Веб-приложения редко создаются с учетом безопасности. Тем не менее, мы используем их ежедневно для выполнения всевозможных критически важных функций, что делает их удобной мишенью для хакеров.
Учитывая критический характер веб-приложений и API, а также данных, которые они содержат, эксплуатируемые или незащищенные приложения могут привести к перебоям в работе бизнеса, финансовым потерям и коллапсу критически важной инфраструктуры.
Результаты недавно опубликованного Cloudflare отчета Состояние безопасности приложений показывают, что организации ведут борьбу, используя устаревшие подходы к обеспечению безопасности веб-приложений и API, в то время как злоумышленники, создающие онлайн-угрозы, действуют эффективнее и быстрее, чем когда-либо. Исследование было основано на агрегированных характеристиках трафика (за период с апреля 2023 г. по март 2024 г.) глобальной сети Cloudflare, на основе которой ежедневно выявляется и блокируется 209 миллиардов киберугроз.
В данной статье освещаются три ключевые тенденции, освещенные в отчете, которые требуют неотложного внимания и действий со стороны директоров по ИБ.
Потребители и конечные пользователи ожидают динамичного взаимодействия с веб-сайтами и мобильными устройствами, которые все больше совершенствуются и работают на основе API. Для коммерческих организаций API обеспечивают конкурентные преимущества: более высокий уровень бизнес-аналитики, быстрое развертывание в облаке, интеграция новых возможностей искусственного интеллекта и многое другое.
Тем не менее, для многих безопасность API отстает от быстрого темпа развертывания API. Cloudflare использует модели машинного обучения для выявления трафика API, который в противном случае мог бы остаться неучтенным. Согласно данному отчету, организации имели на 33 % больше общедоступных конечных точек API, чем им было известно. (Это число было рассчитано путем сравнения количества конечных точек API, выявленного с помощью обнаружения на основе машинного обучения, с количеством идентификаторов сеанса, предоставленных клиентом.)
Несмотря на то, что проблемы безопасности API и веб-приложений отличаются, мы обнаружили, что 66,6 % трафика API , защищенного той или иной формой безопасности прикладного уровня 7, в первую очередь защищено традиционными правилами негативной безопасности WAF, а не специализированными правилами API, использующими модель позитивной безопасности. Модели негативной безопасности работают, блокируя вредоносный трафик и разр ешая весь остальной трафик, в то время как модели позитивной безопасности указывают, какой трафик явно разрешен, при этом запрещая все остальное.
По мере того как компании предоставляют все больше сервисов через API, им следует дополнять инструменты безопасности веб-приложений (такие как WAF и DDoS) специально разработанными средствами безопасности и управления API, усиленными неконтролируемым машинным обучением.
Вместо того чтобы полагаться на правила модели негативной безопасности для защиты API, лучшие отраслевые практики рекомендуют защищать API с помощью модели позитивной безопасности. Модель позитивной безопасности для безопасности API позволяет организациям защищать API, принимая только трафик, который подтверждает установку схем OpenAPI, при этом блокируя неверно сформированные запросы и аномалии HTTP, которые могут содержать атаки.
Продолжайте укреплять свои средства безопасности API, выполняя обнаружение теневых API. Надежный инструмент безопасности API должен постоянно сканировать каждый общедоступный API в вашей среде, даже неуправляемый или незащищенный.
Веб-приложения большинства организаций используют отдельные фрагменты кода сторонних поставщиков (часто JavaScript). Использование сторонних скриптов ускоряет разработку современных веб-приложений и позволяет организациям быстрее выводить функции на рынок без необходимости создавать все новые функции приложений собственными силами.
Недавнее исследование показывает, что средний веб-сайт клиента Cloudflare содержит 47 сторонних скриптов, 50 подключений к функциям JavaScript и их назначению, а также обслуживает 12 файлов cookie.
