Ретроспективӣ
Миқёс, таркиб ва таркиби таҳдидҳои киберӣ ба барномаҳо босуръат инкишоф меёбанд. Дар тӯли солҳои зиёд, корбарон ба барномаҳои веб тавассути Интернет тавассути браузерҳои маъмули веб дастрасӣ пайдо карданд. Дар вақти дилхоҳ 2-5 веб-браузерро дастгирӣ кардан лозим буд ва маҷмӯи стандартҳо барои таҳия ва санҷиши барномаҳои веб хеле маҳдуд буд. Масалан, қариб ҳама пойгоҳи додаҳо бо истифода аз SQL сохта шудаанд. Мутаассифона, пас аз як муддати кӯтоҳ, ҳакерҳо истифодаи веб-барномаҳоро барои дуздӣ, нест кардан ё тағир додани маълумот омӯхтанд. Онҳо бо истифода аз усулҳои гуногун, аз ҷумла фиреби корбарони барнома, сӯзандору ва иҷрои дурдасти код дастрасии ғайриқонунӣ ба даст овардаанд ва аз қобилиятҳои барномаҳо сӯиистифода мекарданд. Дере нагузашта, асбобҳои тиҷоратии амнияти барномаҳои веб бо номи Firewalls (WAFs) ба бозор омаданд ва ҷомеа бо эҷоди як лоиҳаи кушодаи амнияти барномаҳои веб, Лоиҳаи Амнияти Барномаҳои Open Web (OWASP) барои муайян ва нигоҳ доштани стандартҳо ва методологияҳои рушд вокуниш нишон дод. барномаҳои бехатар.
Муҳофизати асосии барнома
нуқтаи ибтидоӣ барои ҳифзи барномаҳо буда, рӯйхати хатарҳои хатарнок ва конфигуратсияҳои нодурустро дар бар мегирад, ки метавонанд ба осебпазирии барномаҳо, инчунин тактика барои ошкор ва шикаст додани ҳамлаҳо оварда расонанд. OWASP Top 10 як меъёри эътирофшуда дар соҳаи киберамнияти барномаҳо дар саросари ҷаҳон аст ва рӯйхати асосии қобилиятҳоеро, ки системаи амнияти барномаҳои веб (WAF) бояд дошта бошад, муайян мекунад.
Илова бар ин, функсияи WAF бояд дигар ҳамлаҳои маъмулро ба барномаҳои веб, аз ҷумла қалбакии дархостҳои байнисоҳавӣ (CSRF), кликкунӣ, скрепинги веб ва дохилкунии файлҳо (RFI/LFI) ба назар гирад.
Таҳдидҳо ва мушкилот барои таъмини амнияти замимаҳои муосир
Имрӯз, на ҳама барномаҳо дар версияи шабакавӣ амалӣ карда мешаванд. Барномаҳои абрӣ, барномаҳои мобилӣ, APIҳо ва дар меъмории навтарин, ҳатто функсияҳои нармафзори фармоишӣ мавҷуданд. Ҳамаи ин намуди барномаҳо бояд ҳамоҳанг ва назорат карда шаванд, зеро онҳо маълумоти моро эҷод мекунанд, тағир медиҳанд ва коркард мекунанд. Бо пайдоиши технологияҳо ва парадигмаҳои нав, дар ҳама марҳилаҳои давраи ҳаёти барнома мушкилот ва мушкилоти нав ба миён меоянд. Ин ҳамгироии таҳия ва амалиёт (DevOps), контейнерҳо, Интернети ашё (IoT), абзорҳои кушодаасос, APIҳо ва ғайраро дар бар мегирад.
Ҷойгиркунии тақсимоти барномаҳо ва гуногунии технологияҳо на танҳо барои мутахассисони амнияти иттилоотӣ, балки барои фурӯшандагони ҳалли амният, ки дигар наметавонанд ба равиши ягона такя кунанд, мушкилоти мураккаб ва мураккабро ба вуҷуд меорад. Тадбирҳои амниятии барнома бояд хусусиятҳои тиҷоратии онҳоро ба инобат гиранд, то позитивҳои бардурӯғ ва халалдор шудани сифати хидматҳоро барои корбарон пешгирӣ кунанд.
Ҳадафи ниҳоии ҳакерҳо одатан дуздидани маълумот ё халалдор кардани дастрасии хидматҳо мебошад. Ҳамлагарон инчунин аз таҳаввулоти технологӣ баҳра мебаранд. Аввалан, рушди технологияҳои нав камбудиҳо ва осебпазирии бештарро ба вуҷуд меорад. Сониян, онҳо дар арсеналашон асбобу донишҳои бештар доранд, то аз чораҳои анъанавии амниятӣ канорагирӣ кунанд. Ин ба истилоҳ "сатҳи ҳамла" ва дучори хатарҳои навро зиёд мекунад. Сиёсати амният бояд дар вокуниш ба тағйирот дар технология ва барномаҳо доимо тағйир ёбад.
