یک WAF پیشرفته برای تهدیدات پیشرفته لایه Application نیاز است
در صورتی که با اخبار و حواشی حملات صورت گرفته همراه باشید شاهد این واقعیت هستیم که چشم انداز تهدیدات نسبت به چیزی که در 5 سال پیش بود بسیار تغییر کرده است . WAF های قدیمی یک راه حل بسیار موثر برای جلوگیری از حملات لایه Application بودند, اما در حال حاضر برای مقابله با مهاجمینی که از تکنیک های پیشرفته استفاده میکنند و چابکی فراوانی دارند دچار مشکل شده اند .در دنیای امروز نیازمند روشهایی جدید برای کاهش تهدیداتی که به سرعت در حال رشد هستند میباشیم.
چرا WAF های قدیمی کار آمد نیستند؟
WAF های سنتی برای رسیدگی به مسائل امنیتی وب سرور های در حال اجرای کد که نسبت به تعداد زیادی از حملات شناخته شده به ویژه Cross site scripting و Sql injection اسیب پذیر شدند. در سویی دیگرWAFهای متن باز اغلب هدف حملاتی از جمله حملات Bypass یا تکنیک های گریز از مکانیزم های مبتنی بر فیلتر که درخواست های مخرب را شناسایی می کند هستند.
فایروالهای نسل بعدی (Next-Generation Firewall)ادعا می کنند که می توانند با استفاده از ویژگی هایی از قبیل Application-aware و همچنین قابلیت جلوگیری از حملات تزریق XSS،SQLi و… می باشد .اما NGFW همچنان از فیلتر های غیر فعال استفاده می کنند و تمام درخواست های HTTP را بررسی نمی کنند. درعوض به شدت شبیه IPS عمل می کند و تمام درخواست Payload را به طور کامل چک نمی کنند بلکه فقط چند بایت اول را بررسی می کنند. در نتیجه حملات Payload لایه Application برای تکنولوژی NGFW غیر قابل شناسایی به نظر می رسند.
تکنولوژی WAF در طول سالهای متوالی بهبود یافته است, اما همچنان از روش های مبتنی بر فیلتر برای شناسایی payload های آلوده و بررسی تطابق پروتکل ها در درخواست های وب استفاده می کند. بسیاری از آسیب پذیری های برجسته, به دلیل عدم انتشار وصله های امنیتی و عدم پیاده سازی سیاست های WAF در زمان درست، سازمانها و شرکتها را دچار مشکل کرده است.
پیشرفت تکنولوژی اتوماسیون و راحتی استفاده از آن شناسایی Botnet master ها,تشخیص تهدیدات و از بین بردن این چالش ها را برای ما دشوارتر ساخته است. تکنولوژی اتوماسیون مانند یک مرورگر مدیریت نشده تشخیص تمایز میان انسان و بات را ،حتی در زمان استفاده از Capcha دشوار می سازد. بات نت ها به راحتی در مواردی مانند دستگاه های IOT, مودم ها و مرورگر های وب که تقریبا در تشخیص و کاهش حملات بات نت ها بی دفاع هستند ,ایجاد می شوند.
تهدیدات خودکار موجب حملات امروزی میشوند
منبع اکثر حملات، صرف نظر از نوع آنها، خودکار است. حملات DDOS , Data breaches،Credential stuffing،Brut force،Resource hoarding و انواع دیگر حملات تقریبا همگی خودکار هستند. مهاجمان از اتوماسیون برای انجام حملات گسترده استفاده میکنند با وجود اینکه ممکن است نسبت به سازمانی که مورد هدف قرار داده اند سرمایه های انسانی و مالی کمتری داشته باشند. بسیاری از مواقع این حملات شامل هیچ Payload مخربی نیست و فقط برای عبور از خطوط دفاعی ایجاد می شوند.
حمله های DDOS لایه Application یکی از رایج ترین حملات است زیرا این حمله زمانی رخ میدهد که حجم زیادی از تقاضای کاذب عمدا به سمت سرور مورد هدف ،ارسال شود، تا آن سرور از کار بیفتد و به سادگی به زیر ساخت های نرم افزار دسترسی پیدا کند. به طور مشابه, Credential stuffing(استفاده اتوماتیک از نام کاربری و رمز عبوری که در معرض خطر است)و حمله بروت فورس برای عبور از سیستم تایید هویت توسط مهاجم به صورت درخواست مجاز ایجاد می شود.
هدف ممکن است یک صفحه ورود به سیستم باشد, همانطور که در بروت فورس,Credential stuffing یا یک URL سنگین که به عنوان حمله DOS لایه Application مورد استفاده قرار می گیرد. در حمله Resource hoarding,مهاجم ممکن است یک صفحه خرید اینترنتی را برای بلیط, کفش یا چیز های دیگر هدف قرار دهد. حمله Scraping به طور مشابه داده ها را مورد هدف قرار میدهد تا در آینده از آنها استفاده کنند. این حمله های هدفمند نه تنها تشخیص شان دشوار است بلکه به منابع دسترسی پیدا کرده و از آن ها استفاده قرار می دهند.
