سابقہ
ایپلی کیشنز کے لیے سائبر خطرات کا پیمانہ، ساخت اور تشکیل تیزی سے تیار ہو رہا ہے۔ کئی سالوں سے، صارفین نے مقبول ویب براؤزرز کا استعمال کرتے ہوئے انٹرنیٹ پر ویب ایپلیکیشنز تک رسائی حاصل کی ہے۔ کسی بھی وقت 2-5 ویب براؤزرز کو سپورٹ کرنا ضروری تھا، اور ویب ایپلیکیشنز کی تیاری اور جانچ کے لیے معیارات کا سیٹ کافی محدود تھا۔ مثال کے طور پر، تقریباً تمام ڈیٹا بیس SQL کا استعمال کرتے ہوئے بنائے گئے تھے۔ بدقسمتی سے، مختصر وقت کے بعد، ہیکرز نے ڈیٹا چوری کرنے، حذف کرنے یا تبدیل کرنے کے لیے ویب ایپلیکیشنز کا استعمال کرنا سیکھ لیا۔ انہوں نے متعدد تکنیکوں کا استعمال کرتے ہوئے درخواست کی صلاحیتوں تک غیر قانونی رسائی حاصل کی اور ان کا غلط استعمال کیا، بشمول ایپلیکیشن استعمال کرنے والوں کو دھوکہ دینا، انجکشن لگانا، اور ریموٹ کوڈ کا نفاذ۔ جلد ہی، ویب ایپلیکیشن فائر والز (WAFs) کے نام سے تجارتی ویب ایپلیکیشن سیکیورٹی ٹولز مارکیٹ میں آگئے، اور کمیونٹی نے ترقی کے معیارات اور طریقہ کار کی وضاحت اور برقرار رکھنے کے لیے ایک اوپن ویب ایپلیکیشن سیکیورٹی پروجیکٹ، اوپن ویب ایپلیکیشن سیکیورٹی پروجیکٹ (OWASP) تشکیل دے کر جواب دیا۔ محفوظ ایپلی کیشنز۔
بنیادی ایپلیکیشن تحفظ
ایپلی کیشنز کو محفوظ کرنے کا نقطہ آغاز ہے اور اس میں انتہائی خطرناک خطرات اور غلط کنفیگریشنز کی فہرست شامل ہے جو ایپلیکیشن کی کمزوریوں کا باعث بن سکتے ہیں، نیز حملوں کا پتہ لگانے اور ان کو شکست دینے کی حکمت عملی۔ OWASP Top 10 دنیا بھر میں ایپلی کیشن سائبر سیکیورٹی انڈسٹری میں ایک تسلیم شدہ بینچ مارک ہے اور ان صلاحیتوں کی بنیادی فہرست کی وضاحت کرتا ہے جو ویب ایپلیکیشن سیکیورٹی (WAF) سسٹم میں ہونی چاہیے۔
اس کے علاوہ، WAF کی فعالیت کو ویب ایپلیکیشنز پر دیگر عام حملوں کو بھی مدنظر رکھنا چاہیے، بشمول کراس سائٹ ریکوسٹ فورجری (CSRF)، کلک جیکنگ، ویب سکریپنگ، اور فائل انکلوژن (RFI/LFI)۔
جدید ایپلی کیشنز کی حفاظت کو یقینی بنانے کے لیے خطرات اور چیلنجز
آج، تمام ایپلیکیشنز کو نیٹ ورک ورژن میں لاگو نہیں کیا جاتا ہے۔ یہاں کلاؤڈ ایپس، موبائل ایپس، APIs، اور جدید ترین فن تعمیر میں، یہاں تک کہ حسب ضرورت سافٹ ویئر فنکشنز بھی ہیں۔ ان تمام قسم کی ایپلی کیشنز کو ہم وقت سازی اور کنٹرول کرنے کی ضرورت ہے کیونکہ وہ ہمارے ڈیٹا کو تخلیق، ترمیم اور اس پر کارروائی کرتے ہیں۔ نئی ٹیکنالوجیز اور تمثیلوں کی آمد کے ساتھ، ایپلی کیشن لائف سائیکل کے تمام مراحل پر نئی پیچیدگیاں اور چیلنجز پیدا ہوتے ہیں۔ اس میں ڈویلپمنٹ اور آپریشنز انٹیگریشن (DevOps)، کنٹینرز، انٹرنیٹ آف تھنگز (IoT)، اوپن سورس ٹولز، APIs اور بہت کچھ شامل ہے۔
ایپلی کیشنز کی تقسیم شدہ تعیناتی اور ٹکنالوجی کا تنوع نہ صرف انفارمیشن سیکیورٹی پروفیشنلز کے لیے بلکہ ان سیکیورٹی حل فروشوں کے لیے بھی پیچیدہ اور پیچیدہ چیلنجز پیدا کرتا ہے جو اب ایک متحد نقطہ نظر پر انحصار نہیں کر سکتے۔ صارفین کے لیے غلط مثبت اور خدمات کے معیار میں خلل کو روکنے کے لیے ایپلیکیشن کے حفاظتی اقدامات کو ان کی کاروباری تفصیلات کو مدنظر رکھنا چاہیے۔
ہیکرز کا حتمی مقصد عام طور پر یا تو ڈیٹا چوری کرنا یا خدمات کی دستیابی میں خلل ڈالنا ہوتا ہے۔ حملہ آور تکنیکی ارتقاء سے بھی فائدہ اٹھاتے ہیں۔ سب سے پہلے، نئی ٹکنالوجیوں کی ترقی سے زیادہ ممکنہ خلا اور کمزوریاں پیدا ہوتی ہیں۔ دوم، روایتی حفاظتی اقدامات کو نظرانداز کرنے کے لیے ان کے ہتھیاروں میں مزید اوزار اور علم ہے۔ یہ نام نہاد "حملے کی سطح" اور تنظیموں کے نئے خطرات کے سامنے آنے میں بہت زیادہ اضافہ کرتا ہے۔ ٹیکنالوجی اور ایپلی کیشنز میں ہونے والی تبدیلیوں کے جواب میں سیکیورٹی پالیسیوں کو مسلسل بدلنا چاہیے۔
اس طرح، ایپلی کیشنز کو حملوں کے مختلف طریقوں اور ذرائع سے محفوظ رہنا چاہیے، اور باخبر فیصلوں کی بنیاد پر خودکار حملوں کا حقیقی وقت میں مقابلہ کیا جانا چاہیے۔ اس کا نتیجہ لین دین کے اخراجات میں اضافہ اور دستی مشقت کے ساتھ ساتھ کمزور حفاظتی کرنسی ہے۔
ٹاسک نمبر 1: بوٹس کا انتظام کرنا
60% سے زیادہ انٹرنیٹ ٹریفک بوٹس کے ذریعے پیدا ہوتا ہے، جس میں سے نصف "خراب" ٹریفک ہے (بطور )۔ تنظیمیں نیٹ ورک کی صلاحیت بڑھانے میں سرمایہ کاری کرتی ہیں، بنیادی طور پر فرضی بوجھ کی خدمت کرتی ہیں۔ حقیقی صارف ٹریفک اور بوٹ ٹریفک کے ساتھ ساتھ "اچھے" بوٹس (مثال کے طور پر، سرچ انجن اور قیمت کا موازنہ کرنے والی خدمات) اور "خراب" بوٹس کے درمیان درست طور پر فرق کرنے کے نتیجے میں صارفین کی لاگت میں نمایاں بچت اور سروس کے معیار کو بہتر بنایا جا سکتا ہے۔
بوٹس اس کام کو آسان نہیں بنائیں گے، اور وہ حقیقی صارفین کے رویے کی نقل کر سکتے ہیں، کیپچا اور دیگر رکاوٹوں کو نظرانداز کر سکتے ہیں۔ مزید برآں، متحرک آئی پی ایڈریسز کا استعمال کرتے ہوئے حملوں کی صورت میں، آئی پی ایڈریس فلٹرنگ پر مبنی تحفظ غیر موثر ہو جاتا ہے۔ اکثر، اوپن سورس ڈویلپمنٹ ٹولز (مثال کے طور پر، فینٹم جے ایس) جو کلائنٹ سائیڈ جاوا اسکرپٹ کو ہینڈل کر سکتے ہیں بروٹ فورس اٹیک، کریڈینشل اسٹفنگ اٹیک، ڈی ڈی او ایس اٹیک، اور خودکار بوٹ اٹیک شروع کرنے کے لیے استعمال کیے جاتے ہیں۔
