Technológia

Webes és mobilalkalmazások szigorítása

Az internetkapcsolat az üzleti élet létfontosságává vált. A Covid-19 járvány idején ez a kapcsolat sok szervezet működését lehetővé tette, még akkor is, amikor fizikai irodáikat bezárási intézkedések miatt bezárták. A webáruházak profitáltak az e-kereskedelem növekedéséből, és a szervezetek felgyorsították a digitális átalakítás kezdeményezéseit az üzleti folyamatok zökkenőmentessé tétele érdekében.

Azok a szervezetek, amelyek erősen integrált webalkalmazásokkal és mobilalkalmazásokkal rendelkeznek, jobban tudták kezelni a világjárvány által okozott gazdasági felfordulást, mint a kevésbé kifinomult szervezetek. online jelenlét. De a webalkalmazások könnyű célpontot jelentenek rosszindulatú színészek akik be akarnak hatolni a vállalati hálózatokba, adatokat lopnak és ransomware-eket injektálnak.

A Forrester elemzőcég által a közelmúltban végzett felmérés a globális biztonsági döntéshozókról arról számol be webalkalmazások a leggyakoribb vektor támadók az informatikai rendszerek megcélzásához. A tanulmány szerint a globális biztonsági döntéshozók 28% -a számára az alkalmazásbiztonsági képességek és szolgáltatások javítása a következő 12 hónapban a legfontosabb.

A szervezeteknek meg kell védeniük a belső alkalmazásokat, a webes alkalmazásokat és a külső alkalmazás-programozási felületeket (API-k), amelyek összekapcsolják a belső alkalmazásokat a külvilággal. Meg kell akadályozniuk, hogy ezek a külső interfészek és a webes kezelőfelületek veszélybe kerüljenek, és ha a támadás sikeres, a üzletmenet-folytonossági politika olyan helynek kell lennie, amely meghatározza a vállalkozás számára elfogadható állásidő szintjét.

Biztonságos kódolás

Túl sok webhely kéri a felhasználókat, hogy regisztráljanak felhasználónevet és jelszót. Míg a biztonsági szakemberek különböző jelszavak használatára ösztönzik az embereket – és a webböngészők automatikusan erős jelszót generálnak és tárolnak -, sokan a könnyen megjegyezhető jelszó. Gyakran ugyanazt a jelszót használják a hitelesítéshez több webhelyen. Mint ilyen, a felhasználó jelszavát nemcsak könnyű feltörni, hanem egy hacker is megpróbálhatja használni a ugyanazt a jelszót hogy más webhelyeket célozzon meg.

A OAuth API az egyik megközelítés azon webhelyek számára, amelyek hitelesítést szeretnének kínálni anélkül, hogy a felhasználóknak új jelszót kellene megadniuk. Használja a Facebook és a Google háttérhitelesítését, de ennek a kényelemnek az a költsége, hogy a Google és a Facebook megosztja a felhasználói információk egy részét a webhelyet üzemeltető szervezettel.

Az Open Web Application Security Project (OWasp) részeként irányelveket hozott létre Alkalmazásbiztonsági ellenőrzési szabvány. Ajánlásaiban az OWasp javasolja a biztonságos felhasználói hitelesítés legújabb módszereinek használatát, például a többtényezős hitelesítést (MFA), a biometrikus adatokat vagy az egyszeri jelszavakat. További ajánlások között szerepel az adatok elvesztésének megakadályozására szolgáló erőteljes titkosítás, a hozzáférés ellenőrzése, valamint a felhasználók által létrehozott tartalom, például az adatok, amelyeket a felhasználó várhatóan beír egy webes vagy mobilalkalmazás beviteli mezőjébe, fertőtlenítése és érvényesítése.

