ย้อนหลัง
ขนาด องค์ประกอบ และองค์ประกอบของภัยคุกคามทางไซเบอร์ต่อแอปพลิเคชันกำลังพัฒนาอย่างรวดเร็ว เป็นเวลาหลายปีที่ผู้ใช้เข้าถึงแอปพลิเคชันเว็บผ่านทางอินเทอร์เน็ตโดยใช้เว็บเบราว์เซอร์ยอดนิยม จำเป็นต้องรองรับเว็บเบราว์เซอร์ 2-5 ตัวในเวลาที่กำหนด และชุดมาตรฐานสำหรับการพัฒนาและทดสอบเว็บแอปพลิเคชันค่อนข้างจำกัด ตัวอย่างเช่น ฐานข้อมูลเกือบทั้งหมดถูกสร้างขึ้นโดยใช้ SQL น่าเสียดายที่หลังจากช่วงเวลาสั้นๆ แฮกเกอร์ได้เรียนรู้การใช้เว็บแอปพลิเคชันเพื่อขโมย ลบ หรือเปลี่ยนแปลงข้อมูล พวกเขาเข้าถึงอย่างผิดกฎหมายและใช้ความสามารถของแอปพลิเคชันในทางที่ผิดโดยใช้เทคนิคที่หลากหลาย รวมถึงการหลอกลวงผู้ใช้แอปพลิเคชัน การแทรก และการเรียกใช้โค้ดจากระยะไกล ในไม่ช้า เครื่องมือรักษาความปลอดภัยแอปพลิเคชันเว็บเชิงพาณิชย์ที่เรียกว่า Web Application Firewalls (WAF) ก็ออกสู่ตลาด และชุมชนก็ตอบสนองด้วยการสร้างโครงการรักษาความปลอดภัยแอปพลิเคชันเว็บแบบเปิด Open Web Application Security Project (OWASP) เพื่อกำหนดและรักษามาตรฐานและวิธีการพัฒนา . แอปพลิเคชันที่ปลอดภัย
การป้องกันการใช้งานขั้นพื้นฐาน
เป็นจุดเริ่มต้นสำหรับการรักษาความปลอดภัยแอปพลิเคชันและมีรายการภัยคุกคามและการกำหนดค่าที่อันตรายที่สุดที่อาจนำไปสู่ช่องโหว่ของแอปพลิเคชัน รวมถึงกลยุทธ์ในการตรวจจับและเอาชนะการโจมตี OWASP Top 10 เป็นเกณฑ์มาตรฐานที่ได้รับการยอมรับในอุตสาหกรรมความปลอดภัยทางไซเบอร์ของแอปพลิเคชันทั่วโลก และกำหนดรายการความสามารถหลักที่ระบบรักษาความปลอดภัยของแอปพลิเคชันบนเว็บ (WAF) ควรมี
นอกจากนี้ ฟังก์ชันการทำงานของ WAF จะต้องคำนึงถึงการโจมตีทั่วไปอื่นๆ บนเว็บแอปพลิเคชัน รวมถึงการปลอมแปลงคำขอข้ามไซต์ (CSRF), การคลิกแจ็ค, การขูดเว็บ และการรวมไฟล์ (RFI/LFI)
ภัยคุกคามและความท้าทายในการรับรองความปลอดภัยของแอปพลิเคชันสมัยใหม่
ปัจจุบันมีการใช้งานแอปพลิเคชันบางรายการในเวอร์ชันเครือข่ายเท่านั้น มีแอปบนคลาวด์ แอปมือถือ API และในสถาปัตยกรรมล่าสุด แม้แต่ฟังก์ชันซอฟต์แวร์ที่กำหนดเอง แอปพลิเคชันทุกประเภทเหล่านี้จำเป็นต้องซิงโครไนซ์และควบคุมในขณะที่สร้าง แก้ไข และประมวลผลข้อมูลของเรา ด้วยการถือกำเนิดของเทคโนโลยีและกระบวนทัศน์ใหม่ ความซับซ้อนและความท้าทายใหม่ๆ เกิดขึ้นในทุกขั้นตอนของวงจรการใช้งาน ซึ่งรวมถึงการบูรณาการการพัฒนาและการดำเนินงาน (DevOps), คอนเทนเนอร์, Internet of Things (IoT), เครื่องมือโอเพ่นซอร์ส, API และอื่นๆ
การใช้งานแอพพลิเคชั่นแบบกระจายและความหลากหลายของเทคโนโลยีสร้างความท้าทายที่ซับซ้อนและซับซ้อน ไม่เพียงแต่สำหรับผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูลเท่านั้น แต่ยังรวมถึงผู้จำหน่ายโซลูชันด้านความปลอดภัยที่ไม่สามารถพึ่งพาแนวทางแบบครบวงจรได้อีกต่อไป มาตรการรักษาความปลอดภัยของแอปพลิเคชันจะต้องคำนึงถึงลักษณะเฉพาะทางธุรกิจเพื่อป้องกันผลบวกลวงและการหยุดชะงักของคุณภาพของบริการสำหรับผู้ใช้
เป้าหมายสูงสุดของแฮกเกอร์คือการขโมยข้อมูลหรือขัดขวางความพร้อมใช้งานของบริการ ผู้โจมตียังได้รับประโยชน์จากวิวัฒนาการทางเทคโนโลยีอีกด้วย ประการแรก การพัฒนาเทคโนโลยีใหม่ๆ ทำให้เกิดช่องว่างและช่องโหว่ที่อาจเกิดขึ้นมากขึ้น ประการที่สอง พวกเขามีเครื่องมือและความรู้เพิ่มเติมในคลังแสงเพื่อหลีกเลี่ยงมาตรการรักษาความปลอดภัยแบบเดิมๆ สิ่งนี้จะเพิ่มสิ่งที่เรียกว่า "พื้นผิวการโจมตี" อย่างมาก และองค์กรต่างๆ ต้องเผชิญกับความเสี่ยงใหม่ๆ นโยบายความปลอดภัยจะต้องเปลี่ยนแปลงอย่างต่อเนื่องเพื่อตอบสนองต่อการเปลี่ยนแปลงของเทคโนโลยีและแอปพลิเคชัน
ดังนั้น แอปพลิเคชันจะต้องได้รับการปกป้องจากวิธีและแหล่งที่มาของการโจมตีที่หลากหลายเพิ่มมากขึ้น และการโจมตีอัตโนมัติจะต้องตอบโต้แบบเรียลไทม์ตามการตัดสินใจที่มีข้อมูล ผลลัพธ์ที่ได้คือต้นทุนการทำธุรกรรมและแรงงานคนที่เพิ่มขึ้น ควบคู่ไปกับมาตรการรักษาความปลอดภัยที่อ่อนแอลง
งาน #1: การจัดการบอท
ทราฟฟิกอินเทอร์เน็ตมากกว่า 60% สร้างขึ้นโดยบอท ครึ่งหนึ่งเป็นทราฟฟิกที่ “ไม่ดี” (ตามข้อมูลของ ). องค์กรต่างๆ ลงทุนในการเพิ่มความจุของเครือข่าย โดยพื้นฐานแล้วรองรับภาระที่สมมติขึ้น การแยกความแตกต่างอย่างแม่นยำระหว่างปริมาณการใช้งานผู้ใช้จริงและปริมาณการใช้บอท รวมถึงบอท "ดี" (เช่น โรบ็อตการค้นหาและบริการเปรียบเทียบราคา) และบอท "ไม่ดี" อาจส่งผลให้ประหยัดต้นทุนได้อย่างมากและปรับปรุงคุณภาพการบริการสำหรับผู้ใช้
บอทจะไม่ทำให้งานนี้ง่ายขึ้น และพวกเขาสามารถเลียนแบบพฤติกรรมของผู้ใช้จริง หลีกเลี่ยง CAPTCHA และอุปสรรคอื่น ๆ ได้ นอกจากนี้ ในกรณีของการโจมตีโดยใช้ที่อยู่ IP แบบไดนามิก การป้องกันตามการกรองที่อยู่ IP จะไม่มีประสิทธิภาพ บ่อยครั้งที่เครื่องมือพัฒนาโอเพ่นซอร์ส (เช่น Phantom JS) ที่สามารถจัดการ JavaScript ฝั่งไคลเอ็นต์ถูกใช้เพื่อเริ่มการโจมตีแบบ brute-force การโจมตีแบบยัดข้อมูลประจำตัว การโจมตี DDoS และการโจมตีบอทอัตโนมัติ
เพื่อจัดการทราฟฟิกของบอทอย่างมีประสิทธิภาพ จำเป็นต้องมีการระบุแหล่งที่มาที่ไม่ซ้ำกัน (เช่น ลายนิ้วมือ) เนื่องจากการโจมตีของบอทสร้างบันทึกหลายรายการ ลายนิ้วมือของมันจึงทำให้สามารถระบุกิจกรรมที่น่าสงสัยและกำหนดคะแนน โดยขึ้นอยู่กับการที่ระบบป้องกันแอปพลิเคชันทำการตัดสินใจอย่างชาญฉลาด - บล็อก/อนุญาต - ด้วยอัตราผลบวกลวงขั้นต่ำ
