若有任何問題請來信:gss_crm@gss.com.tw
文章整理:叡揚資訊資安事業處
資料來源:https://www.arxan.com/arxan-blog/traditional-security-measures-arent-enough-todays-zero-trust-world
為什麼在WAF和其他傳統資安解決方案的前端仍需要應用程式保護?
每隔幾年就會出現一種新的資安技術,並提供大家最新的資安解決方案。端點防護和防火牆是最早的資安防護解決方案,但在行動裝置以及雲端技術影響下,大幅度的降低網路防火牆和傳統安全的防護有效性,並徹底的影響安全屏蔽界線。然後是網路安全,DDos保護,IPS,行動裝置安全,NGFW,WAF等。隨著新的技術發展,也跟著出現新的攻擊面向,隨之產生新的資安工具需求,反觀思考我們目前還欠缺甚麼防護?
您知道嗎?即使應用程式已經進化了,相對的資安防護上也要跟進!
目前有一個應用程式確實改變了組織與客戶以及合作夥伴和員工之間的連繫互動方式,但是和大多數事情一樣,有好的一面也有壞的一面。隨著組織更容易且更快速存取商品以及服務時,皆是透過應用程式來進行存取,不論使用者的設備以及位置如何,App本質上都是一個新的端點。而且為了提高用戶的體驗和使用的順暢性,現在更多的程式邏輯都會寫在Client端(Javascript)包含了應用程式的結構、API端點的使用方式、載具的格式甚至加解密演算法的金鑰。
Web App攻擊的剖析
不幸的是資安防護解決方案發展還不夠快,導致應用程式和用戶安全問題暴露在外,對於Web應用程式來說其中許多是用JavaScript撰寫的,這代表著重要資訊是對外公開且沒有任何保護。如果從攻擊者(駭客)角度來看攻擊Web應用程式,第一步驟就是先確定漏洞的位置,透過靜態程式碼分析–看攻擊者是否能輕鬆讀取並了解程式碼找到有用的資訊,然而在某些情況下,重要的敏感資訊卻被Hard coded寫死在應用程式裡,例如無意中洩漏了關鍵敏感的設定資料或是解密文用的加密的金鑰。
下一步攻擊者則採取debugger的方式進行動態應用程式分析,這時攻擊者正在為攻擊前進行準備,除了找到應用程式的漏洞和進行一些偵查外,還不會引發攻擊行為。一旦識別找到漏洞後,攻擊者就可以嘗試竄改程式碼來改變應用程式的行為動作,或瀏覽客戶可能用來登入應用程式的資料(如:使用者憑證)。組織所面臨的問題是傳統的資安工具並不會發現這種可疑的活動,因為它是發生在應用層(Application Layer)、瀏覽器中,甚至在WAF或其他安全傳統資安解決方案偵測之前。
WAF和傳統的資安防護都太晚了!!
許多人都認為只需要一個WAF來保護網站應用程式即可免受到威脅。實際上WAF只是解決方案的一部分,主要是設計用來保護伺服器免受惡意行為、惡意網路流量以及一系列其他入侵網路威脅,包括:網路協定攻擊、拒絕服務攻擊、XSS、SQL Injection(OWASP TOP 10 網路攻擊)和動態應用程式攻擊。
正如英國航空公司和Ticketmaster web應用程式的漏洞一樣,即使WAF已經到位且正確設定配置,它也無法阻止這些漏洞,因為為時已晚了。惡意的攻擊者攻擊了前端的應用程式碼,並且洩漏資料在還未到達網路流量層(Network Traffic Layer)導致WAF無法偵測到。WAF也很難提供針對API為主的攻擊進行保護