Сторонний код, а также файлы cookie представляют собой угрозу безопасности для посетителей вашего веб-сайта в связи с тем, что этот код часто загружается в браузер пользователя, и файлы cookie могут быть изменены, например, для захвата сеанса или учетной записи. Злоумышленники могут получить доступ для изменения кода компонентов JavaScript, используемых на веб-сайте, различными способами, такими как использование украденных учетных данных или применение zero-day или незакрытых уязвимостей. Затем они используют этот привилегированный доступ для запуска нисходящей атаки на каждый веб-сайт, использующий этот код JavaScript.
Найдите поставщика средств безопасности, который автоматически выявляет риски, связанные со сторонними скриптами, и предоставляет полное единое представление на информационной панели всех основных файлов cookie, используемых вашими веб-сайтами.
В среднем на боты приходится треть (31,2 %) всего трафика приложений, обрабатываемого Cloudflare. Этот процент оставался относительно постоянным (около 30 %) в течение последних трех лет.
Термин «трафик ботов» может иметь негативный оттенок, но на самом деле трафик ботов не обязательно является полезным или вредоносным; все зависит от цели бота. Некоторые из ботов являются полезными и оказывают необходимую поддержку сервису, например чат-боты службы поддержки клиентов и авторизованные поисковые роботы. Но некоторые боты используют онлайн-продукт или услугу не по назначению, и их необходимо блокировать, учитывая потенциальный ущерб для доходов. Фактически, типичный бизнес в США и Великобритании ежегодно теряет более 4 % своего онлайн-дохода из-за атак вредоносных ботов.
В этих отраслях наблюдается самая высокая ежедневная медианная доля трафика ботов:
Источник изображения: Состояние безопасности приложений, 2024 г.
Если в вашей отрасли наблюдается больший объем трафика ботов, рассмотрите возможность увеличения инвестиций в управление ботами, чтобы превентивно предотвращать угрозы от вредоносных ботов.
Ищите сервис управления ботами, который:
Выполняет точную идентификацию ботов в любом масштабе за счет применения поведенческого анализа, машинного обучения и цифровых отпечатков к разнообразным и обширным объемам данных
Легко интегрируется с другими сервисами безопасности и производительности веб-приложений (например, WAF, CDN, DDoS)
Позволяет полезным ботам, например ботам поисковых систем, посещать ваш сайт, но не пропускает вредоносный трафик
Многие организации имеют в своем арсенале устаревшее аппаратное обеспечение безопасности, облачно-ориентированную систему безопасности и собственные средства безопасности для решения всех проблем безопасности приложений. Однако такой фрагментированный подход затрудняет подключение и защиту SaaS , веб-приложений и другой ИТ-инфраструктуры. Разрастание ИТ облегчает злоумышленникам поиск и использование уязвимостей. Подход на основе консолидированной платформы помогает обеспечить более высокий уровень безопасности, подключение без задержек, способствует ускорению роста бизнеса, позволяя организациям соблюдать местные нормативные требования при выходе на новые рынки, а также укрепить доверие клиентов.
Безопасность приложений (Application Security) от Cloudflare защищает приложения и API от вредоносных действий, останавливает вредоносные боты, предотвращает DDoS-атаки и отслеживает подозрительный вредоносный трафик и атаки на цепочку поставок в браузере. Наши продукты по обеспечению безопасности приложений тесно взаимодействуют с нашим набором средств обеспечения производительности, и все они предоставляются с помощью connectivity cloud от Cloudflare — следующего этапа эволюции общедоступного облака, обеспечивающего единую интеллектуальную платформу программируемых компонуемых сервисов в единой программируемой глобальной облачной сети.
Данная статья является частью серии, посвященной последним тенденциям и темам, затрагивающим лиц, принимающих на сегодняшний день решения в сфере технологий.
После прочтения этой статьи вы будете понимать:
Роль приложений и API в современном бизнесе и коммуникациях
3 новые тенденции в области веб-приложений и API , требующие неотложного внимания со стороны директоров по ИБ
Практические рекомендации, которые помогут организациям опережать угрозы
Узнайте больше о том, как модернизировать стек безопасности приложений и защитить своих посетителей веб-сайтов и данные, где бы они ни находились, в отчете Состояние безопасности приложений, 2024 г. .