retrospektiv
Ilovalarga kibertahdidlarning miqyosi, tarkibi va tarkibi jadal rivojlanmoqda. Ko'p yillar davomida foydalanuvchilar mashhur veb-brauzerlar yordamida Internet orqali veb-ilovalarga kirishadi. Istalgan vaqtda 2-5 veb-brauzerni qo'llab-quvvatlash kerak edi va veb-ilovalarni ishlab chiqish va sinovdan o'tkazish uchun standartlar to'plami juda cheklangan edi. Masalan, deyarli barcha ma'lumotlar bazalari SQL yordamida qurilgan. Afsuski, qisqa vaqt o'tgach, xakerlar ma'lumotlarni o'g'irlash, o'chirish yoki o'zgartirish uchun veb-ilovalardan foydalanishni o'rganishdi. Ular dastur foydalanuvchilarini aldash, in'ektsiya qilish va masofaviy kodni bajarish kabi turli usullardan foydalangan holda dastur imkoniyatlariga noqonuniy kirishgan va ularni suiiste'mol qilganlar. Ko'p o'tmay, veb-ilovalar xavfsizligi devori (WAFs) deb nomlangan tijorat veb-ilovalar xavfsizligi vositalari bozorga chiqdi va hamjamiyat ishlab chiqish standartlari va metodologiyalarini aniqlash va qo'llab-quvvatlash uchun ochiq veb-ilovalar xavfsizligi loyihasini, Open Web Application Security Project (OWASP) yaratish orqali javob berdi. xavfsiz ilovalar.
Asosiy dastur himoyasi
ilovalar xavfsizligini ta'minlashning boshlang'ich nuqtasi bo'lib, dastur zaifliklariga olib kelishi mumkin bo'lgan eng xavfli tahdidlar va noto'g'ri konfiguratsiyalar ro'yxatini, shuningdek, hujumlarni aniqlash va bartaraf etish taktikasini o'z ichiga oladi. OWASP Top 10 butun dunyo bo'ylab ilovalar kiberxavfsizlik sanoatida tan olingan mezon bo'lib, veb-ilovalar xavfsizligi (WAF) tizimiga ega bo'lishi kerak bo'lgan imkoniyatlarning asosiy ro'yxatini belgilaydi.
Bundan tashqari, WAF funksiyasi veb-ilovalarga nisbatan boshqa keng tarqalgan hujumlarni, jumladan saytlararo so'rovlarni soxtalashtirish (CSRF), kliklash, veb-qirqish va fayllarni kiritish (RFI/LFI)ni hisobga olishi kerak.
Zamonaviy ilovalar xavfsizligini ta'minlash uchun tahdidlar va muammolar
Bugungi kunda barcha ilovalar tarmoq versiyasida amalga oshirilmaydi. Bulutli ilovalar, mobil ilovalar, APIlar va eng so'nggi arxitekturalarda, hatto maxsus dasturiy ta'minot funktsiyalari mavjud. Ushbu turdagi ilovalarning barchasi bizning ma'lumotlarni yaratish, o'zgartirish va qayta ishlash jarayonida sinxronlashtirilishi va boshqarilishi kerak. Yangi texnologiyalar va paradigmalarning paydo bo'lishi bilan dasturning hayot aylanishining barcha bosqichlarida yangi murakkabliklar va qiyinchiliklar paydo bo'ladi. Bunga ishlab chiqish va operatsiyalar integratsiyasi (DevOps), konteynerlar, narsalar Interneti (IoT), ochiq manba vositalari, API va boshqalar kiradi.
Ilovalarning taqsimlangan joylashuvi va texnologiyalarning xilma-xilligi nafaqat axborot xavfsizligi mutaxassislari, balki endi yagona yondashuvga tayanmaydigan xavfsizlik yechimlari sotuvchilari uchun ham murakkab va murakkab muammolarni keltirib chiqaradi. Ilova xavfsizligi choralari noto'g'ri pozitivlarni va foydalanuvchilar uchun xizmatlar sifatini buzishni oldini olish uchun ularning biznes xususiyatlarini hisobga olishi kerak.
Xakerlarning asosiy maqsadi odatda ma'lumotlarni o'g'irlash yoki xizmatlarning mavjudligini buzishdir. Hujumchilar texnologik evolyutsiyadan ham foyda olishadi. Birinchidan, yangi texnologiyalarning rivojlanishi ko'proq potentsial bo'shliqlar va zaifliklarni keltirib chiqaradi. Ikkinchidan, ularning arsenalida an'anaviy xavfsizlik choralarini chetlab o'tish uchun ko'proq vositalar va bilimlar mavjud. Bu "hujum yuzasi" deb ataladigan va tashkilotlarning yangi xavflarga ta'sirini sezilarli darajada oshiradi. Xavfsizlik siyosati texnologiya va ilovalardagi o'zgarishlarga javoban doimo o'zgarishi kerak.
