應用漏洞的防禦和檢測

F5 Networks 首席技術長、辦公室技術專家兼首席傳媒長,專注於新興架構和技術,包括雲端和邊緣計算、網路自動化和編排、微服務及容器。Mac Vittie 撰寫了許多關於技術趨勢的文章,並經常就此發表演講,重點闡述技術趨勢對網路和網路專業人士帶來的影響。

文 / F5 Networks 首席技術長 Lori Mac Vittie

F5 Networks 首席技術長、辦公室技術專家兼首席傳媒長,專注於新興架構和技術,包括雲端和邊緣計算、網路自動化和編排、微服務及容器。Mac Vittie 撰寫了許多關於技術趨勢的文章,並經常就此發表演講,重點闡述技術趨勢對網路和網路專業人士帶來的影響。她擁有超過 25 年的從業經驗,涉及應用開發、IT 架構及網路和系統運營等領域。在加入 F5 之前,Mac Vittie 曾擔任《網路計算雜誌》的技術編輯並屢獲殊榮。Mac Vittie 擁有諾瓦東南大學電腦match科學專業理科碩士學位,而且是 O’Reilly 的作者。她還是 DevOps Institute 的董事會成員,並被評比為 DevOps、ITOps 和雲端計算領域最有影響力的女性之一。

攻擊類型:應用基礎架構攻擊,Web 應用攻擊
攻擊方法:跨站腳本,注入
攻擊動機:網路犯罪

今年,關於漏洞的評論鋪天蓋地,每個博客上都能看到專家分析,行業刊物樂此不疲地刊登各家觀點,Twitter 成為大家討論漏洞現狀的主要平臺。我的收件箱裡都是關於漏洞情報服務的報價,我們似乎被漏洞淹沒了,但是每一片雲都會有一線光明,在漏洞頻發之際,好消息就是:您沒有遇到漏洞。

事實上,許多知名(及攻擊目標眾多)的企業所依賴的軟體,往往是最新受害者出現漏洞所利用的軟體,貴公司和其他的一些組織也可能在使用這些軟體。即使您在進行應用盤點時沒有發現漏洞,也不要掉以輕心。關於漏洞的研究報告有很多,無論哪個報告,從發現漏洞到企業修復漏洞都有一定的時間間隔。有些易受攻擊的系統很有可能正在您的資料中心內運行。

快去檢查一下。

同時,您還應該評估一下您的應用保護策略,許多漏洞其實是可以通過全面的應用保護策略進行 預防的。我們可以整天討論漏洞是否存在,以及開源軟體的安全實踐,但事實是各種軟體(包括協力廠商、開源、閉源、自訂開發軟體)都很容易遭受攻擊。我們發現,許多漏洞在被利用之前已經在軟體裡潛伏了多年,有沒有人覺得很震驚?

實際上,正如您應該假設您將會遭受 DDoS 攻擊一樣,您也應該假設一下應用的某個位置存在尚未利用的漏洞並採取應對措施。為有效預防漏洞,您需要樹立正確的心態,並思考下面兩個問題:

問題一
如何防止漏洞被利用?

問題二
如果漏洞已被利用,如何檢測這一情況?

答案:
預防-主動安全

第一個問題的答案是採取主動方法。修復漏洞是主要手段,您可能已經審核了與修復漏洞相關的策略和流程,如果最近還沒有這樣做,請立即進行審核。
此外,您還應該實施保護措施,幫助您嚴格遵守零信任安全規則:
永遠不要相信用戶輸入。

我們看到太多最終由未經過濾和清洗的用戶輸入引起的漏洞,換句話說,開發人員從未對用戶輸入進行監控便將它放行到框架、庫、甚至是其他代碼了。這就是發生 SQL 注入的原因,這就是發生跨站腳本攻擊的原因,這就是發生漏洞的原因。

由於違反零信任安全規則引起的漏洞數量讓我大吃一驚,為防止出現漏洞,您需要認真實施安全開發實踐,並部署 Web 應用防火牆 (WAF)(因為我們知道前者也會失靈),以協助清洗資料。這裡有一條來自 Lori 的實用建議:WAF 必須 積極主動。學習模式對學習應用和微調策略非常有用,但如果沒有實施這些安全措施,那麼您就不是在規避風險,您只是在營造虛假的安全感罷了。

務必積極主動,採用零信任安全規則並進行全面部署。

答案:
探查-被動安全

第二個問題(「如果漏洞已被利用,如何檢測這一情況?」)假設即使您嚴格遵守了零信任安全規則,攻擊者仍然以某種方式突破了防禦,並獲取敏感性資料,例如帳號以及社會保險號和登錄憑證等個人可標識資訊 (PII)。

此時仍然有時間阻止攻擊的發生,因為只要資料沒有離開網路,就不算發生洩露。

檢查出站資料是全面應用保護策略的重要組成部分,也就是說檢查敏感性資料的出站回應,這就是防止資料外洩解決方案。WAF 可以防止資料外洩,可程式設計代理也可以防止資料外洩。我相信資料路徑中還有其他的防資料外洩解決方案能夠檢測正被竊取的敏感性資料。
檢查內容大小的出站回應也可以有效幫助檢測漏洞被利用的情況。如果您知道特定 URL 的回應應該返回一條包含約 4K 大小資料的記錄,那麼 64K 大小的內容回應會觸發警報。再重申一次,WAF 或可程式設計代理能夠檢測這種異常行為,最重要的是,對這種異常行為進行處理。

好消息:
但願您沒有受過攻擊,並且有時間採取預防措施。低調再也不是您的保護傘了,隨著自動化與僵屍網路的興起,攻擊者能夠快速鎖定越來越多的企業並實施攻擊,這是因為如今他們的掃描和攻擊成本幾乎為零。

您絕對應該修復您所能修復的一切,但同樣重要的是,您應該部署有效且可行的應用保護策略來監控入站和出站情況,必須部署零安全規則,這沒得選擇。  

務必主動再主動,最重要的是,積極保護應用及其依賴的平臺。

在您閱讀這篇文章時,將有數以百計的應用遭受攻擊。

因此,我們必須馬上行動起來。我們致力於研究有效的攻擊防禦方法,我們密切關注物聯網的發展以及該領域的威脅演變,我們深入分析最新的加密貨幣挖礦活動,我們分析銀行木馬的攻擊目標,我們仔細分析漏洞,我們“追捕”最新惡意軟體。最後,我們的專家團隊將與您分享我們的成果。20 多年來,F5 一直在應用交付領域保持領先,我們擁有豐富的經驗,致力於為安全社區普及安全防禦知識,為您提供所需的情報,幫助您全面保護您的應用安全。

分享此篇文章
%d 位部落客按了讚: