回顾
应用程序面临的网络威胁的规模、构成和构成正在迅速变化。 多年来,用户一直使用流行的 Web 浏览器通过 Internet 访问 Web 应用程序。 在任何给定时间都需要支持 2-5 个 Web 浏览器,并且用于开发和测试 Web 应用程序的标准集非常有限。 例如,几乎所有数据库都是使用 SQL 构建的。 不幸的是,不久之后,黑客学会了使用网络应用程序来窃取、删除或更改数据。 他们使用各种技术非法访问并滥用应用程序功能,包括欺骗应用程序用户、注入和远程代码执行。 很快,称为 Web 应用程序防火墙 (WAF) 的商业 Web 应用程序安全工具进入市场,社区为此创建了一个开放式 Web 应用程序安全项目,即开放式 Web 应用程序安全项目 (OWASP),以定义和维护开发标准和方法. 安全应用程序。
基本应用保护
是保护应用程序安全的起点,包含可能导致应用程序漏洞的最危险威胁和错误配置的列表,以及检测和击败攻击的策略。 OWASP Top 10 是全球应用程序网络安全行业公认的基准,定义了 Web 应用程序安全 (WAF) 系统应具备的核心功能列表。
此外,WAF 功能必须考虑对 Web 应用程序的其他常见攻击,包括跨站点请求伪造 (CSRF)、点击劫持、网页抓取和文件包含 (RFI/LFI)。
确保现代应用安全的威胁和挑战
如今,并非所有应用程序都以网络版本实现。 有云应用程序、移动应用程序、API,在最新的架构中,甚至还有自定义软件功能。 所有这些类型的应用程序在创建、修改和处理我们的数据时都需要同步和控制。 随着新技术和范式的出现,应用程序生命周期的各个阶段都会出现新的复杂性和挑战。 这包括开发和运营集成 (DevOps)、容器、物联网 (IoT)、开源工具、API 等。
应用程序的分布式部署和技术的多样性不仅给信息安全专业人员带来了复杂的挑战,也给安全解决方案供应商带来了复杂的挑战,他们不能再依赖统一的方法。 应用程序安全措施必须考虑其业务细节,以防止误报和用户服务质量中断。
黑客的最终目标通常是窃取数据或破坏服务的可用性。 攻击者还可以从技术发展中受益。 首先,新技术的发展带来了更多潜在的差距和脆弱性。 其次,他们拥有更多的工具和知识来绕过传统的安全措施。 这大大增加了所谓的“攻击面”和组织面临新风险的风险。 安全策略必须不断变化以响应技术和应用程序的变化。
因此,必须保护应用程序免受越来越多的攻击方法和来源的影响,并且必须根据明智的决策实时反击自动攻击。 其结果是交易成本和体力劳动增加,加上安全状况减弱。
任务#1:管理机器人
超过 60% 的互联网流量是由机器人产生的,其中一半是“不良”流量(根据 )。 组织投资增加网络容量,本质上是服务于虚拟负载。 准确区分真实用户流量和机器人流量以及“好”机器人(例如搜索引擎和比价服务)和“坏”机器人可以显着节省成本并提高用户的服务质量。
机器人不会让这项任务变得容易,它们可以模仿真实用户的行为,绕过验证码和其他障碍。 而且,当遇到使用动态IP地址的攻击时,基于IP地址过滤的防护就变得无效。 通常,可以处理客户端 JavaScript 的开源开发工具(例如 Phantom JS)被用来发起暴力攻击、撞库攻击、DDoS 攻击和自动机器人攻击。
为了有效管理机器人流量,需要对其来源进行唯一标识(如指纹)。 由于机器人攻击会生成多个记录,因此其指纹可以识别可疑活动并分配分数,应用程序保护系统据此做出明智的决定(阻止/允许),并以最低的误报率。
挑战#2:保护 API
许多应用程序通过 API 从与其交互的服务中收集信息和数据。 通过 API 传输敏感数据时,超过 50% 的组织既不验证也不保护 API 来检测网络攻击。
使用 API 的示例:
- 物联网 (IoT) 集成
- 机器对机器通信
- 无服务器环境
- 手机应用程序
- 事件驱动的应用程序
API漏洞与应用程序漏洞类似,包括注入、协议攻击、参数操纵、重定向和机器人攻击。 专用 API 网关有助于确保通过 API 交互的应用程序服务之间的兼容性。 然而,它们不像 WAF 那样提供端到端应用程序安全性,并提供必要的安全工具,例如 HTTP 标头解析、第 7 层访问控制列表 (ACL)、JSON/XML 有效负载解析和检查,以及针对所有漏洞的防护。 OWASP Top 10 列表。这是通过使用正负模型检查关键 API 值来实现的。
挑战#3:拒绝服务
拒绝服务 (DoS) 是一种古老的攻击方式,它继续证明其在攻击应用程序方面的有效性。 攻击者拥有一系列成功的技术来破坏应用程序服务,包括 HTTP 或 HTTPS 洪水、低速攻击(例如 SlowLoris、LOIC、Torshammer)、使用动态 IP 地址的攻击、缓冲区溢出、暴力攻击等等。 随着物联网的发展以及随后物联网僵尸网络的出现,对应用程序的攻击成为DDoS攻击的主要焦点。 大多数有状态 WAF 只能处理有限的负载。 但是,他们可以检查 HTTP/S 流量并删除攻击流量和恶意连接。 一旦识别出攻击,就没有必要重新传递此流量。 由于WAF抵御攻击的能力有限,因此网络外围需要额外的解决方案来自动阻止下一个“坏”数据包。 对于这种安全场景,两种解决方案必须能够相互通信以交换有关攻击的信息。
图 1. 使用 Radware 解决方案示例组织全面的网络和应用程序保护
挑战#4:持续保护
应用程序经常变化。 滚动更新等开发和实施方法意味着无需人工干预或控制即可进行修改。 在这种动态环境中,很难在没有大量误报的情况下维持充分发挥作用的安全策略。 移动应用程序的更新比 Web 应用程序要频繁得多。 第三方应用程序可能会在您不知情的情况下发生更改。 一些组织正在寻求更大的控制力和可见性,以掌控潜在风险。 然而,这并不总是可以实现的,可靠的应用程序保护必须利用机器学习的力量来解释和可视化可用资源,分析潜在威胁,并在应用程序修改时创建和优化安全策略。
发现
随着应用程序在日常生活中发挥着越来越重要的作用,它们成为黑客的主要目标。 犯罪分子的潜在回报和企业的潜在损失是巨大的。 考虑到应用程序和威胁的数量和变化,应用程序安全任务的复杂性怎么强调都不为过。
幸运的是,我们正处于人工智能可以为我们提供帮助的时刻。 基于机器学习的算法提供实时、自适应的保护,抵御针对应用程序的最先进的网络威胁。 它们还会自动更新安全策略,以保护 Web、移动和云应用程序以及 API,而不会出现误报。
很难准确预测下一代应用程序网络威胁(可能也基于机器学习)将会是什么。 但组织当然可以采取措施保护客户数据、保护知识产权并确保服务可用性,从而带来巨大的商业利益。
Radware 研究和报告中介绍了确保应用程序安全的有效途径和方法、攻击的主要类型和媒介、Web 应用程序网络保护的风险领域和差距,以及全球经验和最佳实践。“。
来源: habr.com