Shunday qilib, ilovalar tobora ko'payib borayotgan turli xil hujum usullari va manbalaridan himoyalangan bo'lishi kerak va avtomatlashtirilgan hujumlarga asoslangan qarorlar asosida real vaqt rejimida qarshi turish kerak. Natijada tranzaksiya xarajatlari va qo'l mehnati kuchayadi, xavfsizlik holati zaiflashadi.
Vazifa №1: Botlarni boshqarish
Internet-trafikning 60% dan ortig'i botlar tomonidan ishlab chiqariladi, ularning yarmi "yomon" trafikdir (ko'ra. ). Tashkilotlar asosan xayoliy yukga xizmat qilib, tarmoq sig'imini oshirishga sarmoya kiritadilar. Haqiqiy foydalanuvchi trafigini va bot trafigini, shuningdek, “yaxshi” botlarni (masalan, qidiruv robotlari va narxlarni taqqoslash xizmatlari) va “yomon” botlarni aniq farqlash foydalanuvchilar uchun xarajatlarni sezilarli darajada tejashga va xizmat ko‘rsatish sifatini oshirishga olib keladi.
Botlar bu vazifani osonlashtirmaydi va ular haqiqiy foydalanuvchilarning xatti-harakatlariga taqlid qilishlari, CAPTCHA va boshqa to'siqlarni chetlab o'tishlari mumkin. Bundan tashqari, dinamik IP-manzillardan foydalangan holda hujumlar sodir bo'lganda, IP-manzillarni filtrlash asosidagi himoya samarasiz bo'ladi. Ko'pincha, mijoz tomonidan JavaScript-ni boshqarishi mumkin bo'lgan ochiq manbali ishlab chiqish vositalari (masalan, Phantom JS) qo'pol kuch hujumlari, hisob ma'lumotlarini to'ldirish hujumlari, DDoS hujumlari va avtomatlashtirilgan bot hujumlarini boshlash uchun ishlatiladi. .
Bot trafigini samarali boshqarish uchun uning manbasining noyob identifikatsiyasi (barmoq izi kabi) talab qilinadi. Bot hujumi bir nechta yozuvlarni yaratganligi sababli, uning barmoq izi shubhali faoliyatni aniqlash va ballarni belgilash imkonini beradi, buning asosida ilovalarni himoya qilish tizimi asosli qaror qabul qiladi - bloklash/ruxsat berish - noto'g'ri pozitivlarning minimal darajasi.
Muammo №2: APIni himoya qilish
Ko'pgina ilovalar API orqali o'zaro aloqada bo'lgan xizmatlardan ma'lumot va ma'lumotlarni to'playdi. Haqiqiy ma'lumotlarni API orqali uzatishda, tashkilotlarning 50% dan ortig'i kiberhujumlarni aniqlash uchun API-larni tasdiqlamaydi va himoya qilmaydi.
API dan foydalanishga misollar:
- Narsalar Interneti (IoT) integratsiyasi
- Mashinadan mashinaga aloqa
- Serversiz muhitlar
- Mobil ilovalar
- Voqealarga asoslangan ilovalar
API zaifliklari ilovalarning zaifliklariga o'xshaydi va inyeksiyalar, protokol hujumlari, parametrlarni boshqarish, qayta yo'naltirishlar va bot hujumlarini o'z ichiga oladi. Maxsus API shlyuzlari API orqali oʻzaro taʼsir qiluvchi ilova xizmatlari oʻrtasidagi muvofiqlikni taʼminlashga yordam beradi. Biroq, ular HTTP sarlavhasini tahlil qilish, Layer 7 kirishni boshqarish ro'yxati (ACL), JSON/XML foydali yukini tahlil qilish va tekshirish kabi muhim xavfsizlik vositalari bilan WAF qutisi kabi uchdan uchi dastur xavfsizligini ta'minlamaydi va barcha zaifliklardan himoya qiladi. OWASP Top 10 ro'yxati. Bunga ijobiy va salbiy modellar yordamida asosiy API qiymatlarini tekshirish orqali erishiladi.
