[۱]OWASP سه طبقه بندی جدید برای بازیابی لیست 10 تهدید اصلی سایبری خود ایجاد کرده است. این دسته بندی ها می توانند نقش مهمی در محافظت از برنامه ها در برابر خطرات امنیتی جدی داشته باشند. به همین دلیل است که تیم های امنیت سایبری نباید آنها را نادیده بگیرند.
در این مقاله به ناامیدی های این سه دسته و همچنین دلایل اهمیت آنها می پردازیم.
طراحی نامشخص (A04: 2021): نقطه شروع آسیب پذیری در برنامه ها
اگرچه این طبقه بندی جدید در لیست تهدیدات سایبری OWASP رتبه چهارم را به خود اختصاص داده است، اما بدون شک یکی از مهم ترین و تاثیرگذارترین تهدیدها برای سایر موارد موجود در این لیست است. افزودن این عنصر OWASP که معمولاً بر امنیت برنامه ها در مرحله پس از تولید تمرکز دارد، گام بسیار مهمی است. با توجه به توصیه OWASP: «ایجاد امنیت در فرآیند کدنویسی و حتی برنامه ریزی و طراحی یکی از عوامل مهمی است که منجر به پیشرفت های چشمگیر در امنیت سایبری می شود، زیرا حتی با عملکرد عالی نیز نمی توان کاستی های موجود در طرح اصلی را اصلاح کرد. بنابراین، کسب و کار باید در مراحل اولیه طراحی اپلیکیشن، موضوع امنیت را در اولویت قرار دهد. این حرکت منجر به تغییرات قابل توجهی در نحوه عملکرد صنعت نرم افزار و همچنین کاهش مشکلات احتمالی که در این مسیر ایجاد خواهد شد، خواهد شد.
نقض کامل بودن داده ها و نرم افزارها (A08: 2021): اهمیت تمامی پلاگین ها، کتابخانه ها، ماژول ها و زنجیره های تامین
جامع بودن داده ها و نرم افزارها نیز یکی از مهم ترین، جدیدترین و همچنین مقوله های مرتبط با دسته قبلی طراحی نامشخص در لیست سال 2021 است. . بنابراین، استفاده از افزونهها، کتابخانهها یا ماژولهای منابعی که بررسی یا تایید نشدهاند، میتواند منجر به بسیاری از مشکلات امنیتی شود. برای مثال Log4j را در نظر بگیرید. این ابزار منبع باز، با وجود تمام اقدامات احتیاطی، همچنان می تواند تحت تأثیر آسیب پذیری های Log4Shell قرار گیرد و می تواند یک حفره امنیتی جدی ایجاد کند.
بر اساس آمار OWASP، نقض داده ها و نرم افزار یک تهدید رو به رشد است. OWASP تخمین می زند که دلیل این تهدید، استفاده رو به رشد از رویکرد CI / CD (ادغام مداوم / تحویل مداوم یا توسعه) در طول عمر برنامه توسعه نرم افزار است. اگرچه CI/CD مکانیزمی ایده آل برای تسریع در ارائه خدمات و نرم افزارهای جدید است، اما همین عجله برای سرعت بخشیدن به کارها اغلب منجر به عدم تایید کامل کدها یا اجزای مختلف می شود و حتی می تواند منجر به دسترسی غیرمجاز، تزریق کد مخرب شود. یا هک ارائه سیستم ها.
برای مقابله با این تهدید، ابتدا باید مطمئن شوید که نرم افزار شما (از جمله کتابخانه مورد استفاده در آن) از یک مخزن مطمئن و کاملا امن است. استفاده از امضای دیجیتال و انجام یک فرآیند بررسی برای اطمینان از اینکه عناصر مخرب در کد اصلی تعبیه نشده اند می تواند موثر باشد. OWASP همچنین استفاده از یک ابزار نرم افزاری زنجیره تامین امنیتی را برای بررسی تمام اجزاء برای شناسایی آسیب پذیری های شناخته شده توصیه می کند.
درخواست سرور جعلی (A10: 2021): نوعی اسب تروا
کارشناسان امنیت سایبری بر این باورند که جعل سرور (SSRF) یک حمله بسیار جدی و خطرناک است. برنامه های امروزی تماس های بیشتری با کاربران برای دسترسی به داده های خارجی برقرار می کنند. بنابراین، حجم حملات SSRF نیز افزایش خواهد یافت.
مهاجمان در این حملات می توانند درخواست های شخصی سازی شده را از یک سرور ناب به یک برنامه آسیب پذیر ارسال کنند. اگرچه می توان از منابع در برابر دسترسی خارجی محافظت کرد، اما این درخواست ها معمولاً به گونه ای طراحی می شوند که به نظر می رسد از یک منبع قابل اعتماد (مانند یک سرور داخلی) ارسال می شوند. در نهایت، مهاجمان به داده های مورد نظر خود دسترسی خواهند داشت و سازمان ها در معرض انواع حملات و پیامدهای مخرب قرار خواهند گرفت.
یکی از مهمترین اقدامات برای مقابله با این حملات، کاهش نوع، دامنه و تعداد درخواست هایی است که برنامه می تواند ایجاد کند. البته، برنامه ها باید با یکدیگر صحبت کنند. بنابراین، تکنیک های لازم باید تنها برای کاهش سطح ریسک اعمال شود. در زیر تعدادی از تکنیک های موثر برای کاهش تهدیدات امنیتی در سطح شبکه و همچنین لایه برنامه را بررسی خواهیم کرد.
در سطح شبکه
- از فایروال برای محدود کردن اتصالات به هاست استفاده کنید و حالت پیش فرض را برای رد کردن همه درخواست ها فعال کنید.
- اتصالات مجاز را پاک کنید و از پذیرش همه درخواستها جلوگیری کنید، مگر اینکه لازم باشد.
- فعال کردن احراز هویت بین هاست (این روش باید برای تمام ارتباطات داخلی میزبان در نظر گرفته شود).
- تمام جریان های ترافیکی را برای نظارت و بررسی ثبت کنید. مشخص کنید کدام هاست، چرا و چگونه باید با یکدیگر ارتباط برقرار کنند.
در لایه برنامه:
- تعریف و پیاده سازی پروتکل های ارتباطی دقیق، لیست های مقصد، پورت ها، و قالب های اتصال فعال برای برنامه های خود.
- برای جلوگیری از قرار گرفتن در لیست سفید، تغییر مسیر HTTP را غیرفعال کنید.
- تمام ورودی های مشتری را پاک و تأیید کنید. بهتر است این کار را در یک برنامه یا با استفاده از یک برنامه فایروال مبتنی بر وب انجام دهید.
- همیشه قبل از ارسال آنها به مشتری، بررسی کنید که ساختار و محتوای این پاسخ ها مطابق انتظارات باشد.
[۱] جامعه آنلاین OWASP در تولید محتوا و فناوری های مرتبط با امنیت وب فعال است.
برای مطالعه سایر مقالات امنیت سایبری اینجا را کلیک کنید.
منبع: infosecurity-magazine