Службы CIS, такие как предотвращение DDoS-атак и брандмауэр веб-приложений для защиты шлюза API и решения любых других проблем безопасности.

Обзор

Основой цифрового перехода различных предприятий является программируемый интерфейс приложений (API). Важность API на рабочем месте растет, независимо от того, используются ли они для создания приложений в новых облачных микросервисных и бессерверных архитектурах, для автоматизации межкорпоративной деятельности или в качестве серверной части для мобильных приложений. К сожалению, киберпреступники осознают этот переход к миру, ориентированному на API, и разрабатывают новые методы атак со скоростью, равной скорости расширения API. Поэтому предприятиям срочно необходимо внедрить новые меры безопасности для защиты своих API и других цифровых активов. Сочетание шлюза API с системой управления доступом к API, которая предлагает централизованную точку контроля с тщательно отслеживаемыми политиками и контекстно-зависимым управлением доступом, является идеальным методом защиты ваших API. Организации смогут понять свои конкретные риски, выявить дыры в безопасности и выявить угрозы, если решение по обеспечению безопасности веб-приложений и API будет интегрировано в планирование, реализацию или оптимизацию стратегии информационной безопасности.

Типы рисков безопасности веб-приложений

В зависимости от целей злоумышленника, характера работы, выполняемой целевой организацией, и конкретных недостатков безопасности в приложении, против веб-приложений могут использоваться различные типы атак.

• Недостатки нулевого дня: Эти недостатки пока не обнаружены разработчиком приложения, и исправление пока недоступно. Атаки направлены на то, чтобы как можно скорее воспользоваться этими недостатками, а затем часто пытаются преодолеть защиту поставщиков услуг безопасности.
• SQL-инъекция (SQi). Используя SQL-инъекцию (SQi), злоумышленник может воспользоваться недостатками в способе обработки поисковых запросов в базе данных. Злоумышленники могут изменять или добавлять разрешения пользователей, получать доступ к несанкционированной информации, манипулировать или удалять конфиденциальные данные и многое другое с помощью SQi.

В июле 2022 года в рекомендациях по безопасности была обнародована серьезная проблема с внедрением SQL-кода, затрагивающая продукты SonicWall GMS (Global Management System) и Analytics On-Prem. Ошибка имеет критический рейтинг 9,4 и отслеживается как CVE-2022-22280. Благодаря минимальной сложности атаки и огромному потенциалу вреда, связанного с этой уязвимостью, ею может воспользоваться любой, кто имеет базовые знания о SQL-инъекциях. Для использования CVE-2022-22280 из сети не требуется взаимодействие с пользователем или аутентификация.

• Межсайтовый скриптинг (XSS): это недостаток безопасности, который позволяет злоумышленнику вставлять клиентские скрипты на веб-страницу, чтобы получить прямой доступ к важной информации, выдать себя за пользователя или обмануть пользователя, заставив его раскрыть важную информацию.
• Атаки типа «отказ в обслуживании» (DoS) и распределенные атаки «отказ в обслуживании» (DDoS). Злоумышленники могут использовать несколько различных векторов для наводнения целевого сервера или инфраструктуры вокруг него различными видами атакующего трафика. Сервер начинает работать вяло и в конечном итоге отказывается обслуживать входящие запросы от подлинных пользователей, когда он больше не может эффективно обрабатывать входящие запросы.

Согласно «Отчету об угрозах 2023» компании Check Point, на одну индийскую фирму в среднем приходилось 2146 кибератак в неделю в течение последних шести месяцев, по сравнению с 1239 атаками на организацию во всем мире. Благодаря более быстрому развертыванию цифровых платформ, приложений и сред для удаленной работы из дома, вызванному COVID-19, DDoS-атаки возросли во всем мире. Геополитические кризисы, а именно война России против Украины и ее союзников по НАТО, также связаны со значительным увеличением количества DDoS-атак, особенно в секторах здравоохранения, энергетики и коммунальных услуг, а также логистики и цепочек поставок. Эти возросшие DDoS-атаки нацелены на основную инфраструктуру злоумышленников.

Comcast Business заявила в отчете за 2022 год, что в 2021 году она успешно остановила 24 845 многовекторных DDoS-атак, что на 47% больше, чем в 2020 году. В 2021 году 69% клиентов Comcast подверглись DDoS-атакам, и 55% из них были объектами многовекторных атак. .

В последние годы на мировом рынке распределенных отказов в обслуживании наблюдается значительный рост из-за увеличения количества DDoS-угроз в средах Интернета вещей. Кроме того, рост количества многовекторных DDoS-атак и растущий спрос на облачные и гибридные решения для защиты и смягчения последствий DDoS также считаются основными факторами, способствующими росту в прогнозируемый период.

