應用威脅現狀正在迅速發(fā)展。多年來(lái),用戶(hù)一直利用Web瀏覽器等常用工具使用互聯(lián)網(wǎng)應用。任何時(shí)候,都需要支持2-5個(gè)Web瀏覽器,應用開(kāi)發(fā)和測試框架的多樣性也相對有限。例如,幾乎所有的數據庫都是使用SQL語(yǔ)言創(chuàng )建的。令人遺憾的是,就在不久前,為了竊取、刪除并修改數據,黑客已經(jīng)開(kāi)始濫用應用了。他們以不同方式利用應用,主要是欺騙應用用戶(hù)、注入或遠程執行代碼。不久之后,名為Web應用防火墻(WAF)的商業(yè)化解決方案出現了,該團體為此創(chuàng )建了開(kāi)放Web應用安全項目(OWASP),用于設置并維護安全應用的標準和方法。
基本應用防護措施
OWASP十大攻擊列表為防御最常見(jiàn)和最致命的威脅和可能導致漏洞的應用配置錯誤的防護措施提供了出發(fā)點(diǎn)、檢測戰術(shù)和緩解措施。此列表可以作為應用安全行業(yè)的行業(yè)標桿,并定義了WAF所需的基本功能。
此外,還有其他針對Web應用的常見(jiàn)攻擊,如:CSRF、點(diǎn)擊劫持、Web抓取和文件包含(RFI/LFI)。
確保現代應用安全的挑戰
目前,應用不僅僅只是基于Web的。還有許多云應用、移動(dòng)應用、API,甚至是最新架構中的單個(gè)功能,都可以創(chuàng )建、修改并處理數據,因此必須進(jìn)行同步和監督。新技術(shù)和框架為應用生命周期帶來(lái)了新的挑戰。包括DevOps、容器、物聯(lián)網(wǎng)(IoT)、開(kāi)源工具和API等。
各種技術(shù)位置的分散為信息安全專(zhuān)業(yè)人員和不能再依賴(lài)“一刀切”方法的解決方案廠(chǎng)商都帶來(lái)了非常復雜的挑戰。為了最大限度地減少誤報并優(yōu)化客戶(hù)體驗,解決方案必須了解所保護的應用所處的業(yè)務(wù)環(huán)境。
一個(gè)黑客的最終目標通常是竊取數據或中斷應用服務(wù)。他們也會(huì )受益于技術(shù)進(jìn)步。首先,他會(huì )創(chuàng )建更多潛在的漏洞和薄弱點(diǎn),其次,他們可以采用更多的工具和知識來(lái)克服傳統的安全探試程序。企業(yè)將面臨更大的攻擊面和更大的暴露風(fēng)險。隨著(zhù)應用的不斷變化,安全策略必須與時(shí)俱進(jìn)。
因此,應用必須得到充分保護,防御不斷增多的攻擊方法和攻擊源,并且必須能夠在緩解自動(dòng)攻擊時(shí)實(shí)時(shí)做出有把握的決策。其結果就是增加了人工勞動(dòng)和運維成本,同時(shí)降低了整體的安全性。對安全廠(chǎng)商而言,需要克服的挑戰更多。
挑戰1:機器人程序管理
根據Radware Web應用安全報告 ,幾乎60%的互聯(lián)網(wǎng)流量都是機器人程序生成的,其中一半流量是由“不良”機器人程序造成的。企業(yè)不得不增加網(wǎng)絡(luò )容量來(lái)滿(mǎn)足這些虛擬需求。準確區分人為流量和機器人程序生成的流量以及準確區分“良性”機器人程序(如搜索引擎和比價(jià)服務(wù))和“不良”機器人程序可以極大地節省成本并提高客戶(hù)體驗。
現在,機器人程序并不會(huì )放你一馬,他們可以模仿人類(lèi)行為,繞過(guò)CAPTCHA和其它質(zhì)詢(xún)。此外,動(dòng)態(tài)IP攻擊會(huì )讓基于IP的防護措施失效。通常情況下,可以處理客戶(hù)端JavaScript的開(kāi)源開(kāi)發(fā)工具(如Phantom JS)會(huì )被濫用,發(fā)起暴力破解、證書(shū)填充、DDoS和其它自動(dòng)的機器人程序攻擊。
為了有效管理機器人程序生成的流量,就需要對流量源進(jìn)行唯一標識(就像指紋)。由于機器人程序攻擊采用了多個(gè)事務(wù),指紋就可以幫助企業(yè)追蹤可疑活動(dòng),確定違規分數,并以最小的誤報率做出有把握的攔截/允許決策。
挑戰2:保護API
許多應用可以從與API交互的服務(wù)中采集信息和數據。當通過(guò)API傳輸敏感數據時(shí),50%以上的企業(yè)在檢測網(wǎng)絡(luò )攻擊時(shí)既不會(huì )檢查API也不保護API。
