geçmişe yönelik
Uygulamalara yönelik siber tehditlerin ölçeği, bileşimi ve bileşimi hızla gelişiyor. Uzun yıllardır kullanıcılar web uygulamalarına internet üzerinden popüler web tarayıcılarını kullanarak erişmektedir. Herhangi bir zamanda 2-5 web tarayıcısının desteklenmesi gerekiyordu ve web uygulamalarının geliştirilmesi ve test edilmesine yönelik standartlar seti oldukça sınırlıydı. Örneğin neredeyse tüm veritabanları SQL kullanılarak oluşturuldu. Ne yazık ki kısa bir süre sonra bilgisayar korsanları verileri çalmak, silmek veya değiştirmek için web uygulamalarını kullanmayı öğrendiler. Uygulama kullanıcılarının aldatılması, enjeksiyon ve uzaktan kod çalıştırma gibi çeşitli teknikler kullanarak uygulama yeteneklerine yasa dışı erişim sağladılar ve bunları kötüye kullandılar. Kısa süre sonra, Web Uygulaması Güvenlik Duvarları (WAF'ler) adı verilen ticari web uygulaması güvenlik araçları piyasaya çıktı ve topluluk, geliştirme standartlarını ve metodolojilerini tanımlamak ve sürdürmek için açık bir web uygulaması güvenlik projesi olan Açık Web Uygulama Güvenliği Projesi (OWASP) oluşturarak buna yanıt verdi. Güvenli uygulamalar.
Temel uygulama koruması
uygulamaların güvenliğini sağlamanın başlangıç noktasıdır ve uygulama güvenlik açıklarına yol açabilecek en tehlikeli tehditlerin ve yanlış yapılandırmaların bir listesinin yanı sıra saldırıları tespit etme ve yenme taktiklerini içerir. OWASP Top 10, dünya çapında uygulama siber güvenliği sektöründe tanınmış bir referans noktasıdır ve bir web uygulama güvenliği (WAF) sisteminin sahip olması gereken temel yeteneklerin listesini tanımlar.
Ayrıca WAF işlevselliğinin, siteler arası istek sahteciliği (CSRF), tıklama hırsızlığı, web kazıma ve dosya ekleme (RFI/LFI) dahil olmak üzere web uygulamalarına yönelik diğer yaygın saldırıları da dikkate alması gerekir.
Modern uygulamaların güvenliğini sağlamaya yönelik tehditler ve zorluklar
Günümüzde tüm uygulamalar ağ sürümünde uygulanmamaktadır. Bulut uygulamaları, mobil uygulamalar, API'ler ve en yeni mimarilerde, hatta özel yazılım işlevleri bile mevcuttur. Tüm bu tür uygulamaların verilerimizi oluştururken, değiştirirken ve işlerken senkronize edilmesi ve kontrol edilmesi gerekir. Yeni teknolojilerin ve paradigmaların ortaya çıkışıyla birlikte, uygulama yaşam döngüsünün her aşamasında yeni karmaşıklıklar ve zorluklar ortaya çıkıyor. Buna geliştirme ve operasyon entegrasyonu (DevOps), konteynerler, Nesnelerin İnterneti (IoT), açık kaynak araçları, API'ler ve daha fazlası dahildir.
Uygulamaların dağıtılmış dağıtımı ve teknolojilerin çeşitliliği, yalnızca bilgi güvenliği uzmanları için değil, aynı zamanda artık birleşik bir yaklaşıma güvenemeyen güvenlik çözümü satıcıları için de karmaşık ve karmaşık zorluklar yaratıyor. Yanlış pozitifleri ve kullanıcılar için hizmet kalitesinin bozulmasını önlemek için uygulama güvenliği önlemlerinin iş spesifikasyonlarını dikkate alması gerekir.
Bilgisayar korsanlarının nihai hedefi genellikle verileri çalmak veya hizmetlerin kullanılabilirliğini bozmaktır. Saldırganlar aynı zamanda teknolojik evrimden de yararlanır. Birincisi, yeni teknolojilerin geliştirilmesi daha fazla potansiyel boşluk ve güvenlik açığı yaratmaktadır. İkincisi, geleneksel güvenlik önlemlerini aşmak için cephaneliklerinde daha fazla araç ve bilgi var. Bu, "saldırı yüzeyi" olarak adlandırılan alanı ve kuruluşların yeni risklere maruz kalmasını büyük ölçüde artırır. Güvenlik politikaları, teknoloji ve uygulamalardaki değişikliklere yanıt olarak sürekli değişmelidir.
