Mtazamo wa nyuma
Kiwango, muundo, na muundo wa vitisho vya mtandao kwa programu vinabadilika kwa kasi. Kwa miaka mingi, watumiaji wamefikia programu za wavuti kupitia Mtandao kwa kutumia vivinjari maarufu vya wavuti. Ilihitajika kuunga mkono vivinjari 2-5 kwa wakati wowote, na seti ya viwango vya kukuza na kujaribu programu za wavuti ilikuwa ndogo sana. Kwa mfano, karibu hifadhidata zote zilijengwa kwa kutumia SQL. Kwa bahati mbaya, baada ya muda mfupi, wadukuzi walijifunza kutumia programu za wavuti kuiba, kufuta au kubadilisha data. Walipata ufikiaji haramu na kutumia vibaya uwezo wa programu kwa kutumia mbinu mbalimbali, ikiwa ni pamoja na udanganyifu wa watumiaji wa programu, sindano, na utekelezaji wa msimbo wa mbali. Hivi karibuni, zana za usalama za maombi ya kibiashara zinazoitwa Web Application Firewalls (WAFs) zilikuja sokoni, na jumuiya ilijibu kwa kuunda mradi wazi wa usalama wa programu ya wavuti, Mradi wa Open Web Application Security (OWASP), kufafanua na kudumisha viwango na mbinu za maendeleo. maombi salama.
Ulinzi wa msingi wa maombi
ndicho mahali pa kuanzia kulinda programu na kina orodha ya vitisho hatari zaidi na usanidi usio sahihi ambao unaweza kusababisha udhaifu wa programu, pamoja na mbinu za kugundua na kushinda mashambulizi. OWASP Top 10 ni alama inayotambulika katika tasnia ya usalama wa mtandao ya utumaji maombi duniani kote na inafafanua orodha ya msingi ya uwezo ambao mfumo wa usalama wa programu ya wavuti (WAF) unapaswa kuwa nao.
Kwa kuongeza, utendakazi wa WAF lazima uzingatie mashambulizi mengine ya kawaida kwenye programu za wavuti, ikiwa ni pamoja na kughushi ombi la tovuti (CSRF), kubofya, kukwaruza kwenye wavuti, na kujumuisha faili (RFI/LFI).
Vitisho na changamoto za kuhakikisha usalama wa matumizi ya kisasa
Leo, sio maombi yote yanatekelezwa katika toleo la mtandao. Kuna programu za wingu, programu za rununu, API, na katika usanifu wa hivi punde, hata utendaji wa programu maalum. Aina zote hizi za programu zinahitaji kusawazishwa na kudhibitiwa zinapounda, kurekebisha na kuchakata data yetu. Pamoja na ujio wa teknolojia mpya na dhana, ugumu mpya na changamoto hutokea katika hatua zote za maisha ya maombi. Hii ni pamoja na ujumuishaji wa usanidi na utendakazi (DevOps), kontena, Mtandao wa Mambo (IoT), zana huria, API, na zaidi.
Usambazaji uliosambazwa wa maombi na utofauti wa teknolojia huleta changamoto changamano na changamano sio tu kwa wataalamu wa usalama wa habari, bali pia kwa wachuuzi wa suluhisho la usalama ambao hawawezi tena kutegemea mbinu ya umoja. Hatua za usalama za programu lazima zizingatie maelezo mahususi ya biashara zao ili kuzuia chanya za uwongo na usumbufu wa ubora wa huduma kwa watumiaji.
Lengo kuu la wavamizi kwa kawaida ni ama kuiba data au kutatiza upatikanaji wa huduma. Wavamizi pia wananufaika na mageuzi ya kiteknolojia. Kwanza, maendeleo ya teknolojia mpya hutengeneza mapungufu na udhaifu zaidi. Pili, wana zana na maarifa zaidi katika safu yao ya uokoaji ili kupita hatua za jadi za usalama. Hii huongeza sana kile kinachojulikana kama "uso wa mashambulizi" na mfiduo wa mashirika kwa hatari mpya. Sera za usalama lazima zibadilike kila mara kujibu mabadiliko ya teknolojia na matumizi.
