ప్రోహోస్టర్ > బ్లాగ్ > పరిపాలన > ఆధునిక అప్లికేషన్ సెక్యూరిటీ సిస్టమ్స్ (WAF) యొక్క కార్యాచరణ OWASP టాప్ 10 నుండి దుర్బలత్వాల జాబితా కంటే చాలా విస్తృతంగా ఉండాలి.

ఆధునిక అప్లికేషన్ సెక్యూరిటీ సిస్టమ్స్ (WAF) యొక్క కార్యాచరణ OWASP టాప్ 10 నుండి దుర్బలత్వాల జాబితా కంటే చాలా విస్తృతంగా ఉండాలి.

రెట్రోస్పెక్టివ్

అప్లికేషన్‌లకు సైబర్ బెదిరింపుల స్థాయి, కూర్పు మరియు కూర్పు వేగంగా అభివృద్ధి చెందుతోంది. అనేక సంవత్సరాలుగా, వినియోగదారులు ప్రముఖ వెబ్ బ్రౌజర్‌లను ఉపయోగించి ఇంటర్నెట్‌లో వెబ్ అప్లికేషన్‌లను యాక్సెస్ చేశారు. ఏ సమయంలోనైనా 2-5 వెబ్ బ్రౌజర్‌లకు మద్దతు ఇవ్వడం అవసరం మరియు వెబ్ అప్లికేషన్‌లను అభివృద్ధి చేయడం మరియు పరీక్షించడం కోసం ప్రమాణాల సమితి చాలా పరిమితం చేయబడింది. ఉదాహరణకు, దాదాపు అన్ని డేటాబేస్‌లు SQLని ఉపయోగించి నిర్మించబడ్డాయి. దురదృష్టవశాత్తూ, కొద్దికాలం తర్వాత, హ్యాకర్లు డేటాను దొంగిలించడానికి, తొలగించడానికి లేదా మార్చడానికి వెబ్ అప్లికేషన్‌లను ఉపయోగించడం నేర్చుకున్నారు. వారు అప్లికేషన్ వినియోగదారులను మోసగించడం, ఇంజెక్షన్ మరియు రిమోట్ కోడ్ అమలుతో సహా అనేక రకాల సాంకేతికతలను ఉపయోగించి అప్లికేషన్ సామర్థ్యాలకు చట్టవిరుద్ధమైన ప్రాప్యతను పొందారు మరియు దుర్వినియోగం చేశారు. త్వరలో, వెబ్ అప్లికేషన్ ఫైర్‌వాల్స్ (WAFs) అని పిలువబడే వాణిజ్య వెబ్ అప్లికేషన్ భద్రతా సాధనాలు మార్కెట్‌లోకి వచ్చాయి మరియు అభివృద్ధి ప్రమాణాలు మరియు పద్ధతులను నిర్వచించడానికి మరియు నిర్వహించడానికి ఓపెన్ వెబ్ అప్లికేషన్ సెక్యూరిటీ ప్రాజెక్ట్ (OWASP) అనే ఓపెన్ వెబ్ అప్లికేషన్ సెక్యూరిటీ ప్రాజెక్ట్‌ను సృష్టించడం ద్వారా సంఘం ప్రతిస్పందించింది. సురక్షిత అప్లికేషన్లు.

ప్రాథమిక అప్లికేషన్ రక్షణ

OWASP టాప్ 10 జాబితా అనేది అప్లికేషన్‌లను భద్రపరచడానికి ప్రారంభ బిందువు మరియు అప్లికేషన్ దుర్బలత్వాలకు దారితీసే అత్యంత ప్రమాదకరమైన బెదిరింపులు మరియు తప్పుడు కాన్ఫిగరేషన్‌ల జాబితాను కలిగి ఉంటుంది, అలాగే దాడులను గుర్తించడం మరియు ఓడించడం కోసం వ్యూహాలను కలిగి ఉంటుంది. OWASP టాప్ 10 అనేది ప్రపంచవ్యాప్తంగా అప్లికేషన్ సైబర్‌ సెక్యూరిటీ పరిశ్రమలో గుర్తించబడిన బెంచ్‌మార్క్ మరియు వెబ్ అప్లికేషన్ సెక్యూరిటీ (WAF) సిస్టమ్ కలిగి ఉండవలసిన సామర్థ్యాల ప్రధాన జాబితాను నిర్వచిస్తుంది.

అదనంగా, WAF కార్యాచరణ తప్పనిసరిగా క్రాస్-సైట్ అభ్యర్థన ఫోర్జరీ (CSRF), క్లిక్‌జాకింగ్, వెబ్ స్క్రాపింగ్ మరియు ఫైల్ ఇన్‌క్లూజన్ (RFI/LFI)తో సహా వెబ్ అప్లికేషన్‌లపై ఇతర సాధారణ దాడులను పరిగణనలోకి తీసుకోవాలి.

ఆధునిక అనువర్తనాల భద్రతకు భరోసా కోసం బెదిరింపులు మరియు సవాళ్లు

నేడు, అన్ని అప్లికేషన్లు నెట్‌వర్క్ వెర్షన్‌లో అమలు చేయబడవు. క్లౌడ్ యాప్‌లు, మొబైల్ యాప్‌లు, APIలు మరియు తాజా ఆర్కిటెక్చర్‌లలో అనుకూల సాఫ్ట్‌వేర్ ఫంక్షన్‌లు కూడా ఉన్నాయి. ఈ రకమైన అప్లికేషన్‌లు అన్నీ సమకాలీకరించబడాలి మరియు అవి మా డేటాను సృష్టించేటప్పుడు, సవరించేటప్పుడు మరియు ప్రాసెస్ చేస్తున్నప్పుడు వాటిని నియంత్రించాలి. కొత్త సాంకేతికతలు మరియు నమూనాల ఆగమనంతో, అప్లికేషన్ జీవితచక్రం యొక్క అన్ని దశలలో కొత్త సంక్లిష్టతలు మరియు సవాళ్లు తలెత్తుతాయి. ఇందులో డెవలప్‌మెంట్ మరియు ఆపరేషన్స్ ఇంటిగ్రేషన్ (DevOps), కంటైనర్‌లు, ఇంటర్నెట్ ఆఫ్ థింగ్స్ (IoT), ఓపెన్ సోర్స్ టూల్స్, APIలు మరియు మరిన్ని ఉన్నాయి.

అప్లికేషన్ల పంపిణీ మరియు సాంకేతికతల వైవిధ్యం సమాచార భద్రతా నిపుణులకే కాకుండా, ఇకపై ఏకీకృత విధానంపై ఆధారపడని భద్రతా పరిష్కార విక్రేతలకు కూడా సంక్లిష్టమైన మరియు సంక్లిష్టమైన సవాళ్లను సృష్టిస్తుంది. వినియోగదారుల కోసం తప్పుడు పాజిటివ్‌లు మరియు సేవల నాణ్యతకు అంతరాయం కలిగించకుండా నిరోధించడానికి అప్లికేషన్ భద్రతా చర్యలు తప్పనిసరిగా వారి వ్యాపార ప్రత్యేకతలను పరిగణనలోకి తీసుకోవాలి.

హ్యాకర్ల అంతిమ లక్ష్యం సాధారణంగా డేటాను దొంగిలించడం లేదా సేవల లభ్యతకు అంతరాయం కలిగించడం. సాంకేతిక పరిణామం నుండి దాడి చేసేవారు కూడా ప్రయోజనం పొందుతారు. ముందుగా, కొత్త సాంకేతికతల అభివృద్ధి మరింత సంభావ్య అంతరాలు మరియు దుర్బలత్వాలను సృష్టిస్తుంది. రెండవది, సాంప్రదాయ భద్రతా చర్యలను దాటవేయడానికి వారికి మరిన్ని సాధనాలు మరియు జ్ఞానం ఉన్నాయి. ఇది "దాడి ఉపరితలం" అని పిలవబడే మరియు కొత్త ప్రమాదాలకు సంస్థల బహిర్గతతను బాగా పెంచుతుంది. సాంకేతికత మరియు అనువర్తనాల్లో మార్పులకు ప్రతిస్పందనగా భద్రతా విధానాలు నిరంతరం మారుతూ ఉండాలి.

అందువల్ల, అప్లికేషన్‌లు నిరంతరం పెరుగుతున్న వివిధ రకాల దాడి పద్ధతులు మరియు మూలాల నుండి తప్పనిసరిగా రక్షించబడాలి మరియు సమాచార నిర్ణయాల ఆధారంగా నిజ సమయంలో స్వయంచాలక దాడులను ఎదుర్కోవాలి. ఫలితంగా పెరిగిన లావాదేవీల ఖర్చులు మరియు మాన్యువల్ లేబర్, బలహీనమైన భద్రతా భంగిమతో పాటు.

టాస్క్ #1: బాట్‌లను నిర్వహించడం

60% కంటే ఎక్కువ ఇంటర్నెట్ ట్రాఫిక్ బాట్‌ల ద్వారా ఉత్పత్తి చేయబడుతుంది, అందులో సగం "చెడు" ట్రాఫిక్ (ప్రకారం రాడ్‌వేర్ భద్రతా నివేదిక) సంస్థలు నెట్‌వర్క్ సామర్థ్యాన్ని పెంచడంలో పెట్టుబడి పెడతాయి, ముఖ్యంగా కల్పిత భారాన్ని అందిస్తాయి. నిజమైన వినియోగదారు ట్రాఫిక్ మరియు బోట్ ట్రాఫిక్‌తో పాటు "మంచి" బాట్‌లు (ఉదాహరణకు, శోధన రోబోట్‌లు మరియు ధర పోలిక సేవలు) మరియు "చెడు" బాట్‌ల మధ్య ఖచ్చితమైన తేడాను గుర్తించడం వలన వినియోగదారులకు గణనీయమైన ఖర్చు ఆదా మరియు మెరుగైన సేవ నాణ్యత లభిస్తుంది.

బాట్‌లు ఈ పనిని సులభతరం చేయవు మరియు అవి నిజమైన వినియోగదారుల ప్రవర్తనను అనుకరించగలవు, CAPTCHAలు మరియు ఇతర అడ్డంకులను దాటవేయగలవు. అంతేకాకుండా, డైనమిక్ IP చిరునామాలను ఉపయోగించి దాడుల విషయంలో, IP చిరునామా వడపోత ఆధారంగా రక్షణ అసమర్థంగా మారుతుంది. తరచుగా, క్లయింట్ వైపు జావాస్క్రిప్ట్‌ను నిర్వహించగల ఓపెన్ సోర్స్ డెవలప్‌మెంట్ టూల్స్ (ఉదాహరణకు, ఫాంటమ్ JS) బ్రూట్-ఫోర్స్ అటాక్స్, క్రెడెన్షియల్ స్టఫింగ్ అటాక్స్, DDoS అటాక్స్ మరియు ఆటోమేటెడ్ బాట్ అటాక్‌లను ప్రారంభించడానికి ఉపయోగించబడతాయి.

బాట్ ట్రాఫిక్‌ను సమర్థవంతంగా నిర్వహించడానికి, దాని మూలం యొక్క ప్రత్యేక గుర్తింపు (వేలిముద్ర వంటిది) అవసరం. బోట్ దాడి బహుళ రికార్డ్‌లను ఉత్పత్తి చేస్తుంది కాబట్టి, దాని వేలిముద్ర అనుమానాస్పద కార్యాచరణను గుర్తించడానికి మరియు స్కోర్‌లను కేటాయించడానికి అనుమతిస్తుంది, దీని ఆధారంగా అప్లికేషన్ ప్రొటెక్షన్ సిస్టమ్ సమాచారంతో కూడిన నిర్ణయం తీసుకుంటుంది - బ్లాక్/అనుమతిస్తుంది - తప్పుడు పాజిటివ్‌ల కనీస రేటు.

ఆధునిక అప్లికేషన్ సెక్యూరిటీ సిస్టమ్స్ (WAF) యొక్క కార్యాచరణ OWASP టాప్ 10 నుండి దుర్బలత్వాల జాబితా కంటే చాలా విస్తృతంగా ఉండాలి.

ఛాలెంజ్ #2: APIని రక్షించడం

అనేక అప్లికేషన్‌లు APIల ద్వారా పరస్పర చర్య చేసే సేవల నుండి సమాచారం మరియు డేటాను సేకరిస్తాయి. APIల ద్వారా సున్నితమైన డేటాను ప్రసారం చేస్తున్నప్పుడు, 50% కంటే ఎక్కువ సంస్థలు సైబర్‌టాక్‌లను గుర్తించడానికి APIలను ధృవీకరించవు లేదా సురక్షితంగా ఉంచవు.

APIని ఉపయోగించే ఉదాహరణలు:

  • ఇంటర్నెట్ ఆఫ్ థింగ్స్ (IoT) ఇంటిగ్రేషన్
  • మెషిన్-టు-మెషిన్ కమ్యూనికేషన్
  • సర్వర్‌లెస్ ఎన్విరాన్‌మెంట్స్
  • మొబైల్ అనువర్తనాలు
  • ఈవెంట్ ఆధారిత అప్లికేషన్లు

API దుర్బలత్వాలు అప్లికేషన్ దుర్బలత్వాలను పోలి ఉంటాయి మరియు ఇంజెక్షన్‌లు, ప్రోటోకాల్ దాడులు, పారామీటర్ మానిప్యులేషన్, దారి మళ్లింపులు మరియు బాట్ దాడులను కలిగి ఉంటాయి. అంకితమైన API గేట్‌వేలు APIల ద్వారా పరస్పర చర్య చేసే అప్లికేషన్ సేవల మధ్య అనుకూలతను నిర్ధారించడంలో సహాయపడతాయి. అయినప్పటికీ, వారు HTTP హెడర్ పార్సింగ్, లేయర్ 7 యాక్సెస్ కంట్రోల్ లిస్ట్ (ACL), JSON/XML పేలోడ్ పార్సింగ్ మరియు ఇన్‌స్పెక్షన్ వంటి ముఖ్యమైన భద్రతా సాధనాలతో WAF కెన్ వంటి ఎండ్-టు-ఎండ్ అప్లికేషన్ సెక్యూరిటీని అందించరు. OWASP టాప్ 10 జాబితా. సానుకూల మరియు ప్రతికూల నమూనాలను ఉపయోగించి కీలక API విలువలను తనిఖీ చేయడం ద్వారా ఇది సాధించబడుతుంది.

ఛాలెంజ్ #3: సేవ యొక్క తిరస్కరణ

పాత దాడి వెక్టర్, సేవ యొక్క తిరస్కరణ (DoS), అప్లికేషన్‌లపై దాడి చేయడంలో దాని ప్రభావాన్ని రుజువు చేస్తూనే ఉంది. HTTP లేదా HTTPS వరదలు, తక్కువ మరియు నెమ్మదిగా దాడులు (ఉదా. SlowLoris, LOIC, Torshammer), డైనమిక్ IP చిరునామాలను ఉపయోగించి దాడులు, బఫర్ ఓవర్‌ఫ్లో, బ్రూట్ ఫోర్స్-ఎటాక్స్ మరియు మరెన్నో సహా అప్లికేషన్ సేవలకు అంతరాయం కలిగించడానికి దాడి చేసేవారు విజయవంతమైన సాంకేతికతలను కలిగి ఉన్నారు. . ఇంటర్నెట్ ఆఫ్ థింగ్స్ అభివృద్ధి మరియు IoT బాట్‌నెట్‌ల ఆవిర్భావంతో, అప్లికేషన్‌లపై దాడులు DDoS దాడులకు ప్రధాన కేంద్రంగా మారాయి. చాలా స్టేట్‌ఫుల్ WAFలు పరిమిత లోడ్‌ను మాత్రమే నిర్వహించగలవు. అయినప్పటికీ, వారు HTTP/S ట్రాఫిక్ ప్రవాహాలను తనిఖీ చేయగలరు మరియు దాడి ట్రాఫిక్ మరియు హానికరమైన కనెక్షన్‌లను తీసివేయగలరు. దాడిని గుర్తించిన తర్వాత, ఈ ట్రాఫిక్‌ను మళ్లీ దాటడంలో అర్థం లేదు. దాడులను తిప్పికొట్టడానికి WAF సామర్థ్యం పరిమితం అయినందున, తదుపరి "చెడు" ప్యాకెట్‌లను స్వయంచాలకంగా నిరోధించడానికి నెట్‌వర్క్ చుట్టుకొలత వద్ద అదనపు పరిష్కారం అవసరం. ఈ భద్రతా దృష్టాంతంలో, దాడుల గురించి సమాచారాన్ని మార్పిడి చేసుకోవడానికి రెండు పరిష్కారాలు తప్పనిసరిగా ఒకదానితో ఒకటి కమ్యూనికేట్ చేయగలగాలి.

ఆధునిక అప్లికేషన్ సెక్యూరిటీ సిస్టమ్స్ (WAF) యొక్క కార్యాచరణ OWASP టాప్ 10 నుండి దుర్బలత్వాల జాబితా కంటే చాలా విస్తృతంగా ఉండాలి.
అత్తి 1. సమగ్ర నెట్‌వర్క్ యొక్క సంస్థ మరియు రాడ్‌వేర్ పరిష్కారాల ఉదాహరణను ఉపయోగించి అప్లికేషన్ రక్షణ

ఛాలెంజ్ #4: నిరంతర రక్షణ

అప్లికేషన్లు తరచుగా మారుతూ ఉంటాయి. రోలింగ్ అప్‌డేట్‌ల వంటి అభివృద్ధి మరియు అమలు పద్ధతులు అంటే మానవ జోక్యం లేదా నియంత్రణ లేకుండా మార్పులు జరుగుతాయి. అటువంటి డైనమిక్ పరిసరాలలో, అధిక సంఖ్యలో తప్పుడు పాజిటివ్‌లు లేకుండా తగినంతగా పనిచేసే భద్రతా విధానాలను నిర్వహించడం కష్టం. వెబ్ అప్లికేషన్‌ల కంటే మొబైల్ అప్లికేషన్‌లు చాలా తరచుగా అప్‌డేట్ చేయబడతాయి. మీకు తెలియకుండానే థర్డ్ పార్టీ అప్లికేషన్‌లు మారవచ్చు. కొన్ని సంస్థలు సంభావ్య ప్రమాదాలను అధిగమించడానికి ఎక్కువ నియంత్రణ మరియు దృశ్యమానతను కోరుతున్నాయి. అయినప్పటికీ, ఇది ఎల్లప్పుడూ సాధించబడదు మరియు అందుబాటులో ఉన్న వనరులను లెక్కించడానికి మరియు దృశ్యమానం చేయడానికి, సంభావ్య బెదిరింపులను విశ్లేషించడానికి మరియు అప్లికేషన్ సవరణల సందర్భంలో భద్రతా విధానాలను రూపొందించడానికి మరియు ఆప్టిమైజ్ చేయడానికి విశ్వసనీయమైన అప్లికేషన్ రక్షణ తప్పనిసరిగా మెషీన్ లెర్నింగ్ శక్తిని ఉపయోగించాలి.

కనుగొన్న

రోజువారీ జీవితంలో యాప్‌లు ముఖ్యమైన పాత్ర పోషిస్తున్నందున, అవి హ్యాకర్‌లకు ప్రధాన లక్ష్యంగా మారతాయి. నేరస్థులకు సంభావ్య బహుమతులు మరియు వ్యాపారాలకు సంభావ్య నష్టాలు అపారమైనవి. అప్లికేషన్లు మరియు బెదిరింపుల సంఖ్య మరియు వైవిధ్యాలను బట్టి అప్లికేషన్ సెక్యూరిటీ టాస్క్ యొక్క సంక్లిష్టతను అతిగా చెప్పలేము.

అదృష్టవశాత్తూ, కృత్రిమ మేధస్సు మన సహాయానికి వచ్చే సమయంలో మనం ఉన్నాం. మెషిన్ లెర్నింగ్-ఆధారిత అల్గారిథమ్‌లు అప్లికేషన్‌లను లక్ష్యంగా చేసుకునే అత్యంత అధునాతన సైబర్ బెదిరింపుల నుండి నిజ-సమయ, అనుకూల రక్షణను అందిస్తాయి. వెబ్, మొబైల్ మరియు క్లౌడ్ అప్లికేషన్‌లను-మరియు APIలను-తప్పుడు పాజిటివ్‌లు లేకుండా రక్షించడానికి అవి స్వయంచాలకంగా భద్రతా విధానాలను కూడా అప్‌డేట్ చేస్తాయి.

అప్లికేషన్ సైబర్‌థ్రెట్‌ల తదుపరి తరం (బహుశా మెషిన్ లెర్నింగ్ ఆధారంగా కూడా) ఎలా ఉంటుందో ఖచ్చితంగా అంచనా వేయడం కష్టం. కానీ సంస్థలు కస్టమర్ డేటాను రక్షించడానికి, మేధో సంపత్తిని రక్షించడానికి మరియు గొప్ప వ్యాపార ప్రయోజనాలతో సేవా లభ్యతను నిర్ధారించడానికి ఖచ్చితంగా చర్యలు తీసుకోవచ్చు.

అప్లికేషన్ భద్రతను నిర్ధారించడానికి సమర్థవంతమైన విధానాలు మరియు పద్ధతులు, దాడుల యొక్క ప్రధాన రకాలు మరియు వెక్టర్స్, రిస్క్ ప్రాంతాలు మరియు వెబ్ అప్లికేషన్‌ల సైబర్ రక్షణలో అంతరాలు, అలాగే గ్లోబల్ అనుభవం మరియు ఉత్తమ అభ్యాసాలు రాడ్‌వేర్ అధ్యయనం మరియు నివేదికలో అందించబడ్డాయి.డిజిటల్‌గా కనెక్ట్ చేయబడిన ప్రపంచంలో వెబ్ అప్లికేషన్ భద్రత".

మూలం: www.habr.com

ఒక వ్యాఖ్యను జోడించండి