Retrospective
Skala, komposisi, sareng komposisi ancaman cyber pikeun aplikasi ngembang gancang. Mangtaun-taun, pangguna parantos ngaksés aplikasi wéb dina Internét nganggo panyungsi wéb populér. Ieu diperlukeun pikeun ngarojong 2-5 web browser iraha wae, sarta susunan standar pikeun ngembangkeun sarta nguji aplikasi wéb ieu rada kawates. Salaku conto, ampir sadaya pangkalan data diwangun nganggo SQL. Hanjakal, sanggeus waktu anu singget, hacker diajar ngagunakeun aplikasi wéb pikeun maok, mupus atawa ngarobah data. Aranjeunna nampi aksés ilegal sareng nyalahgunakeun kamampuan aplikasi nganggo rupa-rupa téknik, kalebet panipuan pangguna aplikasi, suntikan, sareng palaksanaan kode jauh. Moal lami deui, alat kaamanan aplikasi wéb komérsial anu disebut Web Application Firewalls (WAFs) sumping ka pasar, sareng masarakat ngaréspon ku nyiptakeun proyék kaamanan aplikasi wéb anu kabuka, Open Web Application Security Project (OWASP), pikeun netepkeun sareng ngajaga standar sareng metodologi pangwangunan. .aplikasi aman.
Perlindungan aplikasi dasar
nyaéta titik awal pikeun ngamankeun aplikasi sareng ngandung daptar ancaman anu paling bahaya sareng salah konfigurasi anu tiasa ngakibatkeun kerentanan aplikasi, kitu ogé taktik pikeun ngadeteksi sareng ngéléhkeun serangan. OWASP Top 10 mangrupikeun patokan anu diakui dina industri kaamanan siber aplikasi di sakuliah dunya sareng netepkeun daptar inti kamampuan anu kedah dipiboga ku sistem kaamanan aplikasi wéb (WAF).
Sajaba ti éta, fungsionalitas WAF kedah tumut kana akun serangan umum sejenna dina aplikasi wéb, kaasup cross-situs pamundut pemalsuan (CSRF), clickjacking, web scraping, sarta file citakan (RFI / LFI).
Ancaman sareng tantangan pikeun mastikeun kaamanan aplikasi modern
Kiwari, henteu sadayana aplikasi dilaksanakeun dina versi jaringan. Aya aplikasi awan, aplikasi seluler, API, sareng dina arsitéktur panganyarna, bahkan fungsi parangkat lunak khusus. Sadaya jinis aplikasi ieu kedah disingkronkeun sareng dikontrol nalika nyiptakeun, ngarobih, sareng ngolah data urang. Kalayan munculna téknologi sareng paradigma énggal, pajeulitna sareng tantangan énggal timbul dina sadaya tahapan siklus aplikasi. Ieu kalebet integrasi pamekaran sareng operasi (DevOps), wadah, Internet of Things (IoT), alat open source, API, sareng seueur deui.
Panyebaran aplikasi anu disebarkeun sareng keragaman téknologi nyiptakeun tantangan anu rumit sareng kompleks henteu ngan ukur pikeun profésional kaamanan inpormasi, tapi ogé pikeun ngical paralatan kaamanan anu henteu tiasa deui ngandelkeun pendekatan anu ngahijikeun. Ukuran kaamanan aplikasi kedah tumut kana akun spésifik bisnisna pikeun nyegah positip palsu sareng gangguan kualitas jasa pikeun pangguna.
Tujuan pamungkas hacker biasana boh maok data atawa ngaganggu kasadiaan jasa. Panyerang ogé nguntungkeun tina évolusi téknologi. Kahiji, pamekaran téknologi anyar nyiptakeun langkung poténsi jurang sareng kerentanan. Kadua, aranjeunna gaduh langkung seueur alat sareng pangaweruh dina arsenalna pikeun ngalangkungan ukuran kaamanan tradisional. Ieu greatly ngaronjatkeun disebut "permukaan serangan" na paparan organisasi 'pikeun resiko anyar. Kabijakan kaamanan kedah terus-terusan robih pikeun ngaréspon kana parobihan téknologi sareng aplikasi.
