كشفت أبحاث Indusface عن أكثر من 1,400 تطبيق ويب وتطبيقات جوال وواجهات برمجة تطبيقات أن الثغرات الأمنية المفتوحة تظل أهم ناقل هجوم لمجرمي الإنترنت.

وفقًا تقرير، تم حظر 829 مليون هجوم على AppTrana WAF في الربع الرابع من عام 2022 ، بزيادة قدرها 79٪ عن الربع الثالث.

النتيجة المقلقة هي أنه تم العثور على 61,713 نقطة ضعف مفتوحة ، وهو ما يمثل قفزة بنسبة 50٪ عن الربع الثالث. يرتبط عدد الثغرات الأمنية المفتوحة ارتباطًا مباشرًا بازدياد الجهات الفاعلة في التهديد.

كيف يمكنك حمايتهم؟ الخيار الأفضل هو إصلاح الثغرات الأمنية المعروفة باستخدام التصحيح الافتراضي على مستوى WAF أثناء حظر الهجمات.

تم العثور على نقاط الضعف الحرجة في التطبيقات

في حين أن أي ثغرة تنطوي على خطر على عملك ، فإليك أهم 10 نقاط ضعف عالية / حرجة حاول المتسللون استغلالها خلال الربع الرابع من عام 2022:

• طلب التزوير من جانب الخادم
• حقن HTML
• البرمجة النصية عبر المواقع (XSS)
• ستنتهي صلاحية شهادة خادم TLS / SSL قريبًا
• الكشف عن شفرة المصدر البرنامج النصي
• حقن SQL
• الاسم الشائع لشهادة SSL غير متطابق
• انتهت صلاحية شهادة خادم TLS / SSL
• شهادة خادم TLS / SSL غير موثوق بها
• مراجع الكائنات المباشرة غير الآمنة

أعط الأولوية لمعالجة هذه الثغرات الأمنية إذا لم تكن قد فعلت ذلك بالفعل.

تكلفة نقاط الضعف

يمكن أن تستدعي ثغرة واحدة الآلاف من مشاكل الأمن السيبراني. Poodle و Heartbleed و EternalBlue و Shellshock ليست سوى عدد قليل من نقاط الضعف التي تفتح الأعمال التجارية للتهديدات الأمنية.

وجد التقرير أن 31٪ من الثغرات كانت مفتوحة لأكثر من 180 يومًا. وتم تصنيف أكثر من 1,700 منها على أنها نقاط ضعف خطيرة وعالية.

لذا ، ماذا يحدث إذا لم تقم بإصلاح نقاط الضعف؟ قد يكون للفشل في الحفاظ على هذه المسؤولية آثار خطيرة ، بما في ذلك الانتهاكات الأمنية المحتملة.

مرة أخرى في عام 2017 ، احتل خرق Equifax الأمني ​​الهائل عناوين الصحف. استغل المتسللون الثغرة الأمنية المعروفة CVE-2017-5638 في إطار عمل تطبيقاتهم وتمكنوا من الوصول إلى نظام الشركة.

كشف هذا الخرق عن معلومات التعريف الشخصية (PII) لـ 147 مليون شخص. بعد عامين من الاختراق ، قالت الشركة إنها أنفقت 1.4 مليار دولار على تكاليف التنظيف وتجديد برنامجها الأمني. وافقت Equifax على دفع ما يصل إلى 700 مليون دولار لتسوية المطالبات المتعلقة بالخرق.

من المحتمل أن تكون التكلفة الإجمالية للخرق أعلى من التسويات والنفقات المبلغ عنها. ويشمل أيضًا التكاليف غير الملموسة مثل فقدان الثقة وسمعة العلامة التجارية والتأثير طويل المدى على الأعمال.

إدارة الثغرات الأمنية باستخدام الترقيع الظاهري

تلعب التصحيحات الأمنية دورًا حيويًا في التعامل مع الثغرات الأمنية. إنهم يصلحون الثغرات الأمنية ويحلون المخاطر. بعد كل شيء ، يعني الاستغلال الناجح تكوينًا غير آمن أو فقدان التحكم في الأمان.

يمكن أن تكون عملية الترقيع صعبة في بعض الأحيان. تلجأ العديد من الشركات إلى الترقيع الافتراضي لحماية تطبيقاتها على جدار حماية تطبيقات الويب (WAF) عندما يتعذر إصلاح النظام على الفور.