Чтобы узнать больше об исследовании, посетите:https://www.databridgemarketresearch.com/ru/reports/global-distributed-denial-of-service-market

• Злоупотребление API: Программное обеспечение, которое позволяет двум приложениям соединяться, называется API или интерфейсом прикладного программирования. Как и любое программное обеспечение, они могут содержать недостатки, которые позволяют хакерам вставлять вредоносный код в конкретную программу или перехватывать личную информацию при ее передаче между приложениями. По мере роста использования API этот тип атаки становится все более распространенным.
• Злоупотребление сторонним кодом: Современные веб-приложения часто используют широкий спектр сторонних инструментов. Одним из примеров является [сайт электронной коммерции], использующий стороннюю службу обработки платежей. Если злоумышленник обнаружит уязвимость в одном из этих инструментов, он сможет украсть обрабатываемые им данные, остановить их работу или использовать их для внедрения вредоносного кода в другие части приложения. Этот класс атак включает в себя нападения на магические тележки, которые крадут информацию о кредитных картах у платежных систем. Эти атаки иногда называют атаками на браузеры через цепочку поставок.
• Парсинг страницы: Злоумышленники также могут использовать ботов для удаления существенного контента с веб-сайтов. Они могут использовать эту информацию, чтобы снизить цены конкурентов, выдать себя за владельца страницы во зло или в других целях.
• Повреждение памяти: Повреждение памяти — это непреднамеренное изменение участка памяти, которое может привести к неожиданному поведению программного обеспечения. Злоумышленники будут пытаться обнаружить повреждение памяти и использовать такие эксплойты, как внедрение кода или атаки на переполнение буфера, в своих интересах.
• Переполнение буфера. Программная аномалия, известная как буфер, возникает, когда данные записываются в назначенную область памяти. Данные перезаписываются в близлежащие области памяти, когда буфер достигает своего предела. Такое поведение может быть использовано для внедрения вредоносного кода в память целевой машины, что может привести к возникновению уязвимости.

В августе 2023 года Ivanti Avalanche, инструмент управления корпоративной мобильностью (EMM), созданный для управления, наблюдения и защиты различных мобильных устройств, пострадал от двух переполнений стекового буфера, имеющих общую метку CVE-2023-32560. Уязвимости доступны для удаленного использования без аутентификации пользователя и классифицируются как критические (CVSS v3: 9.8), что позволяет злоумышленникам запускать произвольный код в целевой системе.

• CSRF (подделка межсайтового запроса): подделка межсайтового запроса осуществляется путем обмана, заставляющего жертву отправить запрос с использованием ее аутентификации или авторизации. Злоумышленник может отправить запрос под видом пользователя, используя права учетной записи пользователя. Получив доступ к учетной записи пользователя, злоумышленник может получить доступ к конфиденциальным данным, удалить или изменить их. Цели часто включают учетные записи с высокой степенью защиты, например администраторов или руководителей.
• Наполнение учетными данными: Злоумышленники могут использовать ботов для быстрого ввода огромного количества украденных комбинаций имени пользователя и пароля на порталы входа в онлайн-приложения. Это известно как «вброс учетных данных». Если благодаря этой практике злоумышленник сможет получить доступ к реальной учетной записи пользователя, он может украсть данные пользователя или провести мошеннические транзакции, используя имя пользователя.
• Неправильные конфигурации поверхности атаки: Серверы, устройства, SaaS и облачные ресурсы, доступные через Интернет, составляют всю ИТ-инфраструктуру организации, которая подвержена кибератакам. Поверхность атаки может оставаться уязвимой из-за отсутствия или настройки некоторых компонентов.

Стратегии безопасности веб-приложений

• Защита от DDoS-атак: Службы по предотвращению DDoS-атак используют специализированные фильтры и высокую пропускную способность, чтобы стоять между сервером и общедоступным Интернетом, не позволяя всплескам вредоносного трафика захлестнуть сервер. Эти услуги имеют решающее значение, поскольку некоторые современные DDoS-атаки генерируют достаточный вредоносный трафик, чтобы заполонить даже самые устойчивые серверы.
• Управление ботом: Этот метод отделяет автоматизированный трафик от пользователей-людей и запрещает первым доступ к веб-приложению с использованием машинного обучения и других специализированных методов обнаружения.

В последние годы на рынке обнаружения ботнетов наблюдается значительный рост благодаря растущему использованию API в нескольких онлайн-бизнесах, а именно в играх, электронной коммерции и других. Таким образом, непрерывный мониторинг запросов API, реализация архитектуры с нулевым доверием и внедрение методов мгновенного устранения вредоносных ботов — это несколько способов защитить API от атак ботов.