بوٹ ٹریفک کو مؤثر طریقے سے منظم کرنے کے لیے، اس کے ماخذ کی منفرد شناخت (جیسے فنگر پرنٹ) کی ضرورت ہے۔ چونکہ بوٹ اٹیک ایک سے زیادہ ریکارڈ تیار کرتا ہے، اس لیے اس کا فنگر پرنٹ اسے مشکوک سرگرمی کی شناخت کرنے اور اسکور تفویض کرنے کی اجازت دیتا ہے، جس کی بنیاد پر ایپلیکیشن پروٹیکشن سسٹم باخبر فیصلہ کرتا ہے - بلاک/اجازت - کم از کم جھوٹے مثبت کی شرح کے ساتھ۔
چیلنج #2: API کی حفاظت کرنا
بہت سی ایپلیکیشنز ان سروسز سے معلومات اور ڈیٹا اکٹھا کرتی ہیں جن کے ساتھ وہ APIs کے ذریعے تعامل کرتے ہیں۔ APIs کے ذریعے حساس ڈیٹا منتقل کرتے وقت، 50% سے زیادہ تنظیمیں سائبر حملوں کا پتہ لگانے کے لیے APIs کی توثیق نہیں کرتی ہیں اور نہ ہی محفوظ کرتی ہیں۔
API استعمال کرنے کی مثالیں:
- چیزوں کا انٹرنیٹ (IoT) انضمام
- مشین سے مشین مواصلات
- بے سرور ماحول
- موبائل ایپلی کیشنز
- ایونٹ سے چلنے والی ایپلی کیشنز
API کے خطرات ایپلی کیشن کے خطرات سے ملتے جلتے ہیں اور ان میں انجیکشن، پروٹوکول حملے، پیرامیٹر میں ہیرا پھیری، ری ڈائریکٹ، اور بوٹ اٹیک شامل ہیں۔ سرشار API گیٹ ویز ایپلی کیشن سروسز کے درمیان مطابقت کو یقینی بنانے میں مدد کرتے ہیں جو APIs کے ذریعے تعامل کرتے ہیں۔ تاہم، وہ اینڈ ٹو اینڈ ایپلیکیشن سیکیورٹی فراہم نہیں کرتے ہیں جیسا کہ WAF ضروری سیکیورٹی ٹولز کے ساتھ کرسکتا ہے جیسے HTTP ہیڈر پارسنگ، لیئر 7 ایکسیس کنٹرول لسٹ (ACL)، JSON/XML پے لوڈ پارسنگ اور انسپیکشن، اور تمام خطرات سے تحفظ OWASP ٹاپ 10 کی فہرست۔ یہ مثبت اور منفی ماڈلز کا استعمال کرتے ہوئے کلیدی API اقدار کا معائنہ کر کے حاصل کیا جاتا ہے۔
چیلنج #3: سروس سے انکار
ایک پرانا حملہ ویکٹر، سروس سے انکار (DoS)، حملہ آور ایپلی کیشنز میں اپنی تاثیر ثابت کرتا ہے۔ حملہ آوروں کے پاس ایپلیکیشن سروسز میں خلل ڈالنے کی کامیاب تکنیکوں کی ایک حد ہوتی ہے، بشمول HTTP یا HTTPS سیلاب، کم اور سست حملے (جیسے SlowLoris، LOIC، Torshammer)، متحرک IP پتوں کا استعمال کرتے ہوئے حملے، بفر اوور فلو، بروٹ فورس حملے، اور بہت سے دوسرے۔ . چیزوں کے انٹرنیٹ کی ترقی اور اس کے نتیجے میں IoT botnets کے ابھرنے کے ساتھ، ایپلی کیشنز پر حملے DDoS حملوں کا بنیادی مرکز بن گئے ہیں۔ زیادہ تر ریاستی WAFs صرف ایک محدود مقدار میں بوجھ کو ہینڈل کر سکتے ہیں۔ تاہم، وہ HTTP/S ٹریفک کے بہاؤ کا معائنہ کر سکتے ہیں اور حملہ آور ٹریفک اور نقصان دہ کنکشن کو ہٹا سکتے ہیں۔ ایک بار حملے کی نشاندہی ہو جانے کے بعد، اس ٹریفک کو دوبارہ سے گزرنے کا کوئی فائدہ نہیں ہے۔ چونکہ WAF کی حملوں کو پسپا کرنے کی صلاحیت محدود ہے، اس لیے اگلے "خراب" پیکٹوں کو خود بخود بلاک کرنے کے لیے نیٹ ورک کے دائرے میں ایک اضافی حل کی ضرورت ہے۔ اس حفاظتی منظر نامے کے لیے، دونوں حلوں کو حملوں کے بارے میں معلومات کا تبادلہ کرنے کے لیے ایک دوسرے کے ساتھ بات چیت کرنے کے قابل ہونا چاہیے۔