常見(jiàn)的API用例有:
- IoT集成
- 機器對機器通信
- 無(wú)服務(wù)器環(huán)境
- 移動(dòng)應用
- 事件驅動(dòng)應用
API漏洞類(lèi)似于應用漏洞,包括注入、協(xié)議攻擊、參數篡改、無(wú)效重定向和基于機器人程序的攻擊。專(zhuān)用API網(wǎng)關(guān)可以確保通過(guò)API進(jìn)行交互的應用服務(wù)的安全互操作性。然而,他們不能提供WAF所提供的端到端應用安全以及必要的安全控制,如HTTP解析、L7層ACL管理、JSON/XML有效負載的解析和驗證、模式執行和對OWASP十大漏洞的全面覆蓋。這可以通過(guò)采用主動(dòng)和被動(dòng)安全模型提取并檢查關(guān)鍵API值來(lái)實(shí)現。
挑戰3:拒絕服務(wù)
DoS是一種比較陳舊的攻擊矢量,但在攻擊應用時(shí)仍非常有效。犯罪分子可以采用一些吸引人的技術(shù)來(lái)中斷應用服務(wù),如HTTP或HTTPS洪水、低速慢速攻擊(SlowLoris、LOIC、Torshammer)、動(dòng)態(tài)IP攻擊、緩沖區溢出、暴力破解攻擊等。在IoT僵尸網(wǎng)絡(luò )的驅動(dòng)之下,應用層攻擊已經(jīng)成為首選的DDoS攻擊矢量。多數WAF都是有狀態(tài)的設備,他們只能保留一定的容量。然而,他們能夠檢查HTTP/S流量流(一些WAF創(chuàng )建基線(xiàn),對于未知威脅非常有效),檢測攻擊和惡意嘗試。一旦檢測到攻擊,就不會(huì )讓攻擊流量再次進(jìn)入。專(zhuān)用的邊界解決方案可以補充WAF緩解容量的限制,自動(dòng)攔截下一個(gè)錯誤數據包。為了實(shí)現這一點(diǎn),兩個(gè)解決方案必須能夠互相傳送消息:
Radware WAF向外圍攻擊緩解設置發(fā)送攻擊信息
挑戰4:持續安全
應用會(huì )頻繁變化。開(kāi)發(fā)和推出方法,如持續交付,就意味著(zhù)會(huì )不斷地對應用進(jìn)行修改,不需要人工干預或監督。在動(dòng)態(tài)環(huán)境中維持有效的安全策略,保護敏感數據安全,而不產(chǎn)生大量的誤報,這是極其困難的。與Web應用相比,移動(dòng)應用修改更多,用戶(hù)如何得知所使用的第三方應用何時(shí)發(fā)生了變化?
一些人力求獲取更大的可見(jiàn)性,因此他們意識到了風(fēng)險。然而,這并不總是可行的,強勁的應用防護措施必須利用可以映射應用資源的機器學(xué)習功能分析可能的威脅,并在進(jìn)行應用修改時(shí)創(chuàng )建和優(yōu)化安全策略。
總結
由于應用在我們的日常生活中扮演著(zhù)越來(lái)越重要的角色,它們也成為了黑客的首選目標。黑客的潛在收益和企業(yè)的潛在損失是龐大的。現在,鑒于應用和威脅的數量和種類(lèi),保護這些應用的安全極為困難。
幸運的是,現在人工智能可以助我們一臂之力。基于機器學(xué)習的算法提供了實(shí)時(shí)的適應性防護措施,可以防御針對應用的最復雜威脅。他們還可以自動(dòng)更新安全策略,保護Web應用、移動(dòng)應用、云應用以及API的安全,同時(shí)不會(huì )產(chǎn)生誤報。
我們無(wú)法確定下一代應用威脅會(huì )是什么樣子(可能也是基于機器學(xué)習的),但可以確定的是,我們可以現在就采取行動(dòng),進(jìn)一步保護具有巨大商業(yè)價(jià)值的客戶(hù)數據、知識產(chǎn)權和服務(wù)可用性。
關(guān)于Radware
Radware是為物理數據中心、云數據中心和軟件定義數據中心提供網(wǎng)絡(luò )安全和應用交付解決方案的全球領(lǐng)導者。Radware屢獲殊榮的解決方案為全球企業(yè)提供了基礎架構、應用以及企業(yè)IT防護和可用性服務(wù),確保企業(yè)的數字體驗。Radware解決方案幫助全球12,500家以上的企業(yè)和運營(yíng)商客戶(hù)快速應對市場(chǎng)挑戰,保持業(yè)務(wù)連續性,在實(shí)現最高生產(chǎn)效率的同時(shí)有效降低成本。
