hồi tưởng
Quy mô, thành phần và thành phần của các mối đe dọa mạng đối với các ứng dụng đang phát triển nhanh chóng. Trong nhiều năm, người dùng đã truy cập các ứng dụng web qua Internet bằng các trình duyệt web phổ biến. Cần phải hỗ trợ 2-5 trình duyệt web tại bất kỳ thời điểm nào và bộ tiêu chuẩn để phát triển và thử nghiệm ứng dụng web khá hạn chế. Ví dụ: hầu hết tất cả các cơ sở dữ liệu đều được xây dựng bằng SQL. Thật không may, sau một thời gian ngắn, tin tặc đã học được cách sử dụng các ứng dụng web để đánh cắp, xóa hoặc thay đổi dữ liệu. Họ đã có được quyền truy cập bất hợp pháp và lạm dụng các khả năng của ứng dụng bằng nhiều kỹ thuật khác nhau, bao gồm đánh lừa người dùng ứng dụng, chèn và thực thi mã từ xa. Chẳng bao lâu, các công cụ bảo mật ứng dụng web thương mại có tên là Tường lửa ứng dụng web (WAF) đã xuất hiện trên thị trường và cộng đồng đã phản hồi bằng cách tạo ra một dự án bảo mật ứng dụng web mở, Dự án bảo mật ứng dụng web mở (OWASP), để xác định và duy trì các tiêu chuẩn và phương pháp phát triển . các ứng dụng an toàn.
Bảo vệ ứng dụng cơ bản
là điểm khởi đầu để bảo mật các ứng dụng và chứa danh sách các mối đe dọa nguy hiểm nhất và cấu hình sai có thể dẫn đến lỗ hổng ứng dụng cũng như các chiến thuật phát hiện và đánh bại các cuộc tấn công. OWASP Top 10 là một chuẩn mực được công nhận trong ngành an ninh mạng ứng dụng trên toàn thế giới và xác định danh sách các khả năng cốt lõi mà hệ thống bảo mật ứng dụng web (WAF) nên có.
Ngoài ra, chức năng WAF phải tính đến các cuộc tấn công phổ biến khác trên các ứng dụng web, bao gồm giả mạo yêu cầu chéo trang (CSRF), clickjacking, quét web và đưa vào tệp (RFI/LFI).
Các mối đe dọa và thách thức đối với việc đảm bảo tính bảo mật của các ứng dụng hiện đại
Ngày nay, không phải tất cả các ứng dụng đều được triển khai ở phiên bản mạng. Có các ứng dụng đám mây, ứng dụng di động, API và trong các kiến trúc mới nhất, thậm chí cả các chức năng phần mềm tùy chỉnh. Tất cả các loại ứng dụng này cần phải được đồng bộ hóa và kiểm soát khi chúng tạo, sửa đổi và xử lý dữ liệu của chúng tôi. Với sự ra đời của các công nghệ và mô hình mới, những phức tạp và thách thức mới sẽ nảy sinh ở tất cả các giai đoạn của vòng đời ứng dụng. Điều này bao gồm tích hợp hoạt động và phát triển (DevOps), bộ chứa, Internet of Things (IoT), công cụ nguồn mở, API, v.v.
Việc triển khai phân tán các ứng dụng và sự đa dạng của công nghệ tạo ra những thách thức phức tạp và phức tạp không chỉ đối với các chuyên gia bảo mật thông tin mà còn đối với các nhà cung cấp giải pháp bảo mật, những người không còn có thể dựa vào một cách tiếp cận thống nhất. Các biện pháp bảo mật ứng dụng phải tính đến đặc thù kinh doanh của họ để ngăn chặn các thông tin sai lệch và làm gián đoạn chất lượng dịch vụ cho người dùng.
Mục tiêu cuối cùng của tin tặc thường là đánh cắp dữ liệu hoặc làm gián đoạn tính khả dụng của dịch vụ. Những kẻ tấn công cũng được hưởng lợi từ sự phát triển công nghệ. Thứ nhất, sự phát triển của các công nghệ mới tạo ra nhiều khoảng trống và lỗ hổng tiềm ẩn hơn. Thứ hai, họ có nhiều công cụ và kiến thức hơn để vượt qua các biện pháp an ninh truyền thống. Điều này làm tăng đáng kể cái gọi là “bề mặt tấn công” và khả năng các tổ chức gặp phải những rủi ro mới. Chính sách bảo mật phải liên tục thay đổi để đáp ứng với những thay đổi về công nghệ và ứng dụng.
