புரோஹோஸ்டர் > Блог > நிர்வாகம் > நவீன பயன்பாட்டு பாதுகாப்பு அமைப்புகளின் (WAF) செயல்பாடு OWASP டாப் 10 இலிருந்து பாதிப்புகளின் பட்டியலை விட மிகவும் பரந்ததாக இருக்க வேண்டும்.

நவீன பயன்பாட்டு பாதுகாப்பு அமைப்புகளின் (WAF) செயல்பாடு OWASP டாப் 10 இலிருந்து பாதிப்புகளின் பட்டியலை விட மிகவும் பரந்ததாக இருக்க வேண்டும்.

சுயபரிசோதனை

பயன்பாடுகளுக்கான இணைய அச்சுறுத்தல்களின் அளவு, கலவை மற்றும் கலவை ஆகியவை வேகமாக உருவாகி வருகின்றன. பல ஆண்டுகளாக, பயனர்கள் பிரபலமான இணைய உலாவிகளைப் பயன்படுத்தி இணைய பயன்பாடுகளை அணுகியுள்ளனர். எந்த நேரத்திலும் 2-5 இணைய உலாவிகளை ஆதரிக்க வேண்டியது அவசியம், மேலும் வலை பயன்பாடுகளை உருவாக்குவதற்கும் சோதனை செய்வதற்கும் தரங்களின் தொகுப்பு மிகவும் குறைவாகவே இருந்தது. எடுத்துக்காட்டாக, கிட்டத்தட்ட அனைத்து தரவுத்தளங்களும் SQL ஐப் பயன்படுத்தி உருவாக்கப்பட்டன. துரதிர்ஷ்டவசமாக, சிறிது நேரத்திற்குப் பிறகு, ஹேக்கர்கள் தரவைத் திருட, நீக்க அல்லது மாற்ற இணையப் பயன்பாடுகளைப் பயன்படுத்தக் கற்றுக்கொண்டனர். பயன்பாட்டு பயனர்களை ஏமாற்றுதல், ஊசி போடுதல் மற்றும் ரிமோட் குறியீடு செயல்படுத்துதல் உள்ளிட்ட பல்வேறு நுட்பங்களைப் பயன்படுத்தி அவர்கள் சட்டவிரோத அணுகலைப் பெற்றனர் மற்றும் பயன்பாட்டு திறன்களை தவறாகப் பயன்படுத்தினர். விரைவில், Web Application Firewalls (WAFs) எனப்படும் வணிக வலை பயன்பாட்டு பாதுகாப்பு கருவிகள் சந்தைக்கு வந்தன, மேலும் சமூகம் ஒரு திறந்த வலை பயன்பாட்டு பாதுகாப்பு திட்டத்தை உருவாக்குவதன் மூலம் பதிலளித்தது, திறந்த வலை பயன்பாட்டு பாதுகாப்பு திட்டம் (OWASP), வளர்ச்சி தரங்கள் மற்றும் வழிமுறைகளை வரையறுக்கவும் பராமரிக்கவும். பாதுகாப்பான பயன்பாடுகள்.

அடிப்படை பயன்பாட்டு பாதுகாப்பு

OWASP முதல் 10 பட்டியல் பயன்பாடுகளைப் பாதுகாப்பதற்கான தொடக்கப் புள்ளியாகும், மேலும் பயன்பாட்டு பாதிப்புகளுக்கு வழிவகுக்கும் மிகவும் ஆபத்தான அச்சுறுத்தல்கள் மற்றும் தவறான உள்ளமைவுகளின் பட்டியலையும், தாக்குதல்களைக் கண்டறிந்து தோற்கடிப்பதற்கான தந்திரங்களையும் கொண்டுள்ளது. OWASP டாப் 10 என்பது உலகளாவிய பயன்பாட்டு இணையப் பாதுகாப்புத் துறையில் அங்கீகரிக்கப்பட்ட அளவுகோலாகும், மேலும் ஒரு வலை பயன்பாட்டு பாதுகாப்பு (WAF) அமைப்பில் இருக்க வேண்டிய திறன்களின் முக்கிய பட்டியலை வரையறுக்கிறது.