Ku kituna, aplikasi kudu ditangtayungan tina rupa-rupa terus-terusan métode serangan jeung sumber, sarta serangan otomatis kudu countered sacara real waktu dumasar kana kaputusan informed. Hasilna ngaronjat waragad urus jeung tanaga gawé manual, gandeng ku sikep kaamanan lemah.
Tugas #1: Ngatur bot
Langkung ti 60% lalulintas Internét dihasilkeun ku bot, satengahna mangrupikeun lalu lintas "goréng" (nurutkeun ). Organisasi investasi dina ningkatkeun kapasitas jaringan, dasarna ngalayanan beban fiktif. Ngabédakeun sacara akurat antara lalu lintas pangguna nyata sareng lalu lintas bot, ogé bot "saé" (contona, mesin pencari sareng jasa ngabandingkeun harga) sareng bot "goréng" tiasa ngahasilkeun tabungan biaya anu signifikan sareng ningkat kualitas jasa pikeun pangguna.
Bot henteu bakal ngagampangkeun tugas ieu, sareng aranjeunna tiasa niru paripolah pangguna nyata, ngalangkungan CAPTCHA sareng halangan sanésna. Sumawona, dina kasus serangan nganggo alamat IP dinamis, panyalindungan dumasar kana panyaring alamat IP janten teu efektif. Seringna, alat pangembangan open source (contona, Phantom JS) anu tiasa ngadamel JavaScript sisi klien dianggo pikeun ngaluncurkeun serangan brute-force, serangan isian kredensial, serangan DDoS, sareng serangan bot otomatis. .
Pikeun sacara efektif ngatur lalu lintas bot, idéntifikasi unik tina sumberna (sapertos sidik) diperyogikeun. Kusabab serangan bot ngahasilkeun sababaraha catetan, sidik na ngamungkinkeun pikeun ngaidentipikasi kagiatan anu curiga sareng masihan skor, dumasar kana sistem panyalindungan aplikasi nyandak kaputusan anu terang - blok / ngawenangkeun - kalayan tingkat positip palsu minimum.
Tantangan #2: Ngajagi API
Seueur aplikasi ngumpulkeun inpormasi sareng data tina jasa anu aranjeunna berinteraksi sareng API. Nalika ngirimkeun data sénsitip liwat API, langkung ti 50% organisasi henteu ngasahkeun atanapi ngamankeun API pikeun ngadeteksi serangan cyber.
Conto ngagunakeun API:
- Integrasi Internet of Things (IoT).
- Komunikasi mesin-ka-mesin
- Lingkungan Tanpa Server
- Aplikasi mobile
- Aplikasi Acara-disetir
Kerentanan API mirip sareng kerentanan aplikasi sareng kalebet suntikan, serangan protokol, manipulasi parameter, alihan, sareng serangan bot. Gerbang API khusus ngabantosan pikeun mastikeun kasaluyuan antara jasa aplikasi anu berinteraksi via API. Nanging, aranjeunna henteu nyayogikeun kaamanan aplikasi tungtung-ka-tungtung sapertos WAF tiasa nganggo alat kaamanan penting sapertos parsing header HTTP, Layer 7 access control list (ACL), JSON/XML payload parsing and inspection, sareng panyalindungan ngalawan sagala kerentanan tina. Daptar OWASP Top 10. Ieu kahontal ku mariksa nilai API konci ngagunakeun model positif jeung negatif.
