Pagbabalik-tanaw
Ang sukat, komposisyon, at komposisyon ng mga banta sa cyber sa mga application ay mabilis na umuunlad. Sa loob ng maraming taon, na-access ng mga user ang mga web application sa Internet gamit ang mga sikat na web browser. Kinailangan na suportahan ang 2-5 web browser sa anumang oras, at ang hanay ng mga pamantayan para sa pagbuo at pagsubok ng mga web application ay medyo limitado. Halimbawa, halos lahat ng mga database ay binuo gamit ang SQL. Sa kasamaang palad, pagkatapos ng maikling panahon, natutunan ng mga hacker na gumamit ng mga web application upang magnakaw, magtanggal o magbago ng data. Nakakuha sila ng iligal na pag-access at inabuso ang mga kakayahan sa aplikasyon gamit ang iba't ibang mga diskarte, kabilang ang panlilinlang sa mga gumagamit ng application, iniksyon, at remote code execution. Di-nagtagal, ang mga komersyal na tool sa seguridad ng web application na tinatawag na Web Application Firewalls (WAFs) ay dumating sa merkado, at tumugon ang komunidad sa pamamagitan ng paglikha ng isang bukas na proyekto sa seguridad ng web application, ang Open Web Application Security Project (OWASP), upang tukuyin at mapanatili ang mga pamantayan at pamamaraan ng pag-unlad. . secure na mga application.
Pangunahing proteksyon sa aplikasyon
ay ang panimulang punto para sa pag-secure ng mga application at naglalaman ng isang listahan ng mga pinaka-mapanganib na banta at maling pagsasaayos na maaaring humantong sa mga kahinaan sa application, pati na rin ang mga taktika para sa pag-detect at pagtalo sa mga pag-atake. Ang OWASP Top 10 ay isang kinikilalang benchmark sa industriya ng cybersecurity ng application sa buong mundo at tinutukoy ang pangunahing listahan ng mga kakayahan na dapat magkaroon ng isang web application security (WAF) system.
Bilang karagdagan, dapat isaalang-alang ng WAF functionality ang iba pang karaniwang pag-atake sa mga web application, kabilang ang cross-site request forgery (CSRF), clickjacking, web scraping, at file inclusion (RFI/LFI).
Mga banta at hamon para sa pagtiyak ng seguridad ng mga modernong aplikasyon
Ngayon, hindi lahat ng application ay ipinatupad sa isang bersyon ng network. May mga cloud app, mobile app, API, at sa pinakabagong mga arkitektura, maging ang mga custom na function ng software. Kailangang i-synchronize at kontrolin ang lahat ng mga uri ng application na ito habang ginagawa, binabago, at pinoproseso ng mga ito ang aming data. Sa pagdating ng mga bagong teknolohiya at paradigms, ang mga bagong kumplikado at hamon ay lumitaw sa lahat ng mga yugto ng lifecycle ng aplikasyon. Kabilang dito ang development at operations integration (DevOps), container, Internet of Things (IoT), open source tool, API, at higit pa.
Ang distributed deployment ng mga application at ang pagkakaiba-iba ng mga teknolohiya ay lumilikha ng masalimuot at kumplikadong mga hamon hindi lamang para sa mga propesyonal sa seguridad ng impormasyon, kundi pati na rin para sa mga nagtitinda ng solusyon sa seguridad na hindi na umasa sa isang pinag-isang diskarte. Dapat isaalang-alang ng mga hakbang sa seguridad ng application ang mga detalye ng kanilang negosyo upang maiwasan ang mga maling positibo at pagkagambala sa kalidad ng mga serbisyo para sa mga user.
Ang pangwakas na layunin ng mga hacker ay karaniwang magnakaw ng data o guluhin ang pagkakaroon ng mga serbisyo. Nakikinabang din ang mga umaatake sa teknolohikal na ebolusyon. Una, ang pagbuo ng mga bagong teknolohiya ay lumilikha ng mas maraming potensyal na gaps at kahinaan. Pangalawa, mayroon silang higit pang mga tool at kaalaman sa kanilang arsenal upang i-bypass ang tradisyonal na mga hakbang sa seguridad. Lubos nitong pinapataas ang tinatawag na "attack surface" at pagkakalantad ng mga organisasyon sa mga bagong panganib. Ang mga patakaran sa seguridad ay dapat na patuloy na magbago bilang tugon sa mga pagbabago sa teknolohiya at mga aplikasyon.
