Ретроспектива Масштаб, состав и состав киберугроз для приложений быстро меняются.
На протяжении многих лет пользователи получали доступ к веб-приложениям через Интернет с помощью популярных веб-браузеров.
Одновременно необходимо было поддерживать 2-5 веб-браузеров, а набор стандартов разработки и тестирования веб-приложений был весьма ограничен.
Например, почти все базы данных были созданы с использованием SQL. К сожалению, спустя короткое время хакеры научились использовать веб-приложения для кражи, удаления или изменения данных.
Они получили незаконный доступ к возможностям приложений и злоупотребили ими, используя различные методы, включая обман пользователей приложений, внедрение и удаленное выполнение кода.
Вскоре на рынке появились коммерческие инструменты безопасности веб-приложений, называемые брандмауэрами веб-приложений (WAF), и сообщество отреагировало на это созданием открытого проекта безопасности веб-приложений, Open Web Application Security Project (OWASP), для определения и поддержки стандартов и методологий разработки.
.
безопасные приложения.
Базовая защита приложений
Список 10 лучших OWASP является отправной точкой для обеспечения безопасности приложений и содержит список наиболее опасных угроз и неправильных настроек, которые могут привести к уязвимостям приложения, а также тактику обнаружения и отражения атак.Рейтинг OWASP Top 10 является признанным эталоном в индустрии кибербезопасности приложений во всем мире и определяет основной список возможностей, которыми должна обладать система безопасности веб-приложений (WAF).
Кроме того, функциональность WAF должна учитывать другие распространенные атаки на веб-приложения, включая подделку межсайтовых запросов (CSRF), кликджекинг, очистку веб-страниц и включение файлов (RFI/LFI).
Угрозы и вызовы для обеспечения безопасности современных приложений
Сегодня не все приложения реализованы в сетевой версии.Существуют облачные приложения, мобильные приложения, API, а в новейших архитектурах даже специальные программные функции.
Все эти типы приложений необходимо синхронизировать и контролировать при создании, изменении и обработке наших данных.
С появлением новых технологий и парадигм на всех этапах жизненного цикла приложений возникают новые сложности и проблемы.
Сюда входит интеграция разработки и эксплуатации (DevOps), контейнеры, Интернет вещей (IoT), инструменты с открытым исходным кодом, API и многое другое.
Распределенное развертывание приложений и разнообразие технологий создают все более сложные задачи не только для специалистов по информационной безопасности, но и для поставщиков решений безопасности, которые больше не могут полагаться на единый подход. Меры безопасности приложений должны учитывать специфику их бизнеса, чтобы предотвратить ложные срабатывания и нарушение качества обслуживания пользователей.
Конечной целью хакеров обычно является либо украсть данные, либо нарушить доступность услуг.
Злоумышленники также извлекают выгоду из технологического развития.
Во-первых, развитие новых технологий создает больше потенциальных пробелов и уязвимостей.
Во-вторых, в их арсенале больше инструментов и знаний для обхода традиционных мер безопасности.
Это значительно увеличивает так называемую «поверхность атаки» и подверженность организаций новым рискам.
Политики безопасности должны постоянно меняться в ответ на изменения в технологиях и приложениях.
Таким образом, приложения должны быть защищены от постоянно растущего разнообразия методов и источников атак, а автоматическим атакам необходимо противодействовать в режиме реального времени на основе обоснованных решений.
Результатом являются увеличение транзакционных издержек и ручного труда в сочетании с ослаблением безопасности.
Задача №1: Управление ботами
Более 60% интернет-трафика генерируется ботами, половина из которых — «плохой» трафик (по данным Отчет о безопасности Radware ).Организации инвестируют в увеличение пропускной способности сети, по сути обслуживая фиктивную нагрузку.
Точное разграничение реального пользовательского трафика и трафика ботов, а также «хороших» ботов (например, поисковых систем и сервисов сравнения цен) и «плохих» ботов может привести к существенной экономии средств и повышению качества обслуживания пользователей.
Боты не облегчат эту задачу и могут имитировать поведение реальных пользователей, обходить CAPTCHA и другие препятствия.
Более того, в случае атак с использованием динамических IP-адресов защита, основанная на фильтрации IP-адресов, становится неэффективной.
Часто инструменты разработки с открытым исходным кодом (например, Phantom JS), которые могут обрабатывать клиентский JavaScript, используются для запуска атак методом перебора, атак с подстановкой учетных данных, DDoS-атак и автоматических атак ботов.
.
Для эффективного управления бот-трафиком необходима уникальная идентификация его источника (например, отпечаток пальца).
Поскольку атака бота генерирует множество записей, ее отпечаток позволяет выявить подозрительную активность и присвоить оценки, на основании которых система защиты приложений принимает обоснованное решение — заблокировать/разрешить — с минимальным уровнем ложных срабатываний.
