retrospektiv
Omfattningen, sammansättningen och sammansättningen av cyberhot mot applikationer utvecklas snabbt. Under många år har användare fått åtkomst till webbapplikationer över Internet med hjälp av populära webbläsare. Det var nödvändigt att stödja 2-5 webbläsare vid varje given tidpunkt, och uppsättningen av standarder för att utveckla och testa webbapplikationer var ganska begränsad. Till exempel byggdes nästan alla databaser med SQL. Tyvärr, efter en kort tid, lärde sig hackare att använda webbapplikationer för att stjäla, radera eller ändra data. De fick olaglig tillgång till och missbrukade applikationsfunktioner med hjälp av en mängd olika tekniker, inklusive vilseledande av applikationsanvändare, injektion och fjärrexekvering av kod. Snart kom kommersiella webbapplikationssäkerhetsverktyg kallade Web Application Firewalls (WAFs) ut på marknaden, och samhället svarade med att skapa ett öppet webbapplikationssäkerhetsprojekt, Open Web Application Security Project (OWASP), för att definiera och underhålla utvecklingsstandarder och metoder säkra applikationer.
Grundläggande applikationsskydd
är utgångspunkten för att säkra applikationer och innehåller en lista över de farligaste hoten och felkonfigurationerna som kan leda till applikationssårbarheter, samt taktik för att upptäcka och besegra attacker. OWASP Top 10 är ett erkänt riktmärke inom applikationscybersäkerhetsindustrin över hela världen och definierar kärnlistan över funktioner som ett webbapplikationssäkerhetssystem (WAF) bör ha.
Dessutom måste WAF-funktionaliteten ta hänsyn till andra vanliga attacker på webbapplikationer, inklusive cross-site request forgery (CSRF), clickjacking, webbskrapning och filinkludering (RFI/LFI).
Hot och utmaningar för att säkerställa säkerheten för moderna applikationer
Idag är inte alla applikationer implementerade i en nätverksversion. Det finns molnappar, mobilappar, API:er och i de senaste arkitekturerna, även anpassade mjukvarufunktioner. Alla dessa typer av applikationer måste synkroniseras och kontrolleras när de skapar, modifierar och bearbetar vår data. Med tillkomsten av nya teknologier och paradigm uppstår nya komplexiteter och utmaningar i alla skeden av applikationens livscykel. Detta inkluderar utveckling och operationsintegration (DevOps), behållare, Internet of Things (IoT), verktyg med öppen källkod, API:er och mer.
Den distribuerade distributionen av applikationer och mångfalden av teknologier skapar komplexa och komplexa utmaningar, inte bara för informationssäkerhetsproffs, utan också för leverantörer av säkerhetslösningar som inte längre kan lita på ett enhetligt tillvägagångssätt. Programsäkerhetsåtgärder måste ta hänsyn till deras verksamhetsspecifikationer för att förhindra falska positiva resultat och störningar av kvaliteten på tjänsterna för användarna.
Det slutliga målet för hackare är vanligtvis antingen att stjäla data eller störa tillgängligheten av tjänster. Angripare drar också nytta av den tekniska utvecklingen. För det första skapar utvecklingen av ny teknik fler potentiella luckor och sårbarheter. För det andra har de fler verktyg och kunskap i sin arsenal för att kringgå traditionella säkerhetsåtgärder. Detta ökar avsevärt den så kallade "attackytan" och organisationers exponering för nya risker. Säkerhetspolicyer måste ständigt förändras som svar på förändringar i teknik och applikationer.
Således måste applikationer skyddas från en ständigt ökande variation av attackmetoder och källor, och automatiserade attacker måste motverkas i realtid baserat på informerade beslut. Resultatet är ökade transaktionskostnader och manuellt arbete, i kombination med en försvagad säkerhetsställning.
Uppgift #1: Hantera bots
Mer än 60 % av internettrafiken genereras av bots, varav hälften är ”dålig” trafik (enl. ). Organisationer investerar i att öka nätverkskapaciteten, vilket i huvudsak tjänar en fiktiv belastning. Att noggrant skilja mellan verklig användartrafik och bottrafik, såväl som "bra" bots (till exempel sökrobotar och prisjämförelsetjänster) och "dåliga" bots kan resultera i betydande kostnadsbesparingar och förbättrad servicekvalitet för användarna.
Bots kommer inte att göra denna uppgift lätt, och de kan imitera beteendet hos riktiga användare, kringgå CAPTCHA och andra hinder. Dessutom, i fallet med attacker med dynamiska IP-adresser, blir skydd baserat på IP-adressfiltrering ineffektivt. Ofta används utvecklingsverktyg med öppen källkod (till exempel Phantom JS) som kan hantera JavaScript på klientsidan för att starta brute-force-attacker, autentiseringsattacker, DDoS-attacker och automatiserade botattacker.