Qiyinchilik №3: Xizmatni rad etish
Qadimgi hujum vektori, xizmat ko'rsatishni rad etish (DoS) hujum dasturlarida o'zining samaradorligini isbotlashda davom etmoqda. Hujumchilarda HTTP yoki HTTPS suv toshqini, past va sekin hujumlar (masalan, SlowLoris, LOIC, Torshammer), dinamik IP manzillardan foydalangan holda hujumlar, buferni to'ldirish, qo'pol kuch hujumlari va boshqalarni o'z ichiga olgan amaliy xizmatlarni buzish uchun bir qator muvaffaqiyatli usullar mavjud. . Narsalar internetining rivojlanishi va keyinchalik IoT botnetlarining paydo bo'lishi bilan ilovalarga hujumlar DDoS hujumlarining asosiy yo'nalishiga aylandi. Ko'pgina statistik WAF'lar faqat cheklangan miqdordagi yukni bajara oladi. Biroq, ular HTTP/S trafik oqimlarini tekshirishlari va hujumlar trafigini va zararli ulanishlarni olib tashlashlari mumkin. Hujum aniqlangandan so'ng, bu trafikni qaytadan o'tkazishning ma'nosi yo'q. WAF ning hujumlarni qaytarish qobiliyati cheklanganligi sababli, keyingi "yomon" paketlarni avtomatik ravishda blokirovka qilish uchun tarmoq perimetrida qo'shimcha echim kerak. Ushbu xavfsizlik stsenariysi uchun ikkala yechim ham hujumlar haqida ma'lumot almashish uchun bir-biri bilan bog'lana olishi kerak.
1-rasm. Radware yechimlari misolida tarmoq va ilovalarni kompleks himoya qilishni tashkil etish
Qiyinchilik №4: Uzluksiz himoya
Ilovalar tez-tez o'zgarib turadi. Rivojlanayotgan yangilanishlar kabi ishlab chiqish va amalga oshirish metodologiyasi o'zgartirishlar inson aralashuvi yoki nazoratisiz amalga oshirilishini anglatadi. Bunday dinamik muhitda noto'g'ri pozitivlar soni ko'p bo'lmasa, etarli darajada ishlaydigan xavfsizlik siyosatini saqlab qolish qiyin. Mobil ilovalar veb-ilovalarga qaraganda tez-tez yangilanadi. Uchinchi tomon ilovalari sizning xabaringizsiz o'zgarishi mumkin. Ba'zi tashkilotlar potentsial xavflardan himoyalanish uchun ko'proq nazorat va ko'rinishga intilmoqda. Biroq, bunga har doim ham erishib bo'lmaydi va ilovalarni ishonchli himoya qilish mavjud resurslarni hisobga olish va vizualizatsiya qilish, potentsial tahdidlarni tahlil qilish va dastur o'zgartirilgan taqdirda xavfsizlik siyosatini yaratish va optimallashtirish uchun mashinani o'rganish kuchidan foydalanishi kerak.
topilmalar
Ilovalar kundalik hayotda tobora muhim rol o'ynaganligi sababli, ular xakerlar uchun asosiy nishonga aylanadi. Jinoyatchilar uchun potentsial mukofotlar va biznes uchun mumkin bo'lgan yo'qotishlar juda katta. Ilovalar va tahdidlarning soni va xilma-xilligini hisobga olgan holda, dastur xavfsizligi vazifasining murakkabligini oshirib bo'lmaydi.
Yaxshiyamki, biz sun'iy intellekt yordamimizga kelishi mumkin bo'lgan davrda turibmiz. Mashinani o'rganishga asoslangan algoritmlar real vaqt rejimida ilovalarga qaratilgan eng ilg'or kibertahdidlarga qarshi moslashuvchan himoyani ta'minlaydi. Shuningdek, ular veb, mobil va bulut ilovalari va API-larni noto'g'ri pozitivlarsiz himoya qilish uchun xavfsizlik siyosatlarini avtomatik ravishda yangilaydi.
Ilova kibertahdidlarining keyingi avlodi (ehtimol, mashinani o'rganishga asoslangan) qanday bo'lishini aniq taxmin qilish qiyin. Biroq, tashkilotlar mijozlar ma'lumotlarini himoya qilish, intellektual mulkni himoya qilish va katta biznes imtiyozlari bilan xizmatlar mavjudligini ta'minlash uchun choralar ko'rishi mumkin.
Ilovalar xavfsizligini ta'minlashning samarali yondashuvlari va usullari, hujumlarning asosiy turlari va vektorlari, xavf sohalari va veb-ilovalarni kiber himoya qilishdagi bo'shliqlar, shuningdek, global tajriba va ilg'or tajribalar Radware tadqiqoti va hisobotida keltirilgan.".
Manba: www.habr.com