கூடுதலாக, WAF செயல்பாடு இணைய பயன்பாடுகளின் மீதான பிற பொதுவான தாக்குதல்களை கணக்கில் எடுத்துக்கொள்ள வேண்டும், இதில் குறுக்கு-தள கோரிக்கை மோசடி (CSRF), கிளிக் ஜாக்கிங், வெப் ஸ்கிராப்பிங் மற்றும் கோப்பு சேர்க்கை (RFI/LFI) ஆகியவை அடங்கும்.

நவீன பயன்பாடுகளின் பாதுகாப்பை உறுதி செய்வதற்கான அச்சுறுத்தல்கள் மற்றும் சவால்கள்

இன்று, அனைத்து பயன்பாடுகளும் பிணைய பதிப்பில் செயல்படுத்தப்படவில்லை. கிளவுட் ஆப்ஸ், மொபைல் ஆப்ஸ், ஏபிஐக்கள் மற்றும் சமீபத்திய கட்டமைப்புகளில் தனிப்பயன் மென்பொருள் செயல்பாடுகளும் உள்ளன. இந்த வகையான பயன்பாடுகள் அனைத்தும் எங்கள் தரவை உருவாக்கும்போது, ​​மாற்றியமைத்து, செயலாக்கும்போது அவை ஒத்திசைக்கப்பட்டு கட்டுப்படுத்தப்பட வேண்டும். புதிய தொழில்நுட்பங்கள் மற்றும் முன்னுதாரணங்களின் வருகையுடன், பயன்பாட்டு வாழ்க்கைச் சுழற்சியின் அனைத்து நிலைகளிலும் புதிய சிக்கல்கள் மற்றும் சவால்கள் எழுகின்றன. இதில் மேம்பாடு மற்றும் செயல்பாட்டு ஒருங்கிணைப்பு (DevOps), கொள்கலன்கள், இன்டர்நெட் ஆஃப் திங்ஸ் (IoT), திறந்த மூல கருவிகள், APIகள் மற்றும் பலவும் அடங்கும்.

விநியோகிக்கப்பட்ட பயன்பாடுகள் மற்றும் தொழில்நுட்பங்களின் பன்முகத்தன்மை ஆகியவை சிக்கலான மற்றும் சிக்கலான சவால்களை தகவல் பாதுகாப்பு நிபுணர்களுக்கு மட்டுமல்ல, பாதுகாப்பு தீர்வு விற்பனையாளர்களுக்கும் ஒருங்கிணைக்கப்பட்ட அணுகுமுறையை இனி நம்ப முடியாது. தவறான நேர்மறைகள் மற்றும் பயனர்களுக்கான சேவைகளின் தரத்தை சீர்குலைப்பதைத் தடுக்க, பயன்பாட்டு பாதுகாப்பு நடவடிக்கைகள் அவற்றின் வணிக விவரங்களை கணக்கில் எடுத்துக்கொள்ள வேண்டும்.

ஹேக்கர்களின் இறுதி இலக்கு பொதுவாக தரவை திருடுவது அல்லது சேவைகள் கிடைப்பதை சீர்குலைப்பது. தொழிநுட்ப பரிணாம வளர்ச்சியிலிருந்து தாக்குபவர்களும் பயனடைகிறார்கள். முதலாவதாக, புதிய தொழில்நுட்பங்களின் வளர்ச்சி அதிக சாத்தியமான இடைவெளிகளையும் பாதிப்புகளையும் உருவாக்குகிறது. இரண்டாவதாக, பாரம்பரிய பாதுகாப்பு நடவடிக்கைகளை புறக்கணிக்க அவர்களின் ஆயுதக் களஞ்சியத்தில் அதிக கருவிகள் மற்றும் அறிவு உள்ளது. இது "தாக்குதல் மேற்பரப்பு" என்று அழைக்கப்படுவதையும் புதிய அபாயங்களுக்கு நிறுவனங்களின் வெளிப்பாட்டையும் பெரிதும் அதிகரிக்கிறது. தொழில்நுட்பம் மற்றும் பயன்பாடுகளில் ஏற்படும் மாற்றங்களுக்கு ஏற்ப பாதுகாப்புக் கொள்கைகள் தொடர்ந்து மாற வேண்டும்.