Ҳамин тариқ, барномаҳо бояд аз усулҳо ва манбаъҳои афзояндаи ҳамла муҳофизат карда шаванд ва ҳамлаҳои автоматӣ бояд дар вақти воқеӣ дар асоси қарорҳои огоҳона мубориза баранд. Дар натиҷа, афзоиши хароҷоти транзаксия ва меҳнати дастӣ дар якҷоягӣ бо суст шудани ҳолати амниятӣ мебошад.
Вазифаи №1: Идоракунии ботҳо
Зиёда аз 60% трафики интернетро ботҳо тавлид мекунанд, ки нисфи он трафики "бад" аст (мувофиқи ). Ташкилотҳо барои баланд бардоштани иқтидори шабака сармоягузорӣ мекунанд, ки аслан ба сарбории сохта хизмат мерасонанд. Ба таври дақиқ фарқ кардани трафики воқеии корбар ва трафики ботҳо, инчунин ботҳои “хуб” (масалан, муҳаррикҳои ҷустуҷӯӣ ва хидматҳои муқоисаи нархҳо) ва ботҳои “бад” метавонад боиси сарфаи назарраси хароҷот ва беҳтар шудани сифати хидмат барои корбарон гардад.
Ботҳо ин вазифаро осон намекунанд ва онҳо метавонанд ба рафтори корбарони воқеӣ тақлид кунанд, аз CAPTCHA ва дигар монеаҳо гузаранд. Ғайр аз он, дар сурати ҳамлаҳо бо истифода аз суроғаҳои динамикии IP, муҳофизат дар асоси филтркунии суроғаҳои IP бесамар мегардад. Аксар вақт воситаҳои таҳияи сарчашмаи кушода (масалан, Phantom JS), ки метавонанд аз ҷониби муштарӣ JavaScript идора карда шаванд, барои оғоз кардани ҳамлаҳои бераҳмона, ҳамлаҳои пуркунии маълумот, ҳамлаҳои DDoS ва ҳамлаҳои ботҳои автоматӣ истифода мешаванд.
Барои самаранок идора кардани трафики бот, мушаххасоти беназири манбаи он (ба мисли изи ангушт) лозим аст. Азбаски ҳамлаи бот сабтҳои сершумор тавлид мекунад, изи ангушти он ба он имкон медиҳад, ки фаъолияти шубҳанокро муайян кунад ва холҳоро таъин кунад, ки дар асоси он системаи ҳифзи барнома қарори огоҳона қабул мекунад - блок/иҷозат - бо ҳадди ақали мусбатҳои бардурӯғ.
Мушкилоти №2: Муҳофизати API
Бисёре аз барномаҳо маълумот ва маълумотро аз хидматҳое, ки онҳо тавассути APIҳо ҳамкорӣ мекунанд, ҷамъ мекунанд. Ҳангоми интиқоли маълумоти ҳассос тавассути API, зиёда аз 50% созмонҳо барои ошкор кардани ҳамлаҳои киберӣ API-ро на тасдиқ мекунанд ва на бехатар.
Намунаҳои истифодаи API:
- Интегратсияи Интернети ашё (IoT).
- Муоширати мошин ба мошин
- Муҳити бе сервер
- Барномаҳои мобилӣ
- Барномаҳои ба рӯйдодҳо асосёфта
Офтобҳои API ба осебпазирии барномаҳо шабоҳат доранд ва тазриқҳо, ҳамлаҳои протоколӣ, коркарди параметрҳо, масирҳо ва ҳамлаҳои ботҳоро дар бар мегиранд. Шлюзҳои махсуси API барои таъмини мутобиқати байни хидматҳои замимавӣ, ки тавассути APIҳо ҳамкорӣ мекунанд, кӯмак мекунанд. Бо вуҷуди ин, онҳо амнияти барномаро ба монанди WAF бо асбобҳои муҳими амниятӣ, аз қабили таҳлили сарлавҳаи HTTP, рӯйхати назорати дастрасии қабати 7 (ACL), таҳлил ва санҷиши бори JSON/XML ва муҳофизат аз ҳама осебпазирӣ таъмин намекунанд. Рӯйхати OWASP Top 10 Ин тавассути тафтиши арзишҳои асосии API бо истифода аз моделҳои мусбат ва манфӣ ба даст оварда мешавад.