ความท้าทาย #2: การปกป้อง API
แอปพลิเคชันจำนวนมากรวบรวมข้อมูลและข้อมูลจากบริการที่พวกเขาโต้ตอบด้วยผ่าน API เมื่อส่งข้อมูลละเอียดอ่อนผ่าน API องค์กรมากกว่า 50% จะไม่ตรวจสอบหรือรักษาความปลอดภัย API เพื่อตรวจจับการโจมตีทางไซเบอร์
ตัวอย่างการใช้ API:
- การบูรณาการอินเทอร์เน็ตของสรรพสิ่ง (IoT)
- การสื่อสารระหว่างเครื่องกับเครื่อง
- สภาพแวดล้อมแบบไร้เซิร์ฟเวอร์
- ปพลิเคชันโทรศัพท์มือถือ
- แอปพลิเคชันที่ขับเคลื่อนด้วยเหตุการณ์
ช่องโหว่ของ API นั้นคล้ายคลึงกับช่องโหว่ของแอปพลิเคชัน และรวมถึงการแทรก การโจมตีโปรโตคอล การจัดการพารามิเตอร์ การเปลี่ยนเส้นทาง และการโจมตีของบอท เกตเวย์ API เฉพาะช่วยรับประกันความเข้ากันได้ระหว่างบริการแอปพลิเคชันที่โต้ตอบผ่าน API อย่างไรก็ตาม พวกเขาไม่ได้ให้การรักษาความปลอดภัยของแอปพลิเคชันแบบ end-to-end เช่น WAF ด้วยเครื่องมือรักษาความปลอดภัยที่จำเป็น เช่น การแยกวิเคราะห์ส่วนหัว HTTP, รายการควบคุมการเข้าถึงเลเยอร์ 7 (ACL), การแยกวิเคราะห์เพย์โหลด JSON/XML และการตรวจสอบ และการป้องกันช่องโหว่ทั้งหมดจาก รายการ OWASP 10 อันดับแรก ซึ่งทำได้โดยการตรวจสอบค่า API คีย์โดยใช้แบบจำลองเชิงบวกและเชิงลบ
ความท้าทาย #3: การปฏิเสธการให้บริการ
เวกเตอร์การโจมตีแบบเก่า การปฏิเสธการบริการ (DoS) ยังคงพิสูจน์ประสิทธิภาพในการโจมตีแอปพลิเคชัน ผู้โจมตีมีเทคนิคที่ประสบความสำเร็จมากมายในการขัดขวางบริการแอปพลิเคชัน รวมถึง HTTP หรือ HTTPS Floods การโจมตีแบบช้าและช้า (เช่น SlowLoris, LOIC, Torshammer) การโจมตีโดยใช้ที่อยู่ IP แบบไดนามิก บัฟเฟอร์ล้น การโจมตีแบบ Brute Force และอื่นๆ อีกมากมาย . ด้วยการพัฒนาของ Internet of Things และการเกิดขึ้นของบอตเน็ต IoT ในเวลาต่อมา การโจมตีแอปพลิเคชันจึงกลายเป็นจุดสนใจหลักของการโจมตี DDoS WAF แบบมีสถานะส่วนใหญ่สามารถรองรับโหลดได้ในจำนวนที่จำกัดเท่านั้น อย่างไรก็ตาม สามารถตรวจสอบกระแสการรับส่งข้อมูล HTTP/S และลบการรับส่งข้อมูลการโจมตีและการเชื่อมต่อที่เป็นอันตรายได้ เมื่อระบุการโจมตีแล้ว ไม่มีประโยชน์ที่จะส่งต่อการรับส่งข้อมูลนี้อีกครั้ง เนื่องจากความสามารถของ WAF ในการขับไล่การโจมตีนั้นมีจำกัด จึงจำเป็นต้องมีโซลูชันเพิ่มเติมที่ขอบเขตเครือข่ายเพื่อบล็อกแพ็กเก็ตที่ "เสียหาย" ถัดไปโดยอัตโนมัติ สำหรับสถานการณ์ด้านความปลอดภัยนี้ โซลูชันทั้งสองจะต้องสามารถสื่อสารระหว่างกันเพื่อแลกเปลี่ยนข้อมูลเกี่ยวกับการโจมตีได้
