mbështeten më në një qasje të unifikuar. Masat e sigurisë së aplikacionit duhet të marrin parasysh specifikat e biznesit të tyre për të parandaluar pozitivët e rremë dhe prishjen e cilësisë së shërbimeve për përdoruesit.
Qëllimi përfundimtar i hakerëve është zakonisht ose vjedhja e të dhënave ose prishja e disponueshmërisë së shërbimeve. Sulmuesit përfitojnë gjithashtu nga evolucioni teknologjik. Së pari, zhvillimi i teknologjive të reja krijon më shumë boshllëqe dhe dobësi potenciale. Së dyti, ata kanë më shumë mjete dhe njohuri në arsenalin e tyre për të anashkaluar masat tradicionale të sigurisë. Kjo rrit shumë të ashtuquajturën "sipërfaqe sulmi" dhe ekspozimin e organizatave ndaj rreziqeve të reja. Politikat e sigurisë duhet të ndryshojnë vazhdimisht në përgjigje të ndryshimeve në teknologji dhe aplikacione.
Kështu, aplikacionet duhet të mbrohen nga një shumëllojshmëri gjithnjë në rritje e metodave dhe burimeve të sulmit, dhe sulmet e automatizuara duhet të kundërshtohen në kohë reale bazuar në vendime të informuara. Rezultati është rritja e kostove të transaksionit dhe puna manuale, së bashku me një qëndrim të dobësuar të sigurisë.
Detyra # 1: Menaxhimi i robotëve
Më shumë se 60% e trafikut të internetit gjenerohet nga robotët, gjysma e të cilave është trafik "i keq" (sipas ). Organizatat investojnë në rritjen e kapacitetit të rrjetit, duke shërbyer në thelb një ngarkesë fiktive. Dallimi i saktë midis trafikut real të përdoruesve dhe trafikut të boteve, si dhe robotëve "të mirë" (për shembull, motorët e kërkimit dhe shërbimet e krahasimit të çmimeve) dhe robotët "të këqij" mund të rezultojë në kursime të konsiderueshme të kostos dhe përmirësim të cilësisë së shërbimit për përdoruesit.
Bots nuk do ta bëjnë këtë detyrë të lehtë, dhe ata mund të imitojnë sjelljen e përdoruesve të vërtetë, të anashkalojnë CAPTCHA dhe pengesa të tjera. Për më tepër, në rastin e sulmeve duke përdorur adresa IP dinamike, mbrojtja e bazuar në filtrimin e adresës IP bëhet joefektive. Shpesh, mjetet e zhvillimit me burim të hapur (për shembull, Phantom JS) që mund të trajtojnë JavaScript nga ana e klientit përdoren për të nisur sulme me forcë brutale, sulme mbushëse kredenciale, sulme DDoS dhe sulme të automatizuara me bot.
Për të menaxhuar në mënyrë efektive trafikun e robotëve, kërkohet një identifikim unik i burimit të tij (si një gjurmë gishti). Meqenëse një sulm bot gjeneron të dhëna të shumta, gjurmët e gishtave të tij i mundësojnë të identifikojë aktivitetin e dyshimtë dhe të caktojë pikë, në bazë të të cilave sistemi i mbrojtjes së aplikacionit merr një vendim të informuar - blloko/lejo - me një normë minimale të rezultateve false.
Sfida #2: Mbrojtja e API-së
Shumë aplikacione mbledhin informacion dhe të dhëna nga shërbimet me të cilat ndërveprojnë përmes API-ve. Kur transmetojnë të dhëna të ndjeshme përmes API-ve, më shumë se 50% e organizatave as nuk vërtetojnë dhe as nuk sigurojnë API-të për të zbuluar sulmet kibernetike.
Shembuj të përdorimit të API-së:
- Integrimi i Internetit të Gjërave (IoT).
- Komunikimi makinë me makinë
- Mjediset pa server
- Apps Mobile
- Aplikacionet e drejtuara nga ngjarjet
Dobësitë e API janë të ngjashme me dobësitë e aplikacionit dhe përfshijnë injeksione, sulme të protokollit, manipulim të parametrave, ridrejtime dhe sulme bot. Portat e dedikuara të API-së ndihmojnë në sigurimin e përputhshmërisë midis shërbimeve të aplikacionit që ndërveprojnë nëpërmjet API-ve. Megjithatë, ato nuk ofrojnë siguri nga fundi në fund si një kanaçe WAF me mjete thelbësore sigurie si analizimi i kokës së HTTP, lista e kontrollit të hyrjes në shtresën 7 (ACL), analizimi dhe inspektimi i ngarkesës JSON/XML dhe mbrojtje kundër të gjitha dobësive nga Lista e OWASP Top 10. Kjo arrihet duke inspektuar vlerat kryesore të API duke përdorur modele pozitive dhe negative.