تصویر 1. Radware کے حل کی مثال کا استعمال کرتے ہوئے جامع نیٹ ورک اور ایپلیکیشن تحفظ کی تنظیم
چیلنج #4: مسلسل تحفظ
درخواستیں اکثر تبدیل ہوتی رہتی ہیں۔ ترقی اور نفاذ کے طریقہ کار جیسے رولنگ اپ ڈیٹس کا مطلب یہ ہے کہ تبدیلیاں انسانی مداخلت یا کنٹرول کے بغیر ہوتی ہیں۔ اس طرح کے متحرک ماحول میں، غلط مثبت کی ایک بڑی تعداد کے بغیر مناسب طور پر کام کرنے والی سیکیورٹی پالیسیوں کو برقرار رکھنا مشکل ہے۔ موبائل ایپلیکیشنز ویب ایپلیکیشنز کے مقابلے میں زیادہ کثرت سے اپ ڈیٹ ہوتی ہیں۔ فریق ثالث کی درخواستیں آپ کے علم کے بغیر تبدیل ہو سکتی ہیں۔ کچھ تنظیمیں ممکنہ خطرات کے اوپر رہنے کے لیے زیادہ کنٹرول اور مرئیت کی تلاش میں ہیں۔ تاہم، یہ ہمیشہ قابل حصول نہیں ہوتا ہے، اور قابل اعتماد ایپلیکیشن تحفظ کو دستیاب وسائل کا حساب کتاب کرنے اور ان کا تصور کرنے، ممکنہ خطرات کا تجزیہ کرنے، اور ایپلیکیشن میں ترمیم کی صورت میں حفاظتی پالیسیاں بنانے اور بہتر بنانے کے لیے مشین لرننگ کی طاقت کا استعمال کرنا چاہیے۔
نتائج
چونکہ ایپس روزمرہ کی زندگی میں تیزی سے اہم کردار ادا کرتی ہیں، وہ ہیکرز کے لیے ایک اہم ہدف بن جاتی ہیں۔ مجرموں کے لیے ممکنہ انعامات اور کاروبار کے لیے ممکنہ نقصانات بہت زیادہ ہیں۔ ایپلی کیشنز اور خطرات کی تعداد اور تغیرات کے پیش نظر ایپلیکیشن سیکیورٹی ٹاسک کی پیچیدگی کو بڑھاوا نہیں دیا جا سکتا۔
خوش قسمتی سے، ہم وقت کے ایک ایسے موڑ پر ہیں جہاں مصنوعی ذہانت ہماری مدد کے لیے آ سکتی ہے۔ مشین لرننگ پر مبنی الگورتھم ایپلی کیشنز کو نشانہ بنانے والے انتہائی جدید سائبر خطرات کے خلاف حقیقی وقت میں موافقت پذیر تحفظ فراہم کرتے ہیں۔ وہ ویب، موبائل، اور کلاؤڈ ایپلیکیشنز — اور APIs — کی حفاظت کے لیے خود بخود سیکیورٹی پالیسیوں کو بھی غلط مثبت کے بغیر اپ ڈیٹ کرتے ہیں۔
یقینی طور پر یہ پیش گوئی کرنا مشکل ہے کہ ایپلیکیشن سائبر تھریٹس کی اگلی نسل (ممکنہ طور پر مشین لرننگ پر مبنی بھی) کیا ہوگی۔ لیکن تنظیمیں یقینی طور پر کسٹمر کے ڈیٹا کی حفاظت، املاک دانش کی حفاظت، اور بہترین کاروباری فوائد کے ساتھ سروس کی دستیابی کو یقینی بنانے کے لیے اقدامات کر سکتی ہیں۔
ایپلیکیشن کی حفاظت کو یقینی بنانے کے لیے مؤثر طریقے اور طریقے، حملوں کی اہم اقسام اور ویکٹر، خطرے کے علاقے اور ویب ایپلیکیشنز کے سائبر تحفظ میں خلاء کے ساتھ ساتھ عالمی تجربہ اور بہترین طریقہ کار کو Radware مطالعہ اور رپورٹ میں پیش کیا گیا ہے۔".
ماخذ: www.habr.com