Kaya, ang mga application ay dapat na protektahan mula sa patuloy na dumaraming iba't ibang mga paraan ng pag-atake at pinagmumulan, at ang mga awtomatikong pag-atake ay dapat kontrahin sa real time batay sa matalinong mga desisyon. Ang resulta ay tumaas na mga gastos sa transaksyon at manu-manong paggawa, kasama ng isang mahinang postura ng seguridad.
Gawain #1: Pamamahala ng mga bot
Higit sa 60% ng trapiko sa Internet ay nabuo ng mga bot, kalahati nito ay "masamang" trapiko (ayon sa ). Namumuhunan ang mga organisasyon sa pagpapataas ng kapasidad ng network, na mahalagang naghahatid ng kathang-isip na pagkarga. Ang tumpak na pagkilala sa pagitan ng trapiko ng tunay na user at trapiko ng bot, pati na rin ang mga "mahusay" na bot (halimbawa, mga search engine at mga serbisyo sa paghahambing ng presyo) at "masamang" bot ay maaaring magresulta sa makabuluhang pagtitipid sa gastos at pinahusay na kalidad ng serbisyo para sa mga user.
Hindi gagawing madali ng mga bot ang gawaing ito, at maaari nilang gayahin ang pag-uugali ng mga totoong user, lampasan ang mga CAPTCHA at iba pang mga hadlang. Bukod dito, sa kaso ng mga pag-atake gamit ang mga dynamic na IP address, ang proteksyon batay sa pag-filter ng IP address ay nagiging hindi epektibo. Kadalasan, ginagamit ang mga open source na tool sa pag-develop (halimbawa, Phantom JS) na maaaring humawak sa client-side na JavaScript upang maglunsad ng mga brute-force na pag-atake, pag-atake sa pagpupuno ng kredensyal, pag-atake ng DDoS, at awtomatikong pag-atake ng bot. .
Upang epektibong pamahalaan ang trapiko ng bot, kinakailangan ang isang natatanging pagkakakilanlan ng pinagmulan nito (tulad ng fingerprint). Dahil ang pag-atake sa bot ay bumubuo ng maraming record, ang fingerprint nito ay nagbibigay-daan dito na matukoy ang kahina-hinalang aktibidad at magtalaga ng mga marka, batay sa kung saan ang sistema ng proteksyon ng application ay gumagawa ng matalinong desisyon - i-block/payagan - na may pinakamababang rate ng mga maling positibo.
Hamon #2: Pagprotekta sa API
Maraming application ang nangongolekta ng impormasyon at data mula sa mga serbisyong nakikipag-ugnayan sa kanila sa pamamagitan ng mga API. Kapag nagpapadala ng sensitibong data sa pamamagitan ng mga API, higit sa 50% ng mga organisasyon ay hindi nagpapatunay o hindi nagse-secure ng mga API para maka-detect ng mga cyberattack.
Mga halimbawa ng paggamit ng API:
- Pagsasama ng Internet of Things (IoT).
- Komunikasyon ng machine-to-machine
- Mga Kapaligiran na Walang Server
- Mobile Apps
- Mga Application na Batay sa Kaganapan
Ang mga kahinaan sa API ay katulad ng mga kahinaan sa application at kasama ang mga iniksyon, pag-atake sa protocol, pagmamanipula ng parameter, pag-redirect, at pag-atake ng bot. Nakakatulong ang mga nakalaang gateway ng API na matiyak ang pagiging tugma sa pagitan ng mga serbisyo ng application na nakikipag-ugnayan sa pamamagitan ng mga API. Gayunpaman, hindi sila nagbibigay ng end-to-end na seguridad ng application tulad ng isang WAF na maaaring may mahahalagang tool sa seguridad tulad ng HTTP header parsing, Layer 7 access control list (ACL), JSON/XML payload parsing at inspeksyon, at proteksyon laban sa lahat ng mga kahinaan mula sa Listahan ng Nangungunang 10 ng OWASP. Nagagawa ito sa pamamagitan ng pag-inspeksyon sa mga pangunahing halaga ng API gamit ang mga positibo at negatibong modelo.