Sfida #3: Mohimi i Shërbimit
Një vektor i vjetër sulmi, mohimi i shërbimit (DoS), vazhdon të dëshmojë efektivitetin e tij në sulmin e aplikacioneve. Sulmuesit kanë një sërë teknikash të suksesshme për të ndërprerë shërbimet e aplikacionit, duke përfshirë përmbytjet HTTP ose HTTPS, sulmet e ulëta dhe të ngadalta (p.sh. SlowLoris, LOIC, Torshammer), sulmet duke përdorur adresa IP dinamike, tejmbushjen e buferit, sulmet me forcë brutale dhe shumë të tjera . Me zhvillimin e Internetit të Gjërave dhe shfaqjen e mëvonshme të botneteve IoT, sulmet ndaj aplikacioneve janë bërë fokusi kryesor i sulmeve DDoS. Shumica e WAF-ve shtetërore mund të trajtojnë vetëm një sasi të kufizuar ngarkese. Megjithatë, ata mund të inspektojnë flukset e trafikut HTTP/S dhe të heqin trafikun e sulmeve dhe lidhjet me qëllim të keq. Pasi të jetë identifikuar një sulm, nuk ka kuptim të rikalohet ky trafik. Meqenëse kapaciteti i WAF për të zmbrapsur sulmet është i kufizuar, nevojitet një zgjidhje shtesë në perimetrin e rrjetit për të bllokuar automatikisht paketat e ardhshme "të këqija". Për këtë skenar sigurie, të dyja zgjidhjet duhet të jenë në gjendje të komunikojnë me njëra-tjetrën për të shkëmbyer informacione rreth sulmeve.
Fig 1. Organizimi i mbrojtjes gjithëpërfshirëse të rrjetit dhe aplikacionit duke përdorur shembullin e zgjidhjeve Radware
Sfida #4: Mbrojtja e vazhdueshme
Aplikimet ndryshojnë shpesh. Metodologjitë e zhvillimit dhe zbatimit të tilla si përditësimet e vazhdueshme nënkuptojnë se modifikimet ndodhin pa ndërhyrje ose kontroll njerëzor. Në mjedise të tilla dinamike, është e vështirë të mbahen politikat e sigurisë funksionale në mënyrë adekuate pa një numër të madh të provave false. Aplikacionet celulare përditësohen shumë më shpesh sesa aplikacionet në ueb. Aplikimet e palëve të treta mund të ndryshojnë pa dijeninë tuaj. Disa organizata po kërkojnë kontroll dhe dukshmëri më të madhe për të qëndruar në krye të rreziqeve të mundshme. Megjithatë, kjo nuk është gjithmonë e arritshme dhe mbrojtja e besueshme e aplikacionit duhet të përdorë fuqinë e mësimit të makinerive për të llogaritur dhe vizualizuar burimet e disponueshme, për të analizuar kërcënimet e mundshme dhe për të krijuar dhe optimizuar politikat e sigurisë në rast të modifikimeve të aplikacionit.
Gjetjet
Ndërsa aplikacionet luajnë një rol gjithnjë e më të rëndësishëm në jetën e përditshme, ato bëhen një objektiv kryesor për hakerat. Shpërblimet e mundshme për kriminelët dhe humbjet e mundshme për bizneset janë të mëdha. Kompleksiteti i detyrës së sigurisë së aplikacionit nuk mund të mbivlerësohet duke pasur parasysh numrin dhe variacionet e aplikacioneve dhe kërcënimeve.
Për fat të mirë, jemi në një moment kohor ku inteligjenca artificiale mund të na vijë në ndihmë. Algoritmet e bazuara në mësimin e makinerive ofrojnë mbrojtje adaptive në kohë reale kundër aplikacioneve më të avancuara të kërcënimeve kibernetike që synojnë. Ata gjithashtu përditësojnë automatikisht politikat e sigurisë për të mbrojtur aplikacionet në ueb, celular dhe cloud—dhe API—pa pozitive të rreme.
Është e vështirë të parashikohet me siguri se cilat do të jenë gjenerata e ardhshme e kërcënimeve kibernetike të aplikacioneve (ndoshta e bazuar edhe në mësimin e makinerive). Por organizatat me siguri mund të ndërmarrin hapa për të mbrojtur të dhënat e klientëve, për të mbrojtur pronësinë intelektuale dhe për të siguruar disponueshmërinë e shërbimit me përfitime të mëdha biznesi.
Qasjet dhe metodat efektive për sigurimin e sigurisë së aplikacioneve, llojet kryesore dhe vektorët e sulmeve, zonat e rrezikut dhe boshllëqet në mbrojtjen kibernetike të aplikacioneve në internet, si dhe përvoja globale dhe praktikat më të mira janë paraqitur në studimin dhe raportin e Radware "".
Burimi: www.habr.com