Kwa hivyo, ni lazima maombi yalindwe dhidi ya mbinu na vyanzo mbalimbali vinavyoongezeka kila mara, na mashambulizi ya kiotomatiki lazima yapingwe kwa wakati halisi kulingana na maamuzi sahihi. Matokeo yake ni kuongezeka kwa gharama za shughuli na kazi ya mikono, pamoja na mkao dhaifu wa usalama.
Kazi #1: Kusimamia roboti
Zaidi ya 60% ya trafiki ya mtandao huzalishwa na roboti, nusu ya ambayo ni trafiki "mbaya" (kulingana na ) Mashirika huwekeza katika kuongeza uwezo wa mtandao, kimsingi hutumikia mzigo wa uwongo. Kutofautisha kwa usahihi kati ya trafiki halisi ya watumiaji na trafiki ya roboti, na pia roboti "nzuri" (kwa mfano, roboti za utafutaji na huduma za kulinganisha bei) na roboti "mbaya" zinaweza kusababisha kuokoa gharama kubwa na kuboresha ubora wa huduma kwa watumiaji.
Boti hazitafanya kazi hii kuwa rahisi, na zinaweza kuiga tabia ya watumiaji halisi, kukwepa CAPTCHA na vizuizi vingine. Zaidi ya hayo, katika kesi ya mashambulizi kwa kutumia anwani za IP zinazobadilika, ulinzi kulingana na uchujaji wa anwani ya IP huwa haufanyi kazi. Mara nyingi, zana za uundaji wa chanzo huria (kwa mfano, Phantom JS) zinazoweza kushughulikia JavaScript ya upande wa mteja hutumiwa kuzindua mashambulizi ya nguvu, mashambulizi ya kuweka vitambulisho, mashambulizi ya DDoS na mashambulizi ya kiotomatiki ya roboti.
Ili kudhibiti trafiki ya roboti kwa ufanisi, kitambulisho cha kipekee cha chanzo chake (kama alama ya kidole) kinahitajika. Kwa kuwa shambulio la roboti hutengeneza rekodi nyingi, alama zake za vidole huiruhusu kutambua shughuli zinazotiliwa shaka na kugawa alama, kulingana na ambayo mfumo wa ulinzi wa maombi hufanya uamuzi wenye ujuzi - kuzuia/kuruhusu - kwa kiwango cha chini cha chanya za uwongo.
Changamoto #2: Kulinda API
Programu nyingi hukusanya taarifa na data kutoka kwa huduma wanazotumia kupitia API. Wakati wa kutuma data nyeti kupitia API, zaidi ya 50% ya mashirika hayaidhinishi au salama API ili kugundua mashambulizi ya mtandaoni.
Mifano ya kutumia API:
- Ujumuishaji wa Mtandao wa Vitu (IoT).
- Mawasiliano ya mashine kwa mashine
- Mazingira yasiyo na seva
- Maombi ya rununu
- Programu Zinazoendeshwa na Tukio
Athari za API ni sawa na udhaifu wa programu na hujumuisha sindano, mashambulizi ya itifaki, upotoshaji wa vigezo, uelekezaji upya na mashambulizi ya roboti. Lango maalum za API husaidia kuhakikisha upatanifu kati ya huduma za programu zinazoingiliana kupitia API. Hata hivyo, hazitoi usalama wa programu-maisha kama vile kopo la WAF lenye zana muhimu za usalama kama vile uchanganuzi wa vichwa vya HTTP, orodha ya udhibiti wa ufikiaji wa Tabaka la 7 (ACL), uchanganuzi na ukaguzi wa upakiaji wa JSON/XML, na ulinzi dhidi ya udhaifu wote kutoka. Orodha ya 10 bora ya OWASP. Hii inafanikiwa kwa kukagua maadili muhimu ya API kwa kutumia miundo chanya na hasi.