Согласно анализу Data Bridge Market Research, глобальный рынок обнаружения ботнетов, по прогнозам, будет расти со среднегодовым темпом роста (CAGR) на 38,30% в период с 2022 по 2029 год.

Чтобы узнать больше об исследовании, посетите:https://www.databridgemarketresearch.com/ru/reports/global-botnet-detection-market

• Брандмауэры веб-приложений (WAF): Эти устройства блокируют трафик, который, как известно, использует известные или предполагаемые уязвимости веб-приложений. Быстрое и скрытое появление новых уязвимостей делает WAF критически важными, поскольку практически ни одна организация не может обнаружить их самостоятельно.
• Управление основными компонентами процесса шифрования SSL/TLS, такими как создание закрытых ключей, обновление сертификатов и отзыв сертификатов из-за ошибок третьей стороны. Это исключает вероятность того, что определенные компоненты будут пропущены и подвергнутся раскрытию конфиденциального трафика.
• API-шлюзы: Эти инструменты могут находить пропущенные «теневые API» и останавливать трафик, который, как известно или предположительно, направлен на использование уязвимостей API. Они помогают управлять и отслеживать трафик API.

В последние годы на рынке управления интерфейсами прикладного программирования (API) наблюдается значительный рост из-за растущей потребности в API для ускорения цифровой трансформации и развития гибридного и мультиоблачного управления API для предприятий для удовлетворения спроса пользователей, что еще больше дополнит рост рынка в прогнозируемом периоде. Согласно анализу Data Bridge Market Research, прогнозируется, что глобальный рынок прогнозной аналитики будет расти со среднегодовыми темпами роста (CAGR) на уровне 31,05% в период с 2023 по 2030 год.

Чтобы узнать больше об исследовании, посетите:https://www.databridgemarketresearch.com/ru/reports/global-api-management-market

• DNSSEC: Технология, которая обеспечивает DNS-связь для веб-приложения, соответствующим образом направляется на нужные серверы, защищая пользователей от перехвата злоумышленником на пути.
• Безопасность на стороне клиента: Это помогает организациям раньше обнаруживать вредоносное поведение путем проверки новых сторонних зависимостей JavaScript и изменений в стороннем коде.
• Управление поверхностью атаки: Используйте одно место, чтобы составить карту поверхности атаки, найти потенциальные проблемы безопасности и быстро снизить эти риски с помощью эффективных инструментов управления поверхностью атаки.

Идеальные методы обеспечения безопасности приложений для разных предприятий

• Обеспечение безопасной авторизации и аутентификации: Встроенные и применяемые строгие правила безопасности паролей, варианты многофакторной аутентификации, включающие аппаратные ключи, функции контроля доступа и другие процедуры, усложняют злоумышленникам получение несанкционированного доступа к учетным записям пользователей и перемещение в горизонтальном направлении внутри вашего приложения.
• Требование проверки ввода: Предотвращение проникновения вредоносного кода в приложение посредством атаки путем внедрения, предотвращая обработку неправильно отформатированных данных рабочими процессами приложения.
• Использование новейших методов шифрования: Хранение пользовательских данных в зашифрованном формате и использование HTTPS для шифрования передачи как входящего, так и исходящего трафика помогают предотвратить кражу данных хакерами.
• Документация по изменению кодирования: Это позволяет группам безопасности и разработчиков быстро устранять вновь обнаруженные уязвимости.
• API мониторинга: существуют инструменты для поиска «теневых API», которые остались незамеченными, но могут стать поверхностью атаки; однако безопасность API упрощается, если API никогда не пропускаются

Использование служб критического контроля безопасности (CIS) в различных отраслях

Компании из многих отраслей, в том числе со строгими правилами, могут использовать Bot Management и другие продукты CIS на базе Cloudflare для удовлетворения требований безопасности, производительности и устойчивости. Например:

• Здравоохранение – Согласно отчету IBM Cost of a Data Breach Report, средняя стоимость утечки данных в секторе здравоохранения выросла с 10,10 млн долларов США в 2022 году до 10,93 млн долларов США в 2023 году, что представляет собой рост на 8,2%. Услуги CIS еще более важны для предотвращения этих дорогостоящих атак, поскольку здравоохранение имеет самую большую цену за утечку данных тринадцатый год подряд. Клиенты в сфере здравоохранения могут использовать комбинацию CIS DDoS, WAF и управления ботами, чтобы помочь смягчить сложные атаки вредоносных программ-ботов.
• Финансовые услуги - Банки и другие финансовые учреждения могут использовать службы CIS, такие как защита от DDoS-атак и брандмауэр веб-приложений (WAF), для решения проблем безопасности. Клиенты могут защитить свои интернет-приложения от различных эксплойтов, включая атаки «нулевого дня», используя готовые политики брандмауэра веб-приложений (WAF).
• электронная коммерция - Растущее использование API в электронной коммерции также повышает вероятность возникновения проблем с безопасностью API. Шлюзы API могут быть защищены организациями электронной коммерции, использующими сервисы CIS для защиты от DDoS.
• Высшее образование - Большие объемы данных обо всех студентах, преподавателях и выпускниках размещаются образовательными организациями в их обширных сетях, особенно высшими учебными заведениями. Киберпреступники могут затем использовать эти данные для дальнейших атак на конкретные цели или более масштабных схем против учреждений в целом.
• Строительство - Строительный бизнес страдает от работников, «склонных к фишингу». Тип данных, которые собирает строительная отрасль, служит источником вдохновения для таких атак. Киберзлоумышленники заинтересованы в личных данных и ценной информации, такой как деловые тайны, графики строительства, сметы затрат и предложения по проектам, среди прочего. Украденная деловая информация может привести к серьезным травмам и финансовым потерям. Система контроля СНГ направлена ​​на устранение проблем и слабых мест, существующих в секторе.
• Автомобильная промышленность - Сегодня автомобильная промышленность рассматривает подключенные и автономные транспортные средства как интеллектуальные машины, собирающие большие объемы телеметрических данных. У этой отрасли есть мотив более внимательно присмотреться к безопасности API из-за утечек уязвимостей и доказательств концептуальных эксплойтов на основе API.
• Малые и средние компании не представляют отрасль, поскольку могут принадлежать к любым подкатегориям. Хотя может показаться логичным, что хакеров меньше привлекают более мелкие «организации» с относительно менее ценными активами, чем более крупные предприятия, это далеко не так. По данным Verizon, в 2020 году на долю небольших фирм пришлось ошеломляющие 28% всех утечек данных. Малые фирмы часто имеют меньше денег и обрабатывают меньше данных, чем крупные предприятия, но у них также есть менее надежные решения для обеспечения безопасности. Более того, на многих малых предприятиях кибербезопасность отсутствует или отсутствует.

Стратегические инициативы разных компаний

• В августе 2023 года Cloudflare заявила, что IBM Cloud Internet Services (CIS) на базе Cloudflare расширила спектр предлагаемых услуг, включая Cloudflare Bot Management, которое теперь доступно предприятиям в рамках плана Enterprise Premier, чтобы помочь им решать проблемы и противодействовать им. растущая угроза, которую представляет вредоносный трафик ботов
• В июне 2023 года SecureIQLab, поставщик услуг облачной проверки, выпустил третью итерацию тестирования брандмауэра веб-приложений (WAF 3.0). В эту версию будут включены первые в своем роде тесты безопасности API. Ведущие на рынке решения по обеспечению безопасности будут оцениваться WAF 3.0 на предмет их способности противостоять сегодняшнему сложному сценарию киберугроз.
• В мае 2023 года Radware представила новое решение Cloud Web DDoS Protection. Современные методы смягчения последствий DDoS уступают место новому виду более агрессивных атак HTTPS Flood уровня 7 (L7), обычно называемых атаками Web DDoS Tsunami. Данный подход призван устранить этот пробел. Он сводит к минимуму ложные срабатывания и обеспечивает широкий охват атак от атак нулевого дня и наиболее сложных атак.
• В апреле 2023 года компания Edgio разработала усовершенствованную систему управления ботами, которая обеспечивает возможность наблюдения за хорошими ботами и одновременно активно подавляет появление множества новых плохих ботов. Advanced Bot Manager использует машинное обучение для идентификации ботов на основе сигнатур и поведенческих отпечатков пальцев, используя огромные объемы данных, постоянно собираемых в ходе масштабного глобального развертывания платформы. Чтобы анализировать весь трафик ботов в режиме реального времени по всей глобальной сети Edgio, решение работает на каждом сервере.
• В октябре 2022 года Akamai запустила решение распределенной защиты от атак типа «отказ в обслуживании» (DDoS) под названием Prolexic, новую платформу шестого поколения. Это полностью программно определяемая, высокопроизводительная, масштабируемая архитектура, которая повышает способность удовлетворять меняющиеся потребности потребителей и будущие требования кибербезопасности.

Заключение

По мере того как предприятия переходят в облако, что позволяет оцифровывать огромные наборы данных, услуг и товаров, безопасность API станет все более важной в 2023 году и в последующий период. Благодаря этому изменению увеличивается поверхность атаки уязвимых API, что требует усиления защиты служб API для защиты бизнес-операций, клиентов и данных. В сообществе кибербезопасности и во многих организациях безопасность API поднимается в списке приоритетов. Безопасность API в настоящее время является очень важной проблемой, поскольку открытые или неправильно настроенные API дают злоумышленникам отличный шанс проникнуть в сеть.