اغلب مرورگر ها ضعیف ترین بخش در امنیت برنامه ها هستند. مهاجمان سعی می کنند که کاربران را از طریق جاسازی حمله فیشینگ در پیام های ایمیل یا پست های شبکه اجتماعی به خطر بیاندازند. کلیک کردن روی لینک های مخرب باعث می شود تا مهاجمان بدافزار های خود را روی دستگاه های مخرب انتقال دهند.
به طور معمول این بدافزار ها از RAT(Remote Access Trojan),Keylogger یا روش های دیگر برای جمع آوری داده ها بدست می آیند. این روش ها به مهاجم اجازه می دهد تا داده های حساس مانند نام کاربری و رمز عبور، لیست های تماس و اطلاعات دیگر را برداشت کند. محافظت از کاربر در برابر سرقت مدارک هنگامی که یک مرورگر یا موبایل کلاینت باشد ,یک وظیفه دشوارو دلهره اور است.
کاربران اغلب نمی دانند که دستگاه آن ها به خطر افتاده است و هنوز فکر می کنند که سرویس اینترنت از داده های حساس آن ها محافظت می کند .در حالی که رمزنگاری HTTPS حفاظت از داده ها را در حمل و نقل فراهم می کند، اما وقتی وارد نقطه پایانی می شود این حفاظت دیگر انجام نمی شود.
به کار گیری امنیت کنترل شده قوی تر
WAF باید مجهز به کنترل امنیتی فعال باشد. خبر خوب این است که,WAF های پیشرفت F5 ازCountermeasures برای تشخیص و جلوگیری از تهدیدات لایه Application استفاده می کنند.
با ثبت مشخصات یک ترافیک عادی، تشخیص الگوهای ترافیکی غیرعادی آسان تر می شود .درست همان طور که اتوماسیون قابلیت های مهاجم را افزایش داده است، این تکنولوژی ها می توانند ترافیک غیر عادی را به گونه ای که یک مهندس امنیت انسانی هرگز نمی تواند ,تشخیص دهند.WAF های پیشرفته F5 از تجزیه و تحلیل های پیشرفته ماشین برای ایجاد سیگنچرهای پویا استفاده می کند که بدون مداخله مدیر مانع ترافیک های مخرب می شوند.با استفاده از JavaScript injection تشخیص اینکه آیا کاربر یک ربات است راحت می سازد,WAF پیشرفته یک Fingerprint ایجاد می کند وامکان تشخیص آسان تر ربات ها و دیگر ابزارهای خودکار را برای ما فراهم می سازد.
Bot های فعال از چالشهای WAF های پیشرفته محافظت می کنند ,که با شناخت رفتار کلاینت (UBA),فهمیدن تفاوت میان بات های خودی را از غیر خودی ساده تر می سازد. دفاع مقدماتی WAF پیشرفته هر جلسه مشتری را به چالش می کشد، ماهیت سرویس گیرنده و همچنین ربات های مخرب را تشخیص می دهد.
تکنولوژی Datasafe شرکتF5 این محافظت را برای نام کاربری و فیلدهای رمز عبور، جلوگیری از سرقت اعتبارنامه، ایجاد می کند .این نوع محافظت بسیار حیاتی است .از آنجایی که حفاظت از API ها در برابر حملات اتوماتیک دشوار است ,API های موبایل مورد هدف قرار می گیرند..SDK جدید Anti bot mobile شرکت F5 به سازمان ها این امکان را می دهد که به سرعت قابلیت های امنیتی پیشرفته را در برنامه های تلفن همراه موجود خود با چند کلیک ماوس ایجاد کنند.
با تمرکز بر روی تهدیدات خودکار و استفاده از امنیت فعال تر,سازمان ها می توانند مزایای قابل توجهی را نسبت به رویکردهای سنتی WAF دریابند که شامل موارد زیر است:
- بهبود عملکرد عملیاتی
- کاهش ریسک ها
- بهره برداری بهتر از منابع
روش های ذکر شده نشان می دهد که شرکت F5 تحول عظیمی را در زمینه تهدیدات و حفظ امنیت در برابر این تهدیدات را با شیوه های جدیدی ایجاد کرده است. با استفاده از رویکرد فعال تر برای امنیت از طریق استفاده از ابزارهایی مانند WAF پیشرفته و متخصصان امنیتی ،می توانید کنترل های موثر تری را انجام دهید و قابلیت های بیشتری را به دست آورید. شرکت f5 در عرصه WAFهای پیشرفته با کاهش bot ها(زامبی ها) برای وب سایت ها و اپلیکیشن های موبایل, حفاظت از اعتبار نامه ها در مرورگر و همچنین تجزیه و تحلیل خودکار رفتار ها با استفاده از Machine learning,پیشگام می باشد.