tantangan #3: Panolakan Service
Vektor serangan heubeul, denial of service (DoS), terus ngabuktikeun efektivitasna dina nyerang aplikasi. Panyerang gaduh sababaraha téknik anu suksés pikeun ngaganggu jasa aplikasi, kalebet banjir HTTP atanapi HTTPS, serangan lemah sareng laun (sapertos SlowLoris, LOIC, Torshammer), serangan nganggo alamat IP dinamis, buffer overflow, brute force -attacks, sareng seueur anu sanésna. . Kalayan ngembangkeun Internet of Things sareng mecenghulna botnet IoT salajengna, serangan kana aplikasi parantos janten fokus utama serangan DDoS. Paling WAFs stateful ngan bisa nanganan jumlah kawates beban. Tapi, aranjeunna tiasa mariksa aliran lalu lintas HTTP / S sareng ngahapus lalu lintas serangan sareng sambungan jahat. Sakali serangan geus dicirikeun, euweuh titik dina ulang ngalirkeun lalulintas ieu. Kusabab kapasitas WAF pikeun ngusir serangan terbatas, solusi tambahan diperyogikeun dina perimeter jaringan pikeun otomatis meungpeuk pakét "goréng" salajengna. Pikeun skenario kaamanan ieu, duanana solusi kudu bisa saling komunikasi pikeun tukeur informasi ngeunaan serangan.
Gbr 1. Organisasi jaringan komprehensif sarta panyalindungan aplikasi ngagunakeun conto solusi Radware
Tantangan # 4: Perlindungan Kontinyu
Aplikasi sering robih. Pangwangunan sareng palaksanaan metodologi sapertos rolling update hartosna yén modifikasi lumangsung tanpa campur tangan atanapi kontrol manusa. Dina lingkungan anu dinamis sapertos kitu, sesah ngajaga kawijakan kaamanan anu cekap fungsina tanpa jumlah positip palsu anu luhur. Aplikasi seluler diapdet langkung sering tibatan aplikasi wéb. Aplikasi pihak katilu tiasa robih tanpa anjeun terang. Sababaraha organisasi milarian kontrol sareng visibilitas anu langkung ageung pikeun tetep aya dina résiko poténsial. Sanajan kitu, ieu teu salawasna achievable, sarta panyalindungan aplikasi dipercaya kudu ngagunakeun kakuatan mesin learning pikeun akun tur visualize sumberdaya sadia, analisa potensi ancaman, sarta nyieun jeung ngaoptimalkeun kawijakan kaamanan dina acara modifikasi aplikasi.
papanggihan
Kusabab aktip maénkeun peran anu beuki penting dina kahirupan sapopoe, aranjeunna janten target utama pikeun peretas. Ganjaran poténsial pikeun penjahat sareng poténsi karugian pikeun usaha ageung pisan. Pajeulitna tugas kaamanan aplikasi teu bisa overstated dibere jumlah jeung variasi aplikasi jeung ancaman.
Untungna, kami aya dina waktos dimana kecerdasan jieunan tiasa ngabantosan urang. Algoritma basis learning mesin nyadiakeun real-time, panyalindungan adaptif ngalawan ancaman cyber paling canggih nargétkeun aplikasi. Éta ogé otomatis ngapdet kabijakan kaamanan pikeun ngajagi aplikasi wéb, mobile, sareng awan-sareng API-tanpa positip palsu.
Hésé diprediksi kalayan pasti naon anu bakal janten ancaman cyber pikeun aplikasi generasi saterusna (jigana ogé dumasar kana pembelajaran mesin). Tapi organisasi pasti tiasa nyandak léngkah pikeun ngajagi data palanggan, ngajagi hak cipta intelektual, sareng mastikeun kasadiaan jasa kalayan kauntungan bisnis anu saé.
Pendekatan sareng metode anu épéktip pikeun mastikeun kaamanan aplikasi, jinis utama sareng véktor serangan, daérah résiko sareng sela dina panangtayungan cyber tina aplikasi wéb, ogé pangalaman global sareng prakték pangsaéna anu dipidangkeun dina ulikan sareng laporan Radware "".
sumber: www.habr.com