回顾性
适用于应用程序的网络威胁的规模,构成和结构正在迅速发展。 多年来,用户已使用流行的Web浏览器通过Internet访问Web应用程序。 在每个时间点,都必须支持2-5个Web浏览器,并且用于开发和测试Web应用程序的标准集受到了足够的限制。 例如,几乎所有数据库都是使用SQL构建的。 不幸的是,不久之后,黑客学会了使用Web应用程序来窃取,删除或修改数据。 他们获得了非法访问权,并使用各种方法滥用了应用程序的功能,包括欺骗应用程序的用户,实现和远程执行代码。 不久,称为Web应用程序防火墙(WAF)的商业Web应用程序安全工具出现在市场上,社会做出了响应,创建了一个开放的Web应用程序安全项目,即Open Web应用程序安全项目(OWASP),以定义和维护开发标准和方法。安全的应用程序。
基本应用保护
OWASP的前10个列表是保护应用程序安全的起点,其中包含最危险的威胁和不正确的设置(可能导致应用程序漏洞)以及检测和拒绝攻击的策略。 OWASP Top 10是全球网络安全应用程序行业公认的基准,它定义了Web应用程序安全系统(WAF)应该具有的基本功能列表。
此外,WAF功能应考虑对Web应用程序的其他常见攻击,包括跨站点请求伪造(CSRF),点击劫持,Web抓取和文件包含(RFI / LFI)。
当今应用程序面临的威胁和安全挑战
迄今为止,并非所有应用程序都在网络版本中执行。 有云应用程序,移动应用程序,API,以及最新的体系结构,甚至还有单独的软件功能。 所有这些类型的应用程序在创建,修改和处理数据时都需要进行同步和控制。 随着新技术和范例的出现,在应用程序生命周期的所有阶段都出现了新的挑战和挑战。 这包括开发和运营(DevOps),容器,物联网(IoT),开源工具,API等的集成。
分布式应用程序部署和各种技术不仅为信息安全专家,而且为不再依赖统一方法的安全解决方案制造商,都会创建复杂的任务。 应用程序安全性功能应考虑其业务特性,以防止错误操作并损害用户的服务质量。
黑客的最终目标通常是数据盗窃或违反服务可用性。 攻击者还利用技术发展的优势。 首先,新技术的发展带来了更多的潜在差距和漏洞。 其次,在他们的武器库中出现了更多的工具和知识来规避传统疗法。 这大大增加了所谓的“攻击面”,并使组织面临新的风险。 安全策略必须随着技术和应用程序的变化而不断变化。
因此,应保护应用程序免受各种攻击方法和攻击源的侵害,并应根据明智的决策实时反映自动攻击。 结果,在安全状况减弱的情况下,运营成本和体力劳动增加。
任务1:管理漫游器
僵尸程序产生了超过60%的Internet流量,其中有一半被称为“不良”流量(根据
Radware安全报告 )。 组织正在投资于增加网络带宽,以基本服务于虚拟负载。 实际用户流量和漫游器流量以及“好”漫游器(例如,搜索机器人和价格比较服务)与“不良”漫游器之间的确切区别可以节省大量成本,并提高用户服务质量。
僵尸程序不会帮助完成此任务,它们可以模仿真实用户的行为,绕过验证码和其他障碍。 而且,在使用动态IP地址进行攻击的情况下,基于IP地址过滤的保护变得无效。 通常,可以运行客户端JavaScript的开源开发工具(例如Phantom JS)被用来发起暴力攻击,凭据填充攻击,DDoS攻击和自动bot攻击。 。
有效的漫游器流量管理需要唯一标识其来源(例如指纹)。 由于在机器人攻击的情况下会发生很多输入,因此其指纹可让您识别可疑活动并分配点,基于此,应用程序保护系统将以最小的误报率做出明智的决定-阻止/允许。
任务2:API保护
许多应用程序从通过API与之交互的服务中收集信息和数据。 通过API传输机密数据时,超过50%的组织不会检查或保护API以检测网络攻击。
API用法示例:
- 物联网整合
- 机器互动
- 无服务器环境
- 行动应用程式
- 事件驱动的应用
API漏洞与应用程序漏洞相似,包括注入,协议攻击,参数操纵,重定向和漫游器攻击。 专用的API网关可确保通过API进行通信的应用程序服务的兼容性。 但是,它们不为应用程序提供端到端的安全性,因为WAF可以与必要的安全性工具一起使用,例如解析HTTP标头,第7层访问控制列表(ACL),解析和检查JSON / XML负载以及防止所有漏洞OWASP Top 10列表,这是通过使用正模型和负模型检查关键API值来实现的。
任务3:拒绝服务
旧的拒绝服务(DoS)攻击媒介继续证明了其在对应用程序的攻击中的有效性。 攻击者拥有多种成功的技术来破坏应用程序服务,包括HTTP或HTTPS洪水,低速和慢速攻击(例如SlowLoris,LOIC,Torshammer),使用动态IP地址的攻击,缓冲区溢出,暴力破解-攻击等等。 随着物联网的发展以及物联网僵尸网络的出现,对应用程序的攻击已成为DDoS攻击的主要焦点。 大多数连接跟踪WAF只能承受有限的负载。 但是,他们可以检查HTTP / S流量并删除攻击流量和恶意连接。 一旦检测到攻击,就没有必要重新传递此流量。 由于WAF抵抗攻击的带宽是有限的,因此需要在网络范围内采用其他解决方案来自动阻止下一个“不良”数据包。 对于这种安全方案,两个解决方案都必须能够相互交互以交换有关攻击的信息。
图1.以Radware解决方案为例,组织全面的网络和应用程序保护。任务4:持续保护
应用程序经常会更改。 开发和实施方法,例如持续更新,意味着无需人工干预和控制即可进行修改。 在这种动态情况下,很难在没有大量误报的情况下维持足够有效的安全策略。 移动应用程序比Web应用程序更新的频率要高得多。 第三方应用程序可能会在您不知情的情况下发生变化。 一些组织寻求更好的控制和可视化以跟上潜在风险。 但是,这并非总是可以实现的,可靠的应用程序保护应使用机器学习功能来说明和可视地显示可用资源,分析潜在威胁,在应用程序修改的情况下创建和优化安全策略。
结论
随着应用程序在日常生活中扮演着越来越重要的角色,它们成为黑客的主要目标。 网络犯罪分子的潜在大奖和企业的潜在损失是巨大的。 考虑到应用程序和威胁的数量和变化,确保应用程序安全性的任务的复杂性不能被夸大。
幸运的是,我们正处于人工智能可以提供帮助的时间点。 基于机器学习的算法可针对针对应用程序的最高级网络威胁提供实时自适应保护。 他们还会自动更新安全策略,以保护Web,移动和云应用程序以及API,而不会产生误报。
很难准确预测下一代网络威胁对应用程序的影响(可能也基于机器学习)。 但是组织绝对可以采取措施保护客户数据,知识产权并保证对企业有重大好处的服务可用性。
Radware研究和报告“
数字连接世界中的Web应用程序安全性 ”中介绍了有效的方法和方法,以确保应用程序安全,攻击的主要类型和媒介,Web应用程序的网络防御中的风险区域和差距以及国际经验和最佳实践,并提供了报告。