Do đó, các ứng dụng phải được bảo vệ khỏi các nguồn và phương thức tấn công ngày càng đa dạng, đồng thời các cuộc tấn công tự động phải được chống lại trong thời gian thực dựa trên các quyết định sáng suốt. Kết quả là chi phí giao dịch và lao động thủ công tăng lên, cùng với tình trạng an ninh yếu kém.
Nhiệm vụ số 1: Quản lý bot
Hơn 60% lưu lượng truy cập Internet được tạo ra bởi bot, một nửa trong số đó là lưu lượng truy cập “xấu” (theo ). Các tổ chức đầu tư vào việc tăng dung lượng mạng, về cơ bản phục vụ tải không tưởng. Việc phân biệt chính xác giữa lưu lượng truy cập thực của người dùng và lưu lượng truy cập từ bot, cũng như giữa bot “tốt” (ví dụ: công cụ tìm kiếm và dịch vụ so sánh giá) và bot “xấu” có thể giúp tiết kiệm đáng kể chi phí và cải thiện chất lượng dịch vụ cho người dùng.
Các bot sẽ không thực hiện được nhiệm vụ này một cách dễ dàng và chúng có thể bắt chước hành vi của người dùng thực, vượt qua CAPTCHA và các trở ngại khác. Hơn nữa, trong trường hợp tấn công sử dụng địa chỉ IP động, việc bảo vệ dựa trên lọc địa chỉ IP trở nên không hiệu quả. Thông thường, các công cụ phát triển nguồn mở (ví dụ: Phantom JS) có thể xử lý JavaScript phía máy khách được sử dụng để khởi chạy các cuộc tấn công vũ phu, tấn công nhồi thông tin xác thực, tấn công DDoS và tấn công bot tự động.
Để quản lý hiệu quả lưu lượng bot, cần phải có thông tin nhận dạng duy nhất về nguồn của nó (như dấu vân tay). Vì cuộc tấn công bằng bot tạo ra nhiều bản ghi nên dấu vân tay của nó cho phép nó xác định hoạt động đáng ngờ và ấn định điểm, dựa vào đó hệ thống bảo vệ ứng dụng đưa ra quyết định sáng suốt - chặn/cho phép - với tỷ lệ dương tính giả tối thiểu.
Thử thách số 2: Bảo vệ API
Nhiều ứng dụng thu thập thông tin và dữ liệu từ các dịch vụ mà chúng tương tác thông qua API. Khi truyền dữ liệu nhạy cảm qua API, hơn 50% tổ chức không xác thực cũng như không bảo mật API để phát hiện các cuộc tấn công mạng.
Ví dụ về việc sử dụng API:
- Tích hợp Internet vạn vật (IoT)
- Giao tiếp giữa máy với máy
- Môi trường không có máy chủ
- Ứng dụng di động
- Ứng dụng hướng sự kiện
Các lỗ hổng API tương tự như các lỗ hổng ứng dụng và bao gồm việc chèn, tấn công giao thức, thao tác tham số, chuyển hướng và tấn công bot. Cổng API chuyên dụng giúp đảm bảo khả năng tương thích giữa các dịch vụ ứng dụng tương tác thông qua API. Tuy nhiên, chúng không cung cấp bảo mật ứng dụng đầu cuối như WAF có thể với các công cụ bảo mật thiết yếu như phân tích cú pháp tiêu đề HTTP, danh sách kiểm soát truy cập Lớp 7 (ACL), phân tích và kiểm tra tải trọng JSON/XML cũng như bảo vệ chống lại tất cả các lỗ hổng từ Danh sách Top 10 của OWASP đạt được điều này bằng cách kiểm tra các giá trị API chính bằng cách sử dụng các mô hình tích cực và tiêu cực.