இதனால், பயன்பாடுகள் தொடர்ந்து அதிகரித்து வரும் தாக்குதல் முறைகள் மற்றும் ஆதாரங்களில் இருந்து பாதுகாக்கப்பட வேண்டும், மேலும் தகவலறிந்த முடிவுகளின் அடிப்படையில் தானியங்கு தாக்குதல்கள் நிகழ்நேரத்தில் எதிர்கொள்ளப்பட வேண்டும். இதன் விளைவாக பரிவர்த்தனை செலவுகள் மற்றும் உடல் உழைப்பு, பலவீனமான பாதுகாப்பு தோரணையுடன் இணைந்துள்ளது.

பணி #1: போட்களை நிர்வகித்தல்

இணைய போக்குவரத்தில் 60% க்கும் அதிகமானவை போட்களால் உருவாக்கப்படுகின்றன, அதில் பாதி "மோசமான" போக்குவரத்து (படி ராட்வேர் பாதுகாப்பு அறிக்கை) நிறுவனங்கள் நெட்வொர்க் திறனை அதிகரிப்பதில் முதலீடு செய்கின்றன, அடிப்படையில் ஒரு கற்பனையான சுமைக்கு சேவை செய்கின்றன. உண்மையான பயனர் ட்ராஃபிக் மற்றும் போட் ட்ராஃபிக், அத்துடன் "நல்ல" போட்கள் (உதாரணமாக, தேடுபொறிகள் மற்றும் விலை ஒப்பீட்டு சேவைகள்) மற்றும் "மோசமான" போட்களை துல்லியமாக வேறுபடுத்துவது குறிப்பிடத்தக்க செலவு சேமிப்பு மற்றும் பயனர்களின் சேவையின் தரத்தை மேம்படுத்தும்.

போட்கள் இந்தப் பணியை எளிதாக்கப் போவதில்லை, மேலும் அவை உண்மையான பயனர்களின் நடத்தையைப் பின்பற்றலாம், கேப்ட்சாக்கள் மற்றும் பிற தடைகளைத் தவிர்க்கலாம். மேலும், டைனமிக் ஐபி முகவரிகளைப் பயன்படுத்தி தாக்குதல்கள் நடந்தால், ஐபி முகவரி வடிகட்டலின் அடிப்படையிலான பாதுகாப்பு பயனற்றதாகிவிடும். பெரும்பாலும், கிளையன்ட் பக்க JavaScript ஐக் கையாளக்கூடிய திறந்த மூல மேம்பாட்டுக் கருவிகள் (எடுத்துக்காட்டாக, Phantom JS) முரட்டுத்தனமான தாக்குதல்கள், நற்சான்றிதழ் திணிப்பு தாக்குதல்கள், DDoS தாக்குதல்கள் மற்றும் தானியங்கி பாட் தாக்குதல்களைத் தொடங்கப் பயன்படுத்தப்படுகின்றன.