Bu nedenle uygulamalar, giderek artan çeşitlilikteki saldırı yöntemlerinden ve kaynaklarından korunmalı ve otomatik saldırılara, bilinçli kararlara dayalı olarak gerçek zamanlı olarak karşı konulmalıdır. Sonuç, artan işlem maliyetleri ve el emeğinin yanı sıra güvenlik duruşunun zayıflamasıdır.
Görev #1: Botları yönetme
İnternet trafiğinin %60'ından fazlası botlar tarafından oluşturuluyor ve bunların yarısı "kötü" trafiktir (göre ). Kuruluşlar, esasen hayali bir yüke hizmet eden ağ kapasitesini artırmaya yatırım yapıyor. Gerçek kullanıcı trafiği ile bot trafiğinin yanı sıra "iyi" botlar (örneğin, arama motorları ve fiyat karşılaştırma hizmetleri) ile "kötü" botlar arasında doğru bir ayrım yapmak, kullanıcılar için önemli ölçüde maliyet tasarrufu ve gelişmiş hizmet kalitesi sağlayabilir.
Botlar bu görevi kolaylaştırmayacak ve gerçek kullanıcıların davranışlarını taklit ederek CAPTCHA'ları ve diğer engelleri aşabilirler. Ayrıca dinamik IP adresleri kullanılarak yapılan saldırılarda IP adresi filtrelemeye dayalı koruma etkisiz hale gelir. Genellikle, istemci tarafı JavaScript'i işleyebilen açık kaynak geliştirme araçları (örneğin, Phantom JS), kaba kuvvet saldırıları, kimlik bilgisi doldurma saldırıları, DDoS saldırıları ve otomatik bot saldırıları başlatmak için kullanılır.
Bot trafiğini etkili bir şekilde yönetmek için kaynağının benzersiz bir şekilde tanımlanması (parmak izi gibi) gerekir. Bir bot saldırısı birden fazla kayıt oluşturduğundan, parmak izi şüpheli etkinliği tanımlamasına ve puanlar atamasına olanak tanır; bu puanlara göre uygulama koruma sistemi minimum yanlış pozitif oranıyla bilinçli bir karar verir (engelleme/izin verme).
Zorluk #2: API'yi Korumak
Birçok uygulama, API'ler aracılığıyla etkileşimde bulundukları hizmetlerden bilgi ve veri toplar. Hassas verileri API'ler aracılığıyla aktarırken, kuruluşların %50'sinden fazlası siber saldırıları tespit etmek için API'leri ne doğruluyor ne de güvenliğini sağlıyor.
API kullanımına örnekler:
- Nesnelerin İnterneti (IoT) entegrasyonu
- Makineden makineye iletişim
- Sunucusuz Ortamlar
- Mobil Uygulamalar
- Olay Odaklı Uygulamalar
API güvenlik açıkları uygulama güvenlik açıklarına benzer ve enjeksiyonları, protokol saldırılarını, parametre manipülasyonunu, yönlendirmeleri ve bot saldırılarını içerir. Özel API ağ geçitleri, API'ler aracılığıyla etkileşim kuran uygulama hizmetleri arasında uyumluluğun sağlanmasına yardımcı olur. Ancak, HTTP üstbilgisi ayrıştırma, Katman 7 erişim kontrol listesi (ACL), JSON/XML veri yükü ayrıştırma ve inceleme ve tüm güvenlik açıklarına karşı koruma gibi temel güvenlik araçlarıyla WAF kutusu gibi uçtan uca uygulama güvenliği sağlamazlar. OWASP Top 10 listesi. Bu, pozitif ve negatif modeller kullanılarak anahtar API değerlerinin incelenmesiyle elde edilir.