รูปที่ 1 การจัดระเบียบการป้องกันเครือข่ายและแอปพลิเคชันที่ครอบคลุมโดยใช้ตัวอย่างของโซลูชัน Radware
ความท้าทาย #4: การปกป้องอย่างต่อเนื่อง
แอปพลิเคชันมีการเปลี่ยนแปลงบ่อยครั้ง วิธีการพัฒนาและการนำไปปฏิบัติ เช่น การอัปเดตแบบต่อเนื่องหมายความว่าการแก้ไขจะเกิดขึ้นโดยไม่มีการแทรกแซงหรือการควบคุมของมนุษย์ ในสภาพแวดล้อมแบบไดนามิกดังกล่าว เป็นการยากที่จะรักษานโยบายความปลอดภัยที่ทำงานได้อย่างเพียงพอโดยไม่มีผลบวกลวงจำนวนมาก แอปพลิเคชันมือถือได้รับการอัปเดตบ่อยกว่าแอปพลิเคชันบนเว็บมาก แอปพลิเคชันบุคคลที่สามอาจเปลี่ยนแปลงโดยที่คุณไม่รู้ บางองค์กรกำลังมองหาการควบคุมและการมองเห็นที่ดียิ่งขึ้นเพื่ออยู่เหนือความเสี่ยงที่อาจเกิดขึ้น อย่างไรก็ตาม สิ่งนี้ไม่สามารถทำได้เสมอไป และการป้องกันแอปพลิเคชันที่เชื่อถือได้ต้องใช้พลังของการเรียนรู้ของเครื่องเพื่อพิจารณาและแสดงภาพทรัพยากรที่มีอยู่ วิเคราะห์ภัยคุกคามที่อาจเกิดขึ้น และสร้างและเพิ่มประสิทธิภาพนโยบายความปลอดภัยในกรณีที่มีการแก้ไขแอปพลิเคชัน
ผลการวิจัย
เนื่องจากแอปมีบทบาทสำคัญมากขึ้นในชีวิตประจำวัน แอปจึงกลายเป็นเป้าหมายสำคัญของแฮกเกอร์ รางวัลที่เป็นไปได้สำหรับอาชญากรและความสูญเสียที่อาจเกิดขึ้นสำหรับธุรกิจนั้นมีมหาศาล ความซับซ้อนของงานความปลอดภัยของแอปพลิเคชันไม่สามารถเกินจริงได้ เนื่องจากจำนวนและรูปแบบของแอปพลิเคชันและภัยคุกคาม
โชคดีที่เรามาถึงจุดที่ปัญญาประดิษฐ์เข้ามาช่วยเหลือเราได้ อัลกอริธึมที่ใช้การเรียนรู้ของเครื่องให้การป้องกันแบบเรียลไทม์และปรับเปลี่ยนได้ต่อภัยคุกคามทางไซเบอร์ขั้นสูงสุดที่กำหนดเป้าหมายไปที่แอปพลิเคชัน พวกเขายังอัปเดตนโยบายความปลอดภัยโดยอัตโนมัติเพื่อปกป้องแอปพลิเคชันเว็บ อุปกรณ์เคลื่อนที่ และคลาวด์ รวมถึง API โดยไม่มีผลบวกลวง
เป็นการยากที่จะคาดการณ์ได้อย่างแน่นอนว่าภัยคุกคามทางไซเบอร์ของแอปพลิเคชันรุ่นต่อไป (อาจขึ้นอยู่กับการเรียนรู้ของเครื่องด้วย) จะเป็นอย่างไร แต่องค์กรต่างๆ สามารถดำเนินการเพื่อปกป้องข้อมูลลูกค้า ปกป้องทรัพย์สินทางปัญญา และรับประกันความพร้อมใช้งานของบริการพร้อมผลประโยชน์ทางธุรกิจที่ยอดเยี่ยมได้อย่างแน่นอน
แนวทางและวิธีการที่มีประสิทธิภาพในการรับรองความปลอดภัยของแอปพลิเคชัน ประเภทหลักและพาหะของการโจมตี พื้นที่เสี่ยงและช่องว่างในการป้องกันทางไซเบอร์ของเว็บแอปพลิเคชัน ตลอดจนประสบการณ์ระดับโลกและแนวทางปฏิบัติที่ดีที่สุดถูกนำเสนอในการศึกษาและรายงานของ Radware”"
ที่มา: will.com