Hamon #3: Pagtanggi sa Serbisyo
Ang isang lumang vector ng pag-atake, ang pagtanggi sa serbisyo (DoS), ay patuloy na nagpapatunay ng pagiging epektibo nito sa pag-atake ng mga application. Ang mga attacker ay may hanay ng mga matagumpay na diskarte para maabala ang mga serbisyo ng application, kabilang ang HTTP o HTTPS floods, low-and-slow attack (hal. SlowLoris, LOIC, Torshammer), pag-atake gamit ang mga dynamic na IP address, buffer overflow, brute force -attacks, at marami pang iba . Sa pagbuo ng Internet of Things at ang kasunod na paglitaw ng IoT botnets, ang mga pag-atake sa mga application ay naging pangunahing pokus ng mga pag-atake ng DDoS. Karamihan sa mga stateful na WAF ay maaari lamang humawak ng limitadong halaga ng load. Gayunpaman, maaari nilang suriin ang mga daloy ng trapiko ng HTTP/S at alisin ang trapiko ng pag-atake at mga nakakahamak na koneksyon. Kapag natukoy na ang isang pag-atake, walang saysay na ipasa muli ang trapikong ito. Dahil limitado ang kapasidad ng WAF na itaboy ang mga pag-atake, kailangan ng karagdagang solusyon sa perimeter ng network upang awtomatikong harangan ang mga susunod na "masamang" packet. Para sa sitwasyong pangseguridad na ito, ang parehong mga solusyon ay dapat na makipag-ugnayan sa isa't isa upang makipagpalitan ng impormasyon tungkol sa mga pag-atake.
Fig 1. Organisasyon ng komprehensibong network at proteksyon ng aplikasyon gamit ang halimbawa ng mga solusyon sa Radware
Hamon #4: Patuloy na Proteksyon
Ang mga aplikasyon ay madalas na nagbabago. Ang mga pamamaraan ng pagbuo at pagpapatupad tulad ng mga rolling update ay nangangahulugan na ang mga pagbabago ay nangyayari nang walang interbensyon o kontrol ng tao. Sa ganitong mga dinamikong kapaligiran, mahirap mapanatili ang sapat na gumaganang mga patakaran sa seguridad nang walang mataas na bilang ng mga maling positibo. Ang mga mobile application ay mas madalas na ina-update kaysa sa mga web application. Maaaring magbago ang mga application ng third party nang hindi mo nalalaman. Ang ilang mga organisasyon ay naghahanap ng higit na kontrol at kakayahang makita upang manatiling nasa itaas ng mga potensyal na panganib. Gayunpaman, hindi ito palaging makakamit, at dapat gamitin ng maaasahang proteksyon ng application ang kapangyarihan ng machine learning para ma-account at mailarawan ang mga available na mapagkukunan, suriin ang mga potensyal na banta, at gumawa at mag-optimize ng mga patakaran sa seguridad kung sakaling magkaroon ng mga pagbabago sa application.
Natuklasan
Habang ang mga app ay gumaganap ng lalong mahalagang papel sa pang-araw-araw na buhay, nagiging pangunahing target ang mga ito para sa mga hacker. Ang mga potensyal na gantimpala para sa mga kriminal at ang mga potensyal na pagkalugi para sa mga negosyo ay napakalaki. Ang pagiging kumplikado ng gawain sa seguridad ng aplikasyon ay hindi maaaring palakihin dahil sa bilang at mga pagkakaiba-iba ng mga aplikasyon at pagbabanta.
Sa kabutihang palad, tayo ay nasa isang punto ng oras kung saan ang artificial intelligence ay maaaring tumulong sa atin. Ang mga algorithm na nakabatay sa machine learning ay nagbibigay ng real-time, adaptive na proteksyon laban sa mga pinaka-advanced na cyber threat na nagta-target ng mga application. Awtomatiko rin nilang ina-update ang mga patakaran sa seguridad para protektahan ang mga web, mobile, at cloud applicationβat mga APIβnang walang maling positibo.
Mahirap hulaan nang may katiyakan kung ano ang magiging susunod na henerasyon ng mga cyberthreats ng application (maaaring batay din sa machine learning). Ngunit ang mga organisasyon ay tiyak na makakagawa ng mga hakbang upang protektahan ang data ng customer, protektahan ang intelektwal na ari-arian, at tiyakin ang pagkakaroon ng serbisyo na may magagandang benepisyo sa negosyo.
Ang mga epektibong diskarte at pamamaraan para sa pagtiyak ng seguridad ng aplikasyon, ang mga pangunahing uri at vector ng mga pag-atake, mga lugar ng peligro at mga puwang sa proteksyon ng cyber ng mga web application, pati na rin ang pandaigdigang karanasan at pinakamahusay na kasanayan ay ipinakita sa pag-aaral at ulat ng Radware "".
Pinagmulan: www.habr.com