போட் டிராஃபிக்கை திறம்பட நிர்வகிக்க, அதன் மூலத்தின் தனிப்பட்ட அடையாளம் (கைரேகை போன்றவை) தேவை. ஒரு போட் தாக்குதல் பல பதிவுகளை உருவாக்குவதால், அதன் கைரேகை சந்தேகத்திற்கிடமான செயல்பாட்டைக் கண்டறியவும் மதிப்பெண்களை ஒதுக்கவும் அனுமதிக்கிறது, இதன் அடிப்படையில் பயன்பாட்டு பாதுகாப்பு அமைப்பு தகவலறிந்த முடிவெடுக்கிறது - பிளாக்/அனுமதி - தவறான நேர்மறைகளின் குறைந்தபட்ச விகிதம்.

நவீன பயன்பாட்டு பாதுகாப்பு அமைப்புகளின் (WAF) செயல்பாடு OWASP டாப் 10 இலிருந்து பாதிப்புகளின் பட்டியலை விட மிகவும் பரந்ததாக இருக்க வேண்டும்.

சவால் #2: API ஐப் பாதுகாத்தல்

பல பயன்பாடுகள் APIகள் மூலம் தொடர்பு கொள்ளும் சேவைகளிலிருந்து தகவல் மற்றும் தரவைச் சேகரிக்கின்றன. APIகள் மூலம் முக்கியமான தரவை அனுப்பும் போது, ​​50% க்கும் அதிகமான நிறுவனங்கள் சைபர் தாக்குதல்களைக் கண்டறிய APIகளை சரிபார்க்கவோ அல்லது பாதுகாக்கவோ இல்லை.

API ஐப் பயன்படுத்துவதற்கான எடுத்துக்காட்டுகள்:

  • இன்டர்நெட் ஆஃப் திங்ஸ் (IoT) ஒருங்கிணைப்பு
  • இயந்திரம்-இயந்திர தொடர்பு
  • சர்வர் இல்லாத சூழல்கள்
  • மொபைல் பயன்பாடுகள்
  • நிகழ்வு சார்ந்த பயன்பாடுகள்

ஏபிஐ பாதிப்புகள் பயன்பாட்டு பாதிப்புகளைப் போலவே இருக்கும், மேலும் ஊசிகள், நெறிமுறை தாக்குதல்கள், அளவுரு கையாளுதல், வழிமாற்றுகள் மற்றும் போட் தாக்குதல்கள் ஆகியவை அடங்கும். பிரத்யேக ஏபிஐ நுழைவாயில்கள் ஏபிஐகள் வழியாக ஊடாடும் பயன்பாட்டுச் சேவைகளுக்கு இடையே இணக்கத்தன்மையை உறுதிப்படுத்த உதவுகின்றன. இருப்பினும், HTTP தலைப்பு பாகுபடுத்துதல், லேயர் 7 அணுகல் கட்டுப்பாட்டு பட்டியல் (ACL), JSON/XML பேலோட் பாகுபடுத்துதல் மற்றும் ஆய்வு மற்றும் அனைத்து பாதிப்புகளிலிருந்தும் பாதுகாப்பு போன்ற அத்தியாவசிய பாதுகாப்புக் கருவிகளுடன் WAF கேன் போன்ற இறுதி முதல் இறுதி வரை பயன்பாட்டுப் பாதுகாப்பை அவை வழங்குவதில்லை. OWASP முதல் 10 பட்டியல். நேர்மறை மற்றும் எதிர்மறை மாதிரிகளைப் பயன்படுத்தி முக்கிய API மதிப்புகளை ஆய்வு செய்வதன் மூலம் இது அடையப்படுகிறது.