A szabvány előírja, hogy a webes és mobilalkalmazások fejlesztőinek be kell vezetniük a bemeneti ellenőrzési ellenőrzéseket. Az OWasp szerint az összes injekciós támadás 90% -a azért fordul elő, mert egy alkalmazás nem ellenőrzi megfelelően a bemeneti adatokat. A. 4.0.2 verziója Alkalmazásbiztonsági ellenőrzési szabvány kimondja: „A hossz- és hatótávolság-ellenőrzések ezt tovább csökkenthetik. A biztonságos bemeneti hitelesítés beépítése az alkalmazásarchitektúra-tervezési sprintek, kódolások, valamint egység- és integrációs tesztelések során szükséges. “

Valójában az alkalmazásfejlesztőknek úgy kell kódot írniuk, hogy megakadályozzák a szélhámos bemeneti adatok felhasználását támadási vektorként. Injekciós stílusú támadás során gondosan kidolgozott adatok felhasználásával olyan hibát okozhat, amely miatt az alkalmazás egy másik programként hajtja végre az adatokat. Az ilyen támadás megakadályozható, ha a programozó úgy írja be a szoftvert, hogy a bemeneti adatokat úgy kezelje, hogy ellenőrizze, milyen adatokra számít. Például, ha számot vár, el kell utasítania mindent, aminek nincs értelme. Hasonlóképpen, a címeknek és a születési dátumoknak szabványos formátumuk van, amelyeket ellenőrizni lehet.

Az a sok kihívás, amellyel a programozók szembesülnek, amikor biztonságos kódot akarnak írni, amely megakadályozza az injekciós stílusú vagy puffer túlcsordulási támadásokat, az a tény, hogy szoftverfejlesztés nagyon heterogén. “Ha valóban le akarja állítani őket, akkor lehetetlenné kell tenni egy puffertúlcsordulás vagy injekciós támadás megírását” – mondja Owen Wright, az Accenture megbízhatósági igazgatója.

De míg a legtöbb szoftvert korábban kézzel kódolták, Wright szerint a modern szoftverfejlesztési módszerek nagyban támaszkodnak harmadik felek keretrendszereire, könyvtáraira és a felhőszolgáltatásokkal való integrációra. A nagy kereskedelmi szolgáltatók által biztosítottaknak jelentős csoportjai lehetnek a biztonságos kódolásnak, mondja, de „néhány jól használható nyílt forráskódú könyvtárat csak egy vagy két ember tart fenn. [and] mindenki támaszkodik rájuk és feltételezi [they are] jól karbantartott”.

A kódoláson túl Wright megjegyzi, hogy a szervezetek kezdenek „balra váltani” az IT biztonság terén, ahol a fejlesztők nagyobb felelősséget vállalnak a biztonságos kódok előállításáért. “A fejlesztőket nem biztonsági gondolkodásmóddal tanítják – ők először fejlesztők” – mondja. “A szervezeteknek inkább a biztonságtudatosságra kell koncentrálniuk.”

De a sebesség, a költség és a minőség között állandó feszültség van. Wright úgy véli, hogy az a DevSecOps A szoftverprojektek modellje arra ösztönzi a fejlesztőket, hogy gyorsabban javítsák ki a problémakódokat, mint ha behatolási tesztekre támaszkodnának, miután a kérelmet benyújtották. Ez az egyik tétele a biztonságos kódolás felelősségének balra, a fejlesztőre történő áthelyezésére.

Wright tapasztalatai szerint ez sokkal olcsóbb, mint a biztonsági hibák későbbi javítása a szoftverfejlesztés életciklusában. Azt javasolja a szervezeteknek, hogy hozzanak létre sablonokat az alkalmazások biztonságossá tételéhez, amelyeket aztán a későbbi projektekben telepíteni lehet.

Webes alkalmazások védelme

Alkalmazási réteg támadások, amelyek más néven A 7. réteg vagy az L7 támad, próbálja túlterhelni a szervereket azzal, hogy folyamatosan jogos HTTP kéréseket küld.

Szerint internet infrastruktúra óriás Cloudflare, a legtöbb mögöttes hatékonysága elosztott szolgáltatásmegtagadási (DDoS) támadások a támadás indításához szükséges erőforrások mennyiségének és a támadás elnyeléséhez vagy enyhítéséhez szükséges erőforrások mennyisége közötti különbségből fakad. Azt mondja, hogy egy alkalmazásréteg-támadás több sérülést okoz kevesebb teljes sávszélesség mellett.

Például, ha a felhasználó webalapú szolgáltatáshoz, mondjuk a Gmailhez szeretne hozzáférni, vagy webalapú tranzakciót szeretne végrehajtani egy e-kereskedelmi webhelyen, a szerver kérést kap a felhasználó böngészőjében vagy eszközén futó ügyfélszoftvertől, és akkor készítsen adatbázis-lekérdezést vagy hívjon API-t a felhasználói kérés teljesítéséhez.

Cloudflare megjegyzi, hogy a szolgáltatás-típusú támadás megtagadása kihasználja azt a tényt, hogy a szerver képes teljesíteni ezt a feladatot, ha sok eszköz egyetlen webtulajdont céloz meg. „A hatás elboríthatja a megcélzott szervert. Sok esetben az API egyszerű megcélzása 7-es szintű támadással elegendő a szolgáltatás offline állapotba hozatalához ”- figyelmeztet az alkalmazásszintű biztonságot vizsgáló cikk.

Gartneré Magic Quadrant webalkalmazások tűzfalaihoz a 2020 októberében közzétett jelentés előrejelzése szerint 2023-ig a nyilvánosság előtt álló webalkalmazások és API-k több mint 30% -át felhőalapú webalkalmazások és API-védelem (WAAP) védik. 2024-re a Gartner arra számít, hogy a legtöbb, a gyártásban használt webalkalmazásokhoz multicloud stratégiákat megvalósító szervezet csak felhőbeli WAAP szolgáltatásokat fog használni.

Nyilvános felhő WAF-k

Gartneré Magic Quadrant webalkalmazások tűzfalaihoz jelentés Akamai és Impervát nevezi “vezetőnek” a webalkalmazás tűzfal (WAF) aréna.

A Cloudflare, a Fortinet, az F5 és a Barracuda alkotják a Gartner „kihívó” kvadrátját. A két vezetővel együtt ezek a vállalatok általában a rövid listára kerülnek, amikor az informatikai döntéshozók megvizsgálják lehetőségeiket a WAF piacán.

DDoS védelmi szolgáltató Radware és a WAF indításakor Jeltudományok hogy a Gartner „látomásos” kvadrátja, felismerve a technológia innovatív használatát termékkínálatukban. A Gartner megjegyzi, hogy a Radware a gépi tanulást használja a webalkalmazás tűzfalában a fenyegetések leküzdésére, míg a Signal Sciences a felhőben honos alkalmazások biztonságára összpontosít.

Nyilvános felhőszolgáltatók webalkalmazások tűzfal-képességeit is kínálják platformjaik részeként. Mindazonáltal a Microsoft Azure és a Amazon Web Services (AWS) a „niche” játékosoknak tartja a Gartner.

Például a Magic Quadrant jelentés megjegyzi, hogy a AWS WAF alapvető botvédelmet nyújt az AWS által biztosított felügyelt szabálykészlet és infrastruktúra-védelmi képesség révén. A jelentés készítői azonban arra figyelmeztetnek, hogy az AWS WAF-ból hiányzik a versenytársak termékeiben megtalálható számos alkalmazás-specifikus, fejlett bot-védelmi funkció, például az eszköz ujjlenyomatvétele, a felhasználói viselkedés észlelése és a JavaScript kihívásai.

A Microsoft ajánlatát megvizsgálva Gartner szerint az Azure WAF elérhetővé válik további Azure régiókban. A jelentés kiemeli a Microsoft azon munkáját, hogy integrálja az Azure WAF-t más Azure-szolgáltatásokkal. Példaként a Gartner megjegyzi, hogy az Azure WAF most natív módon integrálódik a Azure Kubernetes Service bemeneti vezérlő a mikroszolgáltatások védelmére, eseményeket küldhet a címre A Microsoft Azure Sentinel integrált megfigyeléshez, és jobban kihasználja a Microsoft technikai infrastruktúráját az ismert botok blokkolásához.

A Gartner-jelentés új lehetőségeket is megemlít a Google Cloud Armor WAF és DDoS mérséklő szolgáltatásában, amely elérhető a Google Cloud Platformon (GCP). A jelentés készítői szerint a Google „hasznos funkciókat”, például IP-vezérlőlistákat és geo-IP-szűréseket, előre definiált szabályokat adott hozzá helyszíni szkriptek (XSS) és SQL injekció (SQLi) blokkolás és egyéni szabályok létrehozása. A Gartner szerint a Google a képességeinek bővítésére való hajlandóság jeleit mutatja.