應(yīng)用威脅現(xiàn)狀正在迅速發(fā)展。多年來，用戶一直利用Web瀏覽器等常用工具使用互聯(lián)網(wǎng)應(yīng)用。任何時(shí)候，都需要支持2-5個(gè)Web瀏覽器，應(yīng)用開發(fā)和測試框架的多樣性也相對有限。例如，幾乎所有的數(shù)據(jù)庫都是使用SQL語言創(chuàng)建的。令人遺憾的是，就在不久前，為了竊取、刪除并修改數(shù)據(jù)，黑客已經(jīng)開始濫用應(yīng)用了。他們以不同方式利用應(yīng)用，主要是欺騙應(yīng)用用戶、注入或遠(yuǎn)程執(zhí)行代碼。不久之后，名為Web應(yīng)用防火墻(WAF)的商業(yè)化解決方案出現(xiàn)了，該團(tuán)體為此創(chuàng)建了開放Web應(yīng)用安全項(xiàng)目(OWASP)，用于設(shè)置并維護(hù)安全應(yīng)用的標(biāo)準(zhǔn)和方法。

[[238708]]

基本應(yīng)用防護(hù)措施

OWASP十大攻擊列表為防御最常見和最致命的威脅和可能導(dǎo)致漏洞的應(yīng)用配置錯(cuò)誤的防護(hù)措施提供了出發(fā)點(diǎn)、檢測戰(zhàn)術(shù)和緩解措施。此列表可以作為應(yīng)用安全行業(yè)的行業(yè)標(biāo)桿，并定義了WAF所需的基本功能。

此外，還有其他針對Web應(yīng)用的常見攻擊，如：CSRF、點(diǎn)擊劫持、Web抓取和文件包含(RFI/LFI)。

確?，F(xiàn)代應(yīng)用安全的挑戰(zhàn)

目前，應(yīng)用不僅僅只是基于Web的。還有許多云應(yīng)用、移動(dòng)應(yīng)用、API，甚至是最新架構(gòu)中的單個(gè)功能，都可以創(chuàng)建、修改并處理數(shù)據(jù)，因此必須進(jìn)行同步和監(jiān)督。新技術(shù)和框架為應(yīng)用生命周期帶來了新的挑戰(zhàn)。包括DevOps、容器、物聯(lián)網(wǎng)(IoT)、開源工具和API等。

各種技術(shù)位置的分散為信息安全專業(yè)人員和不能再依賴“一刀切”方法的解決方案廠商都帶來了非常復(fù)雜的挑戰(zhàn)。為了最大限度地減少誤報(bào)并優(yōu)化客戶體驗(yàn)，解決方案必須了解所保護(hù)的應(yīng)用所處的業(yè)務(wù)環(huán)境。

一個(gè)黑客的最終目標(biāo)通常是竊取數(shù)據(jù)或中斷應(yīng)用服務(wù)。他們也會受益于技術(shù)進(jìn)步。首先，他會創(chuàng)建更多潛在的漏洞和薄弱點(diǎn)，其次，他們可以采用更多的工具和知識來克服傳統(tǒng)的安全探試程序。企業(yè)將面臨更大的攻擊面和更大的暴露風(fēng)險(xiǎn)。隨著應(yīng)用的不斷變化，安全策略必須與時(shí)俱進(jìn)。

因此，應(yīng)用必須得到充分保護(hù)，防御不斷增多的攻擊方法和攻擊源，并且必須能夠在緩解自動(dòng)攻擊時(shí)實(shí)時(shí)做出有把握的決策。其結(jié)果就是增加了人工勞動(dòng)和運(yùn)維成本，同時(shí)降低了整體的安全性。對安全廠商而言，需要克服的挑戰(zhàn)更多。

挑戰(zhàn)1：機(jī)器人程序管理

根據(jù)Radware Web應(yīng)用安全報(bào)告，幾乎60%的互聯(lián)網(wǎng)流量都是機(jī)器人程序生成的，其中一半流量是由“不良”機(jī)器人程序造成的。企業(yè)不得不增加網(wǎng)絡(luò)容量來滿足這些虛擬需求。準(zhǔn)確區(qū)分人為流量和機(jī)器人程序生成的流量以及準(zhǔn)確區(qū)分“良性”機(jī)器人程序(如搜索引擎和比價(jià)服務(wù))和“不良”機(jī)器人程序可以極大地節(jié)省成本并提高客戶體驗(yàn)。

現(xiàn)在，機(jī)器人程序并不會放你一馬，他們可以模仿人類行為，繞過CAPTCHA和其它質(zhì)詢。此外，動(dòng)態(tài)IP攻擊會讓基于IP的防護(hù)措施失效。通常情況下，可以處理客戶端JavaScript的開源開發(fā)工具(如Phantom JS)會被濫用，發(fā)起暴力破解、證書填充、DDoS和其它自動(dòng)的機(jī)器人程序攻擊。

為了有效管理機(jī)器人程序生成的流量，就需要對流量源進(jìn)行唯一標(biāo)識(就像指紋)。由于機(jī)器人程序攻擊采用了多個(gè)事務(wù)，指紋就可以幫助企業(yè)追蹤可疑活動(dòng)，確定違規(guī)分?jǐn)?shù)，并以最小的誤報(bào)率做出有把握的攔截/允許決策。