الترقيع الظاهري عبارة عن درع للثغرات الأمنية يؤمن التطبيقات أثناء فترة المخاطرة وما بعدها. إنه يمكّنك من توسيع نطاق تغطيتك واستجاباتك وفقًا للدفاع المناسب ، والذي يمكن تطبيقه في دقائق أو ساعات. وبالتالي ، فإنه يقلل من مخاطر التعرض لمواطن الضعف.

يتم تحقيق الترقيع الظاهري من خلال تطبيق طبقة سياسة أمنية في WAF. إنه يزيل الثغرات الأمنية للتطبيق دون تغيير قاعدة التعليمات البرمجية.

يمكن للشركات الاستفادة من التصحيح الافتراضي بطريقتين للتخفيف من نقاط الضعف:

1. القواعد الأساسية
2. القواعد المخصصة

وجد تقرير Indusface أن مجموعة القواعد الأساسية لـ WAF تحظر 40٪ من الطلبات ، وتحظر القواعد المخصصة 60٪.

لماذا تكتسب القواعد المخصصة زخمًا؟

القواعد الأساسية محددة مسبقًا وموحدة ، استنادًا إلى أفضل ممارسات الصناعة ، وهي مصممة للحماية من نقاط الضعف المعروفة. عادة ما ينشئ خبراء الأمن هذه القواعد. القواعد الأساسية سهلة التنفيذ ويمكن أن توفر حماية عالية.

نظرًا لأن معظم فرق التطوير تعمل على سباقات السرعة التي تستغرق بضعة أسابيع ، تستمر الثغرات الأمنية في الإضافة مع تغيير الكود.

تستفيد معظم الشركات من عمليات المسح الأسبوعية واختبار الاختراق الدوري في التطبيقات. نظرًا لأن إصلاحها على الكود سيكون طويلًا وشاقًا ، يعتمد مالكو المنتج على القواعد المخصصة لـ WAF لسد هذه الثغرات الأمنية بينما يركز فريق التطوير الخاص بهم على ميزات الشحن.

عندما تصل الفرق إلى سباق سريع يركز على الأمان ، فإنها تعمل على إصلاح هذه الثغرات الأمنية في الكود.

يستخدم الترقيع الافتراضي أيضًا كآلية لتخفيف المخاطر. على سبيل المثال ، لاحظنا أن السياج الجغرافي يكتسب شعبية في فئة القاعدة المخصصة حيث يتطلع مالكو التطبيق إلى الحد من حركة المرور من المناطق الجغرافية التي لم يتم تصميم التطبيق لاستخدامها. المثال الآخر هو وضع عناوين IP في القائمة السوداء أو القائمة البيضاء التي تُستخدم للسماح بحركة المرور إلى التطبيق.

المراقبة الإيجابية الكاذبة

في حين أن قوة القواعد المخصصة لا جدال فيها ، فإنها تضيف أيضًا عبء مراقبة التطبيقات بحثًا عن الإيجابيات الكاذبة.

عند التحدث إلى العديد من قادة الأمن ، فإن أحد الموضوعات الثابتة التي لا نزال نسمع عنها هو نقص الممارسين الأمنيين المهرة الذين يمكنهم إدارة تطبيق معقد مثل WAF /واب.

التحدي الآخر هو تدهور الاقتصاد. يُطلب من فرق الأمن بشكل متزايد أن تفعل المزيد بموارد أقل.

نشهد اتجاهًا متزايدًا لمالكي المنتجات الذين يعتمدون على الخدمات المُدارة للمساعدة في التصحيحات الافتراضية وضمان عدم وجود نتائج إيجابية خاطئة.

وفي الختام

إذا اكتشف المهاجمون جزءًا من التعليمات البرمجية القابلة للاستغلال ، فإن الخطوة التالية هي الاستفادة من الثغرة الأمنية.

كلما أسرعت في نشر الترقيع الافتراضي ، كلما أسرع المهاجمون في البحث في مكان آخر. حافظ على WAF الخاص بك قيد التشغيل لضمان الأمان والنتيجة النهائية.

عن المؤلف

Venky هو تقني لأمن التطبيقات قام ببناء ماسح ضوئي لتطبيق الويب حديث العهد و WAF AppTrana السحابي في Indusface بصفته مديرًا فنيًا مؤسسًا. حاليًا ، يقضي وقته في قيادة خريطة طريق المنتج ، ونجاح العملاء ، والنمو ، واعتماد التكنولوجيا للشركات الأمريكية.

• محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
• بلاتوبلوكشين. Web3 Metaverse Intelligence. تضخيم المعرفة. الوصول هنا.
• المصدر https://www.darkreading.com/application-security/appsec-playbook-2023-study-of-829m-attacks-on-1-400-websites