Мушкилоти №3: Радди хидмат
Вектори кӯҳнаи ҳамла, радди хидмат (DoS), самаранокии худро дар ҳамла ба барномаҳо исбот мекунад. Ҳамлагарон як қатор усулҳои бомуваффақияти халалдор кардани хидматҳои барномаро доранд, аз ҷумла обхезии HTTP ё HTTPS, ҳамлаҳои паст ва суст (масалан, SlowLoris, LOIC, Torshammer), ҳамлаҳо бо истифода аз суроғаҳои динамикии IP, пур кардани буфер, ҳамлаҳои бераҳмона ва бисёр дигарон . Бо рушди Интернети ашё ва пайдоиши ботнетҳои IoT, ҳамла ба барномаҳо ба маркази асосии ҳамлаҳои DDoS табдил ёфт. Аксарияти WAF-ҳои давлатӣ танҳо миқдори маҳдуди сарборро идора карда метавонанд. Бо вуҷуди ин, онҳо метавонанд ҷараёни трафики HTTP/S-ро тафтиш кунанд ва трафики ҳамла ва пайвастҳои зарароварро нест кунанд. Вақте ки ҳамла муайян карда шуд, дубора гузаштани ин трафик ҳеҷ маъно надорад. Азбаски қобилияти WAF барои рафъи ҳамлаҳо маҳдуд аст, дар периметри шабака ҳалли иловагӣ лозим аст, то бастаҳои навбатии "бад" ба таври худкор баста шавад. Барои ин сенарияи амниятӣ, ҳарду ҳалли онҳо бояд қодир бошанд, ки бо ҳамдигар барои мубодилаи маълумот дар бораи ҳамлаҳо муошират кунанд.
Расми 1. Ташкили ҳифзи ҳамаҷонибаи шабака ва барномаҳо бо истифода аз мисоли ҳалли Radware
Мушкилоти №4: Ҳифзи доимӣ
Барномаҳо зуд-зуд иваз мешаванд. Методологияҳои таҳия ва татбиқ, ба монанди навсозиҳои даврӣ маънои онро доранд, ки тағирот бидуни дахолат ё назорати инсон сурат мегирад. Дар чунин муҳитҳои динамикӣ, бе шумораи зиёди мусбатҳои бардурӯғ нигоҳ доштани сиёсати дурусти амниятӣ душвор аст. Замимаҳои мобилӣ нисбат ба веб-барномаҳо зуд-зуд нав карда мешаванд. Барномаҳои тарафи сеюм метавонанд бидуни огоҳии шумо тағир ёбанд. Баъзе ташкилотҳо дар ҷустуҷӯи назорати бештар ва дидани хатарҳои эҳтимолӣ ҳастанд. Аммо, ин на ҳамеша имконпазир аст ва ҳифзи боэътимоди барномаҳо бояд қудрати омӯзиши мошинро барои баҳисобгирӣ ва визуализатсияи захираҳои мавҷуда, таҳлили таҳдидҳои эҳтимолӣ ва эҷод ва оптимизатсияи сиёсати амниятӣ ҳангоми тағир додани барнома истифода барад.
натиҷаҳои
Азбаски барномаҳо дар ҳаёти ҳаррӯза нақши торафт муҳим мебозанд, онҳо ҳадафи асосии ҳакерҳо мешаванд. Мукофоти эҳтимолӣ барои ҷинояткорон ва талафоти эҳтимолӣ барои тиҷорат хеле бузург аст. Мушкилии вазифаи амнияти барномаро бо назардошти шумора ва вариантҳои барномаҳо ва таҳдидҳо аз ҳад зиёд арзёбӣ кардан мумкин нест.
Хушбахтона, мо дар замоне ҳастем, ки зеҳни сунъӣ метавонад ба кӯмаки мо биёяд. Алгоритмҳои ба омӯзиши мошин асосёфта муҳофизати мутобиқшавиро дар вақти воқеӣ аз таҳдидҳои пешрафтаи киберӣ, ки ба барнома нигаронида шудаанд, таъмин мекунанд. Онҳо инчунин сиёсати амниятро ба таври худкор навсозӣ мекунанд, то барномаҳои веб, мобилӣ ва абрӣ ва API-ро бидуни мусбатҳои бардурӯғ муҳофизат кунанд.
Бо итминон пешгӯӣ кардан душвор аст, ки насли ояндаи таҳдидҳои барномавӣ (эҳтимолан инчунин ба омӯзиши мошин асос ёфтааст) чӣ гуна хоҳад буд. Аммо созмонҳо албатта метавонанд барои ҳифзи маълумоти муштариён, ҳифзи моликияти зеҳнӣ ва таъмини дастрасии хадамот бо манфиатҳои бузурги тиҷорат чораҳо андешанд.
Равишҳо ва усулҳои муассир барои таъмини амнияти барномаҳо, намудҳо ва векторҳои асосии ҳамлаҳо, минтақаҳои хавф ва камбудиҳо дар ҳифзи киберии замимаҳои веб, инчунин таҷрибаи ҷаҳонӣ ва таҷрибаи пешқадам дар омӯзиш ва гузориши Radware оварда шудаанд.".
Манбаъ: will.com