挑戰(zhàn)2：保護(hù)API

許多應(yīng)用可以從與API交互的服務(wù)中采集信息和數(shù)據(jù)。當(dāng)通過API傳輸敏感數(shù)據(jù)時(shí)，50%以上的企業(yè)在檢測網(wǎng)絡(luò)攻擊時(shí)既不會檢查API也不保護(hù)API。

常見的API用例有：

• IoT集成

• 機(jī)器對機(jī)器通信

• 無服務(wù)器環(huán)境

• 移動(dòng)應(yīng)用

• 事件驅(qū)動(dòng)應(yīng)用

API漏洞類似于應(yīng)用漏洞，包括注入、協(xié)議攻擊、參數(shù)篡改、無效重定向和基于機(jī)器人程序的攻擊。專用API網(wǎng)關(guān)可以確保通過API進(jìn)行交互的應(yīng)用服務(wù)的安全互操作性。然而，他們不能提供WAF所提供的端到端應(yīng)用安全以及必要的安全控制，如HTTP解析、L7層ACL管理、JSON/XML有效負(fù)載的解析和驗(yàn)證、模式執(zhí)行和對OWASP十大漏洞的全面覆蓋。這可以通過采用主動(dòng)和被動(dòng)安全模型提取并檢查關(guān)鍵API值來實(shí)現(xiàn)。

挑戰(zhàn)3：拒絕服務(wù)

DoS是一種比較陳舊的攻擊矢量，但在攻擊應(yīng)用時(shí)仍非常有效。犯罪分子可以采用一些吸引人的技術(shù)來中斷應(yīng)用服務(wù)，如HTTP或HTTPS洪水、低速慢速攻擊(SlowLoris、LOIC、Torshammer)、動(dòng)態(tài)IP攻擊、緩沖區(qū)溢出、暴力破解攻擊等。在IoT僵尸網(wǎng)絡(luò)的驅(qū)動(dòng)之下，應(yīng)用層攻擊已經(jīng)成為首選的DDoS攻擊矢量。多數(shù)WAF都是有狀態(tài)的設(shè)備，他們只能保留一定的容量。然而，他們能夠檢查HTTP/S流量流(一些WAF創(chuàng)建基線，對于未知威脅非常有效)，檢測攻擊和惡意嘗試。一旦檢測到攻擊，就不會讓攻擊流量再次進(jìn)入。專用的邊界解決方案可以補(bǔ)充WAF緩解容量的限制，自動(dòng)攔截下一個(gè)錯(cuò)誤數(shù)據(jù)包。為了實(shí)現(xiàn)這一點(diǎn)，兩個(gè)解決方案必須能夠互相傳送消息：

Radware WAF向外圍攻擊緩解設(shè)置發(fā)送攻擊信息

挑戰(zhàn)4：持續(xù)安全

應(yīng)用會頻繁變化。開發(fā)和推出方法，如持續(xù)交付，就意味著會不斷地對應(yīng)用進(jìn)行修改，不需要人工干預(yù)或監(jiān)督。在動(dòng)態(tài)環(huán)境中維持有效的安全策略，保護(hù)敏感數(shù)據(jù)安全，而不產(chǎn)生大量的誤報(bào)，這是極其困難的。與Web應(yīng)用相比，移動(dòng)應(yīng)用修改更多，用戶如何得知所使用的第三方應(yīng)用何時(shí)發(fā)生了變化?

一些人力求獲取更大的可見性，因此他們意識到了風(fēng)險(xiǎn)。然而，這并不總是可行的，強(qiáng)勁的應(yīng)用防護(hù)措施必須利用可以映射應(yīng)用資源的機(jī)器學(xué)習(xí)功能分析可能的威脅，并在進(jìn)行應(yīng)用修改時(shí)創(chuàng)建和優(yōu)化安全策略。

總結(jié)

由于應(yīng)用在我們的日常生活中扮演著越來越重要的角色，它們也成為了黑客的首選目標(biāo)。黑客的潛在收益和企業(yè)的潛在損失是龐大的?，F(xiàn)在，鑒于應(yīng)用和威脅的數(shù)量和種類，保護(hù)這些應(yīng)用的安全極為困難。

幸運(yùn)的是，現(xiàn)在人工智能可以助我們一臂之力?；跈C(jī)器學(xué)習(xí)的算法提供了實(shí)時(shí)的適應(yīng)性防護(hù)措施，可以防御針對應(yīng)用的最復(fù)雜威脅。他們還可以自動(dòng)更新安全策略，保護(hù)Web應(yīng)用、移動(dòng)應(yīng)用、云應(yīng)用以及API的安全，同時(shí)不會產(chǎn)生誤報(bào)。

我們無法確定下一代應(yīng)用威脅會是什么樣子(可能也是基于機(jī)器學(xué)習(xí)的)，但可以確定的是，我們可以現(xiàn)在就采取行動(dòng)，進(jìn)一步保護(hù)具有巨大商業(yè)價(jià)值的客戶數(shù)據(jù)、知識產(chǎn)權(quán)和服務(wù)可用性。