சவால் #3: சேவை மறுப்பு

ஒரு பழைய தாக்குதல் திசையன், சேவை மறுப்பு (DoS), பயன்பாடுகளைத் தாக்குவதில் அதன் செயல்திறனைத் தொடர்ந்து நிரூபிக்கிறது. HTTP அல்லது HTTPS வெள்ளம், குறைந்த மற்றும் மெதுவான தாக்குதல்கள் (எ.கா. SlowLoris, LOIC, Torshammer), டைனமிக் ஐபி முகவரிகளைப் பயன்படுத்தும் தாக்குதல்கள், பஃபர் ஓவர்ஃப்ளோ, ப்ரூட் ஃபோர்ஸ்-அட்டாக்ஸ் மற்றும் பல உள்ளிட்ட பயன்பாட்டுச் சேவைகளை சீர்குலைக்க தாக்குபவர்கள் பல வெற்றிகரமான நுட்பங்களைக் கொண்டுள்ளனர். . இன்டர்நெட் ஆஃப் திங்ஸின் வளர்ச்சி மற்றும் ஐஓடி பாட்நெட்களின் அடுத்தடுத்த தோற்றத்துடன், பயன்பாடுகள் மீதான தாக்குதல்கள் டிடிஓஎஸ் தாக்குதல்களின் முக்கிய மையமாக மாறியுள்ளன. பெரும்பாலான ஸ்டேட்ஃபுல் WAFகள் குறைந்த அளவு சுமைகளை மட்டுமே கையாள முடியும். இருப்பினும், அவர்கள் HTTP/S ட்ராஃபிக் ஓட்டங்களை ஆய்வு செய்யலாம் மற்றும் தாக்குதல் போக்குவரத்து மற்றும் தீங்கிழைக்கும் இணைப்புகளை அகற்றலாம். தாக்குதல் கண்டறியப்பட்டவுடன், இந்த போக்குவரத்தை மீண்டும் கடந்து செல்வதில் எந்த அர்த்தமும் இல்லை. தாக்குதல்களைத் தடுக்க WAF இன் திறன் குறைவாக இருப்பதால், அடுத்த "மோசமான" பாக்கெட்டுகளைத் தானாகத் தடுக்க பிணைய சுற்றளவில் கூடுதல் தீர்வு தேவைப்படுகிறது. இந்த பாதுகாப்பு சூழ்நிலையில், தாக்குதல்கள் பற்றிய தகவல்களை பரிமாறிக்கொள்ள இரண்டு தீர்வுகளும் ஒருவருக்கொருவர் தொடர்பு கொள்ள வேண்டும்.

நவீன பயன்பாட்டு பாதுகாப்பு அமைப்புகளின் (WAF) செயல்பாடு OWASP டாப் 10 இலிருந்து பாதிப்புகளின் பட்டியலை விட மிகவும் பரந்ததாக இருக்க வேண்டும்.
படம் 1. ராட்வேர் தீர்வுகளின் உதாரணத்தைப் பயன்படுத்தி விரிவான நெட்வொர்க் மற்றும் பயன்பாட்டுப் பாதுகாப்பின் அமைப்பு

சவால் #4: தொடர்ச்சியான பாதுகாப்பு

பயன்பாடுகள் அடிக்கடி மாறுகின்றன. ரோலிங் புதுப்பிப்புகள் போன்ற மேம்பாடு மற்றும் செயல்படுத்தல் முறைகள் மனித தலையீடு அல்லது கட்டுப்பாடு இல்லாமல் மாற்றங்கள் ஏற்படுகின்றன. இத்தகைய மாறும் சூழல்களில், அதிக எண்ணிக்கையிலான தவறான நேர்மறைகள் இல்லாமல் போதுமான அளவு செயல்படும் பாதுகாப்புக் கொள்கைகளைப் பராமரிப்பது கடினம். வலை பயன்பாடுகளை விட மொபைல் பயன்பாடுகள் அடிக்கடி புதுப்பிக்கப்படுகின்றன. மூன்றாம் தரப்பு பயன்பாடுகள் உங்களுக்குத் தெரியாமல் மாறலாம். சில நிறுவனங்கள் சாத்தியமான அபாயங்களில் தொடர்ந்து இருக்க அதிக கட்டுப்பாடு மற்றும் தெரிவுநிலையை நாடுகின்றன. இருப்பினும், இது எப்பொழுதும் அடையக்கூடியது அல்ல, மேலும் நம்பகமான பயன்பாட்டுப் பாதுகாப்பு, கிடைக்கக்கூடிய ஆதாரங்களைக் கணக்கிடுவதற்கும், காட்சிப்படுத்துவதற்கும், சாத்தியமான அச்சுறுத்தல்களைப் பகுப்பாய்வு செய்வதற்கும், பயன்பாட்டு மாற்றங்கள் ஏற்பட்டால் பாதுகாப்புக் கொள்கைகளை உருவாக்குவதற்கும் மேம்படுத்துவதற்கும் இயந்திரக் கற்றலின் ஆற்றலைப் பயன்படுத்த வேண்டும்.

