Web应用程序攻击正在增加。最近的一项研究发现,它们是2017年和2018年第一季度报告的违规行为的主要原因。这一显着增长部分是由于Web应用程序漏洞的多样性,因为新的攻击媒介被发现并被利用。
缺乏对安全性的关注也是一个问题,另一项研究发现,96%的Web应用程序都包含某些可能用于伤害用户的漏洞。
应用程序开发人员和安全人员需要了解这些新兴的Web应用程序漏洞,以及应该采用的网络安全实践来加快应用程序安全策略和过程。知识是保护应用程序及其用户的关键,特别是在新威胁出现时(攻击者抓住机会利用它们)。
教育:2019年的主要Web应用程序漏洞
1.人工智能攻击
人工智能(AI)为Web应用程序开发带来许多好处,允许开发人员创建更有意义和更强大的产品。但AI也被用于恶意活动。
攻击者可以使用基于AI的黑客算法来查找最微小的应用程序漏洞并分析复杂的用户行为和场景。通常需要数周和数月才能完成的分析几乎可以立即完成,从而为攻击者提供可用于利用Web应用程序的信息。
检测到的第一个AI网络攻击是2017年末,当时攻击软件能够通过模仿正常行为来伪装自己,使其更难被发现。自动机器人也可用于发动攻击,因为它们变得更难以与人类区分并且越来越善于表现出“正常”行为。
这种攻击的最佳防御方法是使用AI。使用AI来保护您的应用程序是应用程序安全性的未来,也是行业发展的方向。将其构建到您的安全系统中,以进行主动监控和事件报告。
AI可以帮助减少误报,确定威胁的优先级,并自动化修复过程。公司还需要改进认证措施,以便自动化机器人更难以规避。典型的安全问题,用户名和密码是不够的。例如,如果您还没有添加软件或硬件令牌,请考虑使用它们。
2.开源安全威胁
开源组件通常用于Web应用程序开发。它们缩短了开发时间,允许开发人员为其Web应用程序添加功能,而无需从头开始编写代码。增加的功能有助于在保持预算和时间表的同时提供更好的最终产品。
但是,如果不考虑安全性,这些好处就会消失。我们始终建议对所有开源组件进行安全测试。不要因为其他人使用它们而认为它们是安全的。
这在未来一年将变得更加重要。为什么?随着开源在Web应用程序开发中变得越来越普遍,它成为攻击者的一个更大(更具吸引力)的目标。如果他们可以找到一个开源组件或库的漏洞利用,他们可能会同时攻击多个应用程序。并且因为这些库和组件是开放的,所以它们使得它们更容易找到这些漏洞。
最近对开源安全性的分析发现,开源组件的使用正在增加,但对安全性的关注并未跟上步伐。被审查的企业中有三分之一尚未修补源自开源组件的漏洞,发现的威胁中有一半以上被认为是关键漏洞。
防御这些攻击的第一步是仅使用来自受信任存储库的开源代码 - 无论这看起来多么明显,这是一个非常少的开发人员打扰的预防措施。活跃的用户社区是开发人员目前正在使用并(希望)测试开源组件以解决安全问题的好兆头。
除此之外,应使用软件组合分析(SCA)工具(如Black Duck Hub和OWASP依赖项检查)在部署之前扫描源代码中的漏洞。
另一个重要的,看似简单的预防措施是创建一个工作文档来跟踪应用程序中的开源组件 - 您正在使用的所有组件,它们的使用位置以及当前部署的版本。如果发生攻击,此文档将允许您快速识别受影响的应用程序或代码行,从而帮助您快速修复威胁。
如果发现漏洞,还可以使用正式的补救策略来确保您的团队准备好快速采取行动。移动得越快,造成的伤害就越小。
3.勒索软件
根据2018年赛门铁克互联网安全威胁报告,勒索软件是2017年最普遍的攻击类型之一,增长了46%。
勒索软件经常让我们想到整个网络被攻击锁定(如WannaCry违规的情况),但它也可能发生在应用程序级别。在这种情况下,应用程序会受到攻击,无法再正常使用。攻击者要求赎金以换取释放申请。
Spora是一个强硬的勒索软件攻击的例子。在此攻击中,JavaScript代码会添加到网站并生成弹出式提醒,提示用户更新其Chrome浏览器。然后攻击者窃取用户的凭据并索要赎金或出售信息以换取金钱。
Web应用程序对勒索软件攻击并不安全。最常见的进入途径是通过Web应用程序中使用的软件包。攻击者可以将勒索软件工具包嵌入到软件包中,开发人员可能会在不知不觉中将软件包作为其Web应用程序的一部分进行安装。