Zorluk #3: Hizmet Reddi
Eski bir saldırı vektörü olan hizmet reddi (DoS), saldırı uygulamalarına karşı etkinliğini kanıtlamaya devam ediyor. Saldırganlar, HTTP veya HTTPS saldırıları, düşük ve yavaş saldırılar (örn. SlowLoris, LOIC, Torshammer), dinamik IP adresleri kullanan saldırılar, arabellek taşması, kaba kuvvet saldırıları ve diğerleri dahil olmak üzere uygulama hizmetlerini bozmak için bir dizi başarılı tekniğe sahiptir. . Nesnelerin İnterneti'nin gelişmesi ve ardından IoT botnet'lerinin ortaya çıkmasıyla birlikte uygulamalara yönelik saldırılar, DDoS saldırılarının ana odağı haline geldi. Durum bilgisi olan WAF'ların çoğu yalnızca sınırlı miktarda yükü işleyebilir. Ancak HTTP/S trafik akışlarını inceleyebilir ve saldırı trafiğini ve kötü amaçlı bağlantıları kaldırabilirler. Bir saldırı tespit edildikten sonra bu trafiği tekrar geçmenin bir anlamı yoktur. WAF'ın saldırıları engelleme kapasitesi sınırlı olduğundan, sonraki "kötü" paketleri otomatik olarak engellemek için ağ çevresinde ek bir çözüme ihtiyaç vardır. Bu güvenlik senaryosu için her iki çözümün de saldırılar hakkında bilgi alışverişinde bulunmak üzere birbirleriyle iletişim kurabilmesi gerekir.
Şekil 1. Radware çözümleri örneğini kullanarak kapsamlı ağ ve uygulama korumasının organizasyonu
Zorluk #4: Sürekli Koruma
Uygulamalar sıklıkla değişmektedir. Sürekli güncellemeler gibi geliştirme ve uygulama metodolojileri, değişikliklerin insan müdahalesi veya kontrolü olmadan gerçekleşmesi anlamına gelir. Bu tür dinamik ortamlarda, çok sayıda hatalı pozitif sonuç olmadan, yeterince işleyen güvenlik politikalarını sürdürmek zordur. Mobil uygulamalar web uygulamalarına göre çok daha sık güncellenmektedir. Üçüncü taraf uygulamalar bilginiz dışında değişebilir. Bazı kuruluşlar potansiyel risklerin üstesinden gelmek için daha fazla kontrol ve görünürlük arayışındadır. Ancak bu her zaman başarılabilir değildir ve güvenilir uygulama korumasının, mevcut kaynakları hesaba katmak ve görselleştirmek, potansiyel tehditleri analiz etmek ve uygulama değişiklikleri durumunda güvenlik politikalarını oluşturup optimize etmek için makine öğreniminin gücünü kullanması gerekir.
Bulgular
Uygulamalar günlük yaşamda giderek daha önemli bir rol oynadıkça bilgisayar korsanlarının ana hedefi haline geliyor. Suçlular için potansiyel ödüller ve işletmeler için potansiyel kayıplar çok büyük. Uygulamaların ve tehditlerin sayısı ve çeşitliliği göz önüne alındığında, uygulama güvenliği görevinin karmaşıklığı abartılamaz.
Neyse ki yapay zekanın yardımımıza koşabileceği bir noktadayız. Makine öğrenimi tabanlı algoritmalar, uygulamaları hedef alan en gelişmiş siber tehditlere karşı gerçek zamanlı, uyarlanabilir koruma sağlar. Ayrıca web, mobil ve bulut uygulamalarını ve API'leri hatalı pozitif sonuçlar olmadan korumak için güvenlik politikalarını otomatik olarak güncellerler.
Yeni nesil uygulama siber tehditlerinin (muhtemelen makine öğrenimine de dayalı) ne olacağını kesin olarak tahmin etmek zordur. Ancak kuruluşlar müşteri verilerini korumak, fikri mülkiyeti korumak ve büyük ticari faydalarla hizmet kullanılabilirliğini sağlamak için kesinlikle adımlar atabilir.
Uygulama güvenliğinin sağlanmasına yönelik etkili yaklaşımlar ve yöntemler, saldırıların ana türleri ve vektörleri, risk alanları ve web uygulamalarının siber korumasındaki boşlukların yanı sıra küresel deneyim ve en iyi uygulamalar Radware çalışması ve raporunda sunulmaktadır. anlayışının sonucu olarak, buzdolabında iki üç günden fazla durmayan küçük şişeler elinizin altında bulunur.
Kaynak: habr.com