För att effektivt hantera bottrafik krävs en unik identifiering av dess källa (som ett fingeravtryck). Eftersom en botattack genererar flera poster, tillåter dess fingeravtryck den att identifiera misstänkt aktivitet och tilldela poäng, baserat på vilket programskyddssystemet fattar ett välgrundat beslut - blockera/tillåt - med en lägsta andel falska positiva resultat.
Utmaning #2: Skydda API
Många applikationer samlar in information och data från tjänster de interagerar med via API:er. När känslig data överförs via API:er varken validerar eller säkrar mer än 50 % av organisationerna API:er för att upptäcka cyberattacker.
Exempel på användning av API:n:
- Internet of Things (IoT) integration
- Maskin-till-maskin kommunikation
- Serverlösa miljöer
- Mobila appar
- Händelsedrivna applikationer
API-sårbarheter liknar programsårbarheter och inkluderar injektioner, protokollattacker, parametermanipulation, omdirigeringar och botattacker. Dedikerade API-gateways hjälper till att säkerställa kompatibilitet mellan applikationstjänster som interagerar via API:er. De tillhandahåller dock inte end-to-end-applikationssäkerhet som en WAF kan med viktiga säkerhetsverktyg som HTTP-headerparsing, Layer 7 Access Control List (ACL), JSON/XML-nyttolastanalys och -inspektion och skydd mot alla sårbarheter från OWASP topp 10 lista. Detta uppnås genom att inspektera nyckel API-värden med hjälp av positiva och negativa modeller.
Utmaning #3: Denial of Service
En gammal attackvektor, denial of service (DoS), fortsätter att bevisa sin effektivitet när det gäller att attackera applikationer. Angripare har en rad framgångsrika tekniker för att störa applikationstjänster, inklusive HTTP- eller HTTPS-översvämningar, låg-och-långsamma attacker (t.ex. SlowLoris, LOIC, Torshammer), attacker med dynamiska IP-adresser, buffertspill, brute force-attacker och många andra . Med utvecklingen av Internet of Things och den efterföljande uppkomsten av IoT-botnät har attacker på applikationer blivit huvudfokus för DDoS-attacker. De flesta statistiska WAF:er kan bara hantera en begränsad mängd belastning. Däremot kan de inspektera HTTP/S-trafikflöden och ta bort attacktrafik och skadliga anslutningar. När en attack väl har identifierats är det ingen mening att passera denna trafik igen. Eftersom WAF:s kapacitet att avvärja attacker är begränsad behövs en ytterligare lösning vid nätverksperimetern för att automatiskt blockera nästa "dåliga" paket. För detta säkerhetsscenario måste båda lösningarna kunna kommunicera med varandra för att utbyta information om attacker.
Fig 1. Organisation av omfattande nätverks- och applikationsskydd med exemplet med Radware-lösningar
Utmaning #4: Kontinuerligt skydd
Applikationer ändras ofta. Utvecklings- och implementeringsmetoder som rullande uppdateringar innebär att ändringar sker utan mänsklig inblandning eller kontroll. I sådana dynamiska miljöer är det svårt att upprätthålla adekvat fungerande säkerhetspolicyer utan ett stort antal falska positiva resultat. Mobilapplikationer uppdateras mycket oftare än webbapplikationer. Tredjepartsapplikationer kan ändras utan din vetskap. Vissa organisationer söker större kontroll och synlighet för att hålla koll på potentiella risker. Detta är dock inte alltid möjligt, och tillförlitligt applikationsskydd måste använda kraften i maskininlärning för att redogöra för och visualisera tillgängliga resurser, analysera potentiella hot och skapa och optimera säkerhetspolicyer i händelse av applikationsändringar.
Resultat
Eftersom appar spelar en allt viktigare roll i vardagen, blir de ett främsta mål för hackare. De potentiella belöningarna för brottslingar och de potentiella förlusterna för företag är enorma. Komplexiteten i programsäkerhetsuppgiften kan inte överskattas med tanke på antalet och variationerna av program och hot.
Lyckligtvis är vi vid en tidpunkt där artificiell intelligens kan komma till vår hjälp. Maskininlärningsbaserade algoritmer ger adaptivt realtidsskydd mot de mest avancerade cyberhoten som riktar sig till applikationer. De uppdaterar också automatiskt säkerhetspolicyer för att skydda webb-, mobil- och molnapplikationer – och API:er – utan falska positiva resultat.
Det är svårt att med säkerhet förutsäga vad nästa generation av applikationscyberhot (möjligen också baserat på maskininlärning) kommer att bli. Men organisationer kan verkligen vidta åtgärder för att skydda kunddata, skydda immateriella rättigheter och säkerställa tjänsttillgänglighet med stora affärsfördelar.
Effektiva tillvägagångssätt och metoder för att säkerställa applikationssäkerhet, huvudtyperna och vektorerna för attacker, riskområden och luckor i cyberskydd av webbapplikationer, såväl som global erfarenhet och bästa praxis presenteras i Radware-studien och rapporten "".
Källa: will.com