கண்டுபிடிப்புகள்

அன்றாட வாழ்வில் பயன்பாடுகள் முக்கிய பங்கு வகிப்பதால், அவை ஹேக்கர்களுக்கு முக்கிய இலக்காகின்றன. குற்றவாளிகளுக்கு சாத்தியமான வெகுமதிகள் மற்றும் வணிகங்களுக்கு சாத்தியமான இழப்புகள் மிகப்பெரியவை. பயன்பாடுகள் மற்றும் அச்சுறுத்தல்களின் எண்ணிக்கை மற்றும் மாறுபாடுகளின் அடிப்படையில் பயன்பாட்டு பாதுகாப்பு பணியின் சிக்கலான தன்மையை மிகைப்படுத்த முடியாது.

அதிர்ஷ்டவசமாக, செயற்கை நுண்ணறிவு நமக்கு உதவக்கூடிய ஒரு கட்டத்தில் இருக்கிறோம். மெஷின் லேர்னிங் அடிப்படையிலான அல்காரிதம்கள், பயன்பாடுகளை குறிவைக்கும் மிகவும் மேம்பட்ட இணைய அச்சுறுத்தல்களுக்கு எதிராக நிகழ்நேர, தகவமைப்புப் பாதுகாப்பை வழங்குகிறது. வலை, மொபைல் மற்றும் கிளவுட் அப்ளிகேஷன்கள்-மற்றும் ஏபிஐ-களை தவறான நேர்மறைகள் இல்லாமல் பாதுகாக்க பாதுகாப்புக் கொள்கைகளையும் அவை தானாகவே புதுப்பிக்கின்றன.

அடுத்த தலைமுறை பயன்பாட்டு இணைய அச்சுறுத்தல்கள் (மெஷின் லேர்னிங் அடிப்படையிலும் இருக்கலாம்) என்னவாக இருக்கும் என்பதை உறுதியாகக் கணிப்பது கடினம். ஆனால் நிறுவனங்கள் வாடிக்கையாளர் தரவைப் பாதுகாக்கவும், அறிவுசார் சொத்துக்களைப் பாதுகாக்கவும், சிறந்த வணிக நன்மைகளுடன் சேவை கிடைப்பதை உறுதி செய்யவும் நிச்சயமாக நடவடிக்கை எடுக்க முடியும்.

பயன்பாட்டின் பாதுகாப்பை உறுதி செய்வதற்கான பயனுள்ள அணுகுமுறைகள் மற்றும் முறைகள், தாக்குதல்களின் முக்கிய வகைகள் மற்றும் திசையன்கள், இணைய பயன்பாடுகளின் இணையப் பாதுகாப்பில் ஆபத்து பகுதிகள் மற்றும் இடைவெளிகள், அத்துடன் உலகளாவிய அனுபவம் மற்றும் சிறந்த நடைமுறைகள் ஆகியவை ராட்வேர் ஆய்வு மற்றும் அறிக்கையில் வழங்கப்பட்டுள்ளன.டிஜிட்டல் முறையில் இணைக்கப்பட்ட உலகில் இணைய பயன்பாட்டு பாதுகாப்பு".

ஆதாரம்: www.habr.com

கருத்தைச் சேர்