Changamoto #3: Kunyimwa Huduma
Vekta ya zamani ya kushambulia, kunyimwa huduma (DoS), inaendelea kuthibitisha ufanisi wake katika kushambulia programu. Wavamizi wana mbinu mbalimbali zilizofaulu za kutatiza huduma za programu, ikiwa ni pamoja na mafuriko ya HTTP au HTTPS, mashambulizi ya chini na ya polepole (k.m. SlowLoris, LOIC, Torshammer), mashambulizi ya kutumia anwani za IP zinazobadilika, kufurika kwa buffer, mashambulizi ya nguvu na mengine mengi. . Pamoja na maendeleo ya Mtandao wa Mambo na kuibuka kwa baadaye kwa botnets za IoT, mashambulizi kwenye programu yamekuwa lengo kuu la mashambulizi ya DDoS. WAF nyingi za hali ya juu zinaweza tu kushughulikia kiasi kidogo cha mzigo. Hata hivyo, wanaweza kukagua mtiririko wa trafiki wa HTTP/S na kuondoa trafiki ya mashambulizi na miunganisho hasidi. Mara shambulio limetambuliwa, hakuna maana katika kupitisha tena trafiki hii. Kwa kuwa uwezo wa WAF wa kurudisha mashambulizi ni mdogo, suluhisho la ziada linahitajika kwenye eneo la mtandao ili kuzuia kiotomatiki pakiti "mbaya" zinazofuata. Kwa hali hii ya usalama, suluhu zote mbili lazima ziweze kuwasiliana ili kubadilishana taarifa kuhusu mashambulizi.
Mchoro 1. Shirika la mtandao wa kina na ulinzi wa maombi kwa kutumia mfano wa ufumbuzi wa Radware
Changamoto #4: Ulinzi endelevu
Maombi hubadilika mara kwa mara. Mbinu za uundaji na utekelezaji kama vile masasisho mapya humaanisha kuwa marekebisho hutokea bila kuingilia kati au udhibiti wa binadamu. Katika mazingira kama haya yanayobadilika, ni vigumu kudumisha sera za usalama zinazofanya kazi ipasavyo bila idadi kubwa ya mambo chanya ya uwongo. Programu za rununu husasishwa mara nyingi zaidi kuliko programu za wavuti. Programu za watu wengine zinaweza kubadilika bila wewe kujua. Mashirika mengine yanatafuta udhibiti na mwonekano zaidi ili kukaa juu ya hatari zinazoweza kutokea. Hata hivyo, hili haliwezekani kila wakati, na ulinzi wa programu unaotegemewa lazima utumie uwezo wa kujifunza kwa mashine kuhesabu na kuibua rasilimali zinazopatikana, kuchanganua matishio yanayoweza kutokea, na kuunda na kuboresha sera za usalama katika tukio la marekebisho ya programu.
Matokeo
Kadiri programu zinavyochukua nafasi muhimu katika maisha ya kila siku, huwa shabaha kuu ya wadukuzi. Zawadi zinazowezekana kwa wahalifu na hasara inayoweza kutokea kwa biashara ni kubwa sana. Utata wa kazi ya usalama ya programu hauwezi kuzidishwa kutokana na idadi na tofauti za programu na vitisho.
Kwa bahati nzuri, tuko katika wakati ambapo akili ya bandia inaweza kuja kutusaidia. Kanuni za msingi za kujifunza kwa mashine hutoa ulinzi wa wakati halisi, unaobadilika dhidi ya vitisho vya juu zaidi vya mtandao vinavyolenga programu. Pia husasisha kiotomatiki sera za usalama ili kulinda programu za wavuti, simu na winguβna APIβbila chanya za uwongo.
Ni vigumu kutabiri kwa uhakika kizazi kijacho cha vitisho vya mtandaoni (inawezekana pia kulingana na ujifunzaji wa mashine) kitakuwa nini. Lakini bila shaka mashirika yanaweza kuchukua hatua ili kulinda data ya wateja, kulinda uvumbuzi, na kuhakikisha upatikanaji wa huduma na manufaa makubwa ya biashara.
Mbinu na mbinu madhubuti za kuhakikisha usalama wa programu, aina kuu na visambazaji vya mashambulizi, maeneo ya hatari na mapungufu katika ulinzi wa mtandao wa programu za wavuti, pamoja na uzoefu wa kimataifa na mbinu bora zinawasilishwa katika utafiti na ripoti ya Radware "".
Chanzo: mapenzi.com