如上所述,开发人员经常在Web应用程序开发中使用第三方软件包,其中许多开源解决方案容易受到攻击,因此攻击者很容易创建恶意版本并诱骗开发人员使用它们。
为了保护您的Web应用程序免受勒索软件的侵害,您当然应该对Web应用程序中使用的所有第三方组件执行定期安全测试。我们还建议使用包管理器(如Sonatype)来创建一个受信任的包存储库,供开发人员选择。
4.攻击已知漏洞
Gartner预测,到2020年,99%的漏洞利用已经知道至少一年 - “已知”意味着这些漏洞已被识别和披露,但尚未修复。使用具有已知漏洞的组件会使您的应用程序受到攻击。
Heartbleed漏洞就是一个很好的例子。此漏洞可以追溯到一行代码,这会使敏感数据面临风险。许多公司一旦曝光就争先恐后地更新补丁。如果不对其他漏洞执行此操作,您的组织将面临破坏性攻击。
一旦发现漏洞,尤其是那些可能危及敏感信息的漏洞,这一点很重要。教育开发人员了解应用程序安全性的重要性可以激励他们为安全性提供应有的关注。
从第一天开始,安全性需要整合到设计和开发过程中。有很多方法可以使这种集成变得更容易,正如您将在讨论来年的网络安全趋势时所看到的那样。
预防:2019年最重要的网络安全趋势
1. Bug赏金计划
赏金计划正在变得越来越受欢迎,其中攻击者付费试图侵入应用程序和系统以暴露漏洞。这些“友好”的攻击者通过在恶意攻击者利用漏洞之前发现漏洞来帮助提高应用程序的安全性。这种方法填补了自动安全测试可能遗漏的空白。
有时需要通过人工触摸来找到暴露应用程序以进行攻击的新方法,并且发现新的或罕见漏洞的攻击者获得了良好的回报。像HackerOne这样的Bug赏金公司管理经过审查的攻击者并帮助组织更快地发现漏洞。
2.应用程序漏洞管理
正如我们前面提到的,安全性需要集成到开发过程中。更多组织将开始使用工具来简化此过程。应用程序漏洞管理器通过从多个测试工具中删除重复结果并确定结果优先级来简化应用程序安全测试流程,以便您可以首先处理最严重的威胁。
质量应用程序漏洞管理工具集成到开发人员的工作环境中,例如Eclipse和Jenkins,因此可以查看和跟踪漏洞,而无需强迫开发人员切换到其他应用程序。像这样的工具允许全面的应用程序安全性测试,而不会减慢开发过程。
3.数据安全治理计划
更多组织将在2019年开始采用数据安全治理(DSG)计划。数据治理可保护组织内所有数据(包括应用程序)的完整性,可用性,可用性和安全性。
正式的DSG计划详细说明并实施标准化的策略和程序,以便更有效,更安全地保护用户和业务数据。作为该计划的一部分,确定并处理安全方面的差距。您的DSG计划应该是更大的IT治理策略的一部分,因此它适合您的整体安全计划。
4.运行时应用程序自我保护(RASP)
RASP通过实时检测攻击来提高Web和移动应用程序的安全性。代理程序安装在应用程序中,并监视应用程序是否存在攻击并对其进行防护。
它在应用程序运行时为应用程序添加一层保护,检查每个执行的指令并确定任何给定的指令是否实际上是攻击。
它可以在诊断时使用,在发现攻击时引发警报或警报。它还可以用于自我保护,并实际上停止可能导致攻击的执行。
到2022年,全球RASP市场目前预计将以29%的复合年增长率(CAGR)增长。
5.减少对密码的依赖
虽然我们不希望密码完全消失(它们已经过于成熟),但会发生转变,更加重视其他识别技术。这种转变将在中高风险应用中更频繁地发生,以使其更安全。
面部识别是一个可以改善网络和移动应用程序安全性的示例。随着威胁数量和种类的增加,这些更先进的验证程序变得越来越重要。
随着Web应用程序攻击的不断增加,开发人员和安全团队必须共同努力,以防止或抵御新的和现有的威胁。将安全性整合到整个应用程序设计,开发和部署过程中的全面应用程序安全策略是保护您的企业和用户免受攻击的最佳方式。该策略必须包括对最新攻击媒介的教育和网络安全的进步,以便您的防御始终处于最佳状态。
原文:https://codedx.com/predicted-web-application-vulnerabilities-and-cybersecurity-trends-for-2019/
本文:
讨论:请加入知识星球或者小红圈【首席架构师圈】