Thử thách số 3: Từ chối dịch vụ
Một vectơ tấn công cũ, từ chối dịch vụ (DoS), tiếp tục chứng minh tính hiệu quả của nó trong việc tấn công các ứng dụng. Những kẻ tấn công có nhiều kỹ thuật thành công để làm gián đoạn các dịch vụ ứng dụng, bao gồm tràn HTTP hoặc HTTPS, các cuộc tấn công chậm và chậm (ví dụ: SlowLoris, LOIC, Torshammer), các cuộc tấn công sử dụng địa chỉ IP động, tràn bộ đệm, tấn công vũ phu và nhiều kiểu tấn công khác . Với sự phát triển của Internet of Things và sự xuất hiện sau đó của các botnet IoT, các cuộc tấn công vào ứng dụng đã trở thành trọng tâm chính của các cuộc tấn công DDoS. Hầu hết các WAF có trạng thái chỉ có thể xử lý một lượng tải giới hạn. Tuy nhiên, họ có thể kiểm tra các luồng lưu lượng HTTP/S và loại bỏ lưu lượng tấn công cũng như các kết nối độc hại. Khi một cuộc tấn công đã được xác định, việc truyền lại lưu lượng này sẽ không có ý nghĩa gì. Do khả năng đẩy lùi các cuộc tấn công của WAF còn hạn chế nên cần có một giải pháp bổ sung ở phạm vi mạng để tự động chặn các gói tin “xấu” tiếp theo. Đối với kịch bản bảo mật này, cả hai giải pháp phải có khả năng liên lạc với nhau để trao đổi thông tin về các cuộc tấn công.
Hình 1. Tổ chức bảo vệ mạng và ứng dụng toàn diện theo ví dụ về giải pháp Radware
Thử thách số 4: Bảo vệ liên tục
Các ứng dụng thay đổi thường xuyên. Các phương pháp phát triển và triển khai như cập nhật luân phiên có nghĩa là các sửa đổi diễn ra mà không cần sự can thiệp hoặc kiểm soát của con người. Trong những môi trường năng động như vậy, rất khó để duy trì các chính sách bảo mật hoạt động đầy đủ mà không có nhiều thông báo sai. Các ứng dụng di động được cập nhật thường xuyên hơn nhiều so với các ứng dụng web. Các ứng dụng của bên thứ ba có thể thay đổi mà bạn không biết. Một số tổ chức đang tìm kiếm khả năng kiểm soát và khả năng hiển thị tốt hơn để luôn vượt qua các rủi ro tiềm ẩn. Tuy nhiên, điều này không phải lúc nào cũng có thể đạt được và khả năng bảo vệ ứng dụng đáng tin cậy phải sử dụng sức mạnh của máy học để tính toán và trực quan hóa các tài nguyên sẵn có, phân tích các mối đe dọa tiềm ẩn cũng như tạo và tối ưu hóa các chính sách bảo mật trong trường hợp sửa đổi ứng dụng.
Những phát hiện
Khi các ứng dụng đóng vai trò ngày càng quan trọng trong cuộc sống hàng ngày, chúng trở thành mục tiêu hàng đầu của tin tặc. Phần thưởng tiềm năng dành cho tội phạm và tổn thất tiềm tàng đối với doanh nghiệp là rất lớn. Sự phức tạp của nhiệm vụ bảo mật ứng dụng không thể bị phóng đại do số lượng và các biến thể của ứng dụng cũng như các mối đe dọa.
May mắn thay, chúng ta đang ở thời điểm mà trí tuệ nhân tạo có thể hỗ trợ chúng ta. Các thuật toán dựa trên máy học cung cấp khả năng bảo vệ thích ứng theo thời gian thực trước các mối đe dọa mạng nhắm vào ứng dụng tiên tiến nhất. Họ cũng tự động cập nhật các chính sách bảo mật để bảo vệ các ứng dụng web, thiết bị di động và đám mây—và API—mà không có kết quả dương tính giả.
Rất khó để dự đoán chắc chắn thế hệ tiếp theo của các mối đe dọa mạng ứng dụng (cũng có thể dựa trên học máy) sẽ là gì. Nhưng các tổ chức chắc chắn có thể thực hiện các bước để bảo vệ dữ liệu khách hàng, bảo vệ tài sản trí tuệ và đảm bảo tính sẵn có của dịch vụ mang lại lợi ích kinh doanh to lớn.
Các cách tiếp cận và phương pháp hiệu quả để đảm bảo an ninh ứng dụng, các loại và vectơ tấn công chính, các khu vực rủi ro và lỗ hổng trong bảo vệ mạng đối với các ứng dụng web, cũng như kinh nghiệm toàn cầu và các phương pháp hay nhất được trình bày trong nghiên cứu và báo cáo của Radware “".
Nguồn: www.habr.com