回顧性
應用程式面臨的網路威脅的規模、構成和組成正在迅速變化。 多年來,使用者一直使用流行的 Web 瀏覽器透過 Internet 存取 Web 應用程式。 在任何給定時間都需要支援 2-5 個 Web 瀏覽器,並且用於開發和測試 Web 應用程式的標準集非常有限。 例如,幾乎所有資料庫都是使用 SQL 建構的。 不幸的是,不久之後,駭客學會了使用網頁應用程式來竊取、刪除或更改資料。 他們使用各種技術非法存取並濫用應用程式功能,包括欺騙應用程式使用者、注入和遠端程式碼執行。 很快,稱為Web 應用程式防火牆(WAF) 的商業Web 應用程式安全工具進入市場,社群為此創建了一個開放式Web 應用程式安全項目,即開放式Web 應用程式安全項目(OWASP),以定義和維護開發標準和方法. 安全應用程式。
基本應用保護
是保護應用程式安全的起點,包含可能導致應用程式漏洞的最危險威脅和錯誤配置的列表,以及偵測和擊敗攻擊的策略。 OWASP Top 10 是全球應用程式網路安全產業公認的基準,定義了 Web 應用程式安全 (WAF) 系統應具備的核心功能清單。
此外,WAF 功能必須考慮對 Web 應用程式的其他常見攻擊,包括跨站點請求偽造 (CSRF)、點擊劫持、網頁抓取和檔案包含 (RFI/LFI)。
確保現代應用安全的威脅與挑戰
如今,並非所有應用程式都以網頁版本實現。 有雲端應用程式、行動應用程式、API,在最新的架構中,甚至還有自訂軟體功能。 所有這些類型的應用程式在創建、修改和處理我們的資料時都需要同步和控制。 隨著新技術和範式的出現,應用程式生命週期的各個階段都會出現新的複雜性和挑戰。 這包括開發和營運整合 (DevOps)、容器、物聯網 (IoT)、開源工具、API 等。
應用程式的分散式部署和技術的多樣性不僅給資訊安全專業人員帶來了複雜的挑戰,也為安全解決方案供應商帶來了複雜的挑戰,他們不能再依賴統一的方法。 應用程式安全措施必須考慮其業務細節,以防止誤報和用戶服務品質中斷。
駭客的最終目標通常是竊取資料或破壞服務的可用性。 攻擊者還可以從技術發展中受益。 首先,新技術的發展帶來了更多潛在的差距和脆弱性。 其次,他們擁有更多的工具和知識來繞過傳統的安全措施。 這大大增加了所謂的「攻擊面」和組織面臨新風險的風險。 安全策略必須不斷變化以回應技術和應用程式的變化。
因此,必須保護應用程式免受越來越多的攻擊方法和來源的影響,並且必須根據明智的決策即時反擊自動攻擊。 其結果是交易成本和體力勞動增加,加上安全狀況減弱。
任務#1:管理機器人
超過 60% 的網路流量是由機器人產生的,其中一半是「不良」流量(根據 )。 組織投資增加網路容量,本質上是服務於虛擬負載。 準確區分真實用戶流量和機器人流量以及「好」機器人(例如搜尋引擎和比價服務)和「壞」機器人可以顯著節省成本並提高用戶的服務品質。
機器人不會讓這項任務變得容易,它們可以模仿真實使用者的行為,繞過驗證碼和其他障礙。 而且,當遇到使用動態IP位址的攻擊時,基於IP位址過濾的防護就變得無效。 通常,可以處理客戶端 JavaScript 的開源開發工具(例如 Phantom JS)被用來發動暴力攻擊、撞庫攻擊、DDoS 攻擊和自動機器人攻擊。
為了有效管理機器人流量,需要對其來源進行唯一識別(如指紋)。 由於機器人攻擊會產生多個記錄,因此其指紋可以識別可疑活動並分配分數,應用程式保護系統據此做出明智的決定(阻止/允許),並以最低的誤報率。
挑戰#2:保護 API
許多應用程式透過 API 從與其互動的服務中收集資訊和資料。 透過 API 傳輸敏感資料時,超過 50% 的組織既不驗證也不保護 API 來偵測網路攻擊。
使用 API 的範例:
- 物聯網 (IoT) 集成
- 機器對機器通信
- 無伺服器環境
- 移動應用
- 事件驅動的應用程式
API漏洞與應用程式漏洞類似,包括注入、協定攻擊、參數操縱、重定向和機器人攻擊。 專用 API 網關有助於確保透過 API 互動的應用程式服務之間的相容性。 然而,它們不像WAF 那樣提供端對端應用程式安全性,並提供必要的安全工具,例如HTTP 標頭解析、第7 層存取控制清單(ACL)、JSON/XML 有效負載解析和檢查,以及針對所有漏洞的防護。OWASP Top 10 清單。這是透過使用正負模型檢查關鍵 API 值來實現的。
挑戰#3:拒絕服務
拒絕服務 (DoS) 是一種古老的攻擊方式,它繼續證明其在攻擊應用程式方面的有效性。 攻擊者擁有一系列成功的技術來破壞應用程式服務,包括 HTTP 或 HTTPS 洪水、低速攻擊(例如 SlowLoris、LOIC、Torshammer)、使用動態 IP 位址的攻擊、緩衝區溢位、暴力攻擊等等。 隨著物聯網的發展以及隨後物聯網殭屍網路的出現,對應用程式的攻擊成為DDoS攻擊的主要焦點。 大多數有狀態 WAF 只能處理有限的負載。 但是,他們可以檢查 HTTP/S 流量並刪除攻擊流量和惡意連線。 一旦識別出攻擊,就沒有必要重新傳遞此流量。 由於WAF抵禦攻擊的能力有限,因此網路外圍需要額外的解決方案來自動阻止下一個「壞」資料包。 對於這種安全場景,兩種解決方案必須能夠相互通訊以交換有關攻擊的資訊。
圖 1. 使用 Radware 解決方案範例組織全面的網路和應用程式保護
挑戰#4:持續保護
應用程式經常變化。 滾動更新等開發和實施方法意味著無需人工幹預或控制即可進行修改。 在這種動態環境中,很難在沒有大量誤報的情況下維持充分發揮作用的安全策略。 行動應用程式的更新比 Web 應用程式頻繁得多。 第三方應用程式可能會在您不知情的情況下發生更改。 一些組織正在尋求更大的控制力和可見性,以掌控潛在風險。 然而,這並不總是可以實現的,可靠的應用程式保護必須利用機器學習的力量來解釋和視覺化可用資源,分析潛在威脅,並在應用程式修改時創建和優化安全策略。
發現
隨著應用程式在日常生活中發揮越來越重要的作用,它們成為駭客的主要目標。 犯罪分子的潛在回報和企業的潛在損失是巨大的。 考慮到應用程式和威脅的數量和變化,應用程式安全任務的複雜性怎麼強調都不為過。
幸運的是,我們正處於人工智慧可以為我們提供幫助的時刻。 基於機器學習的演算法提供即時、自適應的保護,抵禦針對應用程式的最先進的網路威脅。 它們還會自動更新安全性策略,以保護 Web、行動和雲端應用程式以及 API,而不會出現誤報。
很難準確預測下一代應用程式網路威脅(也可能基於機器學習)將會是什麼。 但組織當然可以採取措施保護客戶資料、保護智慧財產權並確保服務可用性,從而帶來巨大的商業利益。
Radware 研究和報告中介紹了確保應用程式安全的有效途徑和方法、攻擊的主要類型和媒介、Web 應用程式網路保護的風險領域和差距,以及全球經驗和最佳實踐。“。
來源: www.habr.com