Задача № 2: Защита API
Многие приложения собирают информацию и данные от сервисов, с которыми они взаимодействуют через API. При передаче конфиденциальных данных через API более 50% организаций не проверяют и не защищают API для обнаружения кибератак.Примеры использования API:
- Интеграция Интернета вещей (IoT)
- Межмашинная связь
- Бессерверные среды
- Мобильные приложения
- Приложения, управляемые событиями
Выделенные шлюзы API помогают обеспечить совместимость между службами приложений, взаимодействующими через API. Однако они не обеспечивают сквозную безопасность приложений, как WAF, с такими важными инструментами безопасности, как анализ HTTP-заголовка, список управления доступом уровня 7 (ACL), анализ и проверка полезной нагрузки JSON/XML, а также защита от всех уязвимостей от Список 10 лучших OWASP. Это достигается путем проверки ключевых значений API с использованием положительных и отрицательных моделей.
Проблема № 3: Отказ в обслуживании
Старый вектор атаки — отказ в обслуживании (DoS) — продолжает доказывать свою эффективность при атаке на приложения.У злоумышленников есть целый ряд успешных методов нарушения работы служб приложений, включая HTTP- или HTTPS-флуд, атаки low-and-slow (например, SlowLoris, LOIC, Torshammer), атаки с использованием динамических IP-адресов, переполнение буфера, атаки грубой силы и многие другие.
.
С развитием Интернета вещей и последующим появлением ботнетов IoT атаки на приложения стали основным направлением DDoS-атак.
Большинство WAF с сохранением состояния могут обрабатывать только ограниченный объем нагрузки.
Однако они могут проверять потоки трафика HTTP/S и удалять атакующий трафик и вредоносные соединения.
После того как атака выявлена, нет смысла повторно пропускать этот трафик.
Поскольку возможности WAF по отражению атак ограничены, необходимо дополнительное решение на периметре сети для автоматической блокировки следующих «плохих» пакетов.
Для этого сценария безопасности оба решения должны иметь возможность взаимодействовать друг с другом для обмена информацией об атаках.
Рис.
1. Организация комплексной защиты сети и приложений на примере решений Radware
Задача № 4: Непрерывная защита
Приложения часто меняются.Методологии разработки и внедрения, такие как чередующиеся обновления, означают, что изменения происходят без вмешательства или контроля человека.
В таких динамичных средах трудно поддерживать адекватно функционирующую политику безопасности без большого количества ложных срабатываний.
Мобильные приложения обновляются гораздо чаще, чем веб-приложения.
Сторонние приложения могут быть изменены без вашего ведома.
Некоторые организации стремятся к большему контролю и прозрачности, чтобы оставаться в курсе потенциальных рисков.
Однако это не всегда достижимо, и надежная защита приложений должна использовать возможности машинного обучения для учета и визуализации доступных ресурсов, анализа потенциальных угроз, а также создания и оптимизации политик безопасности в случае модификации приложений.
Выводы
Поскольку приложения играют все более важную роль в повседневной жизни, они становятся главной мишенью для хакеров.Потенциальные выгоды для преступников и потенциальные потери для бизнеса огромны.
Сложность задачи обеспечения безопасности приложений невозможно переоценить, учитывая количество и разнообразие приложений и угроз.
К счастью, мы живем в тот момент, когда искусственный интеллект может прийти нам на помощь.
Алгоритмы на основе машинного обучения обеспечивают адаптивную защиту в реальном времени от самых современных киберугроз, нацеленных на приложения.
Они также автоматически обновляют политики безопасности для защиты веб-, мобильных и облачных приложений (и API) без ложных срабатываний.
Трудно с уверенностью предсказать, каким будет следующее поколение киберугроз для приложений (возможно, также основанных на машинном обучении).
Но организации, безусловно, могут предпринять шаги для защиты данных клиентов, защиты интеллектуальной собственности и обеспечения доступности услуг с большими преимуществами для бизнеса.
«Эффективные подходы и методы обеспечения безопасности приложений, основные типы и векторы атак, области риска и пробелы в киберзащите веб-приложений, а также мировой опыт и лучшие практики представлены в исследовании и отчете Radware» Безопасность веб-приложений в цифровом мире ”.
Теги: #информационная безопасность #Сетевые технологии #сетевое оборудование #киберугрозы #WAF #защита веб-приложений #DDoS-атаки
-
Очиститель Реестра Безопасен?
19 Oct, 24 -
Начало Технологической Войны: 5 Нм И 3 Нм
19 Oct, 24 -
Очередные Проблемы Icq
19 Oct, 24 -
Локационная Игра. Новая Игра В Твиттере
19 Oct, 24 -
Выпуск Nginx 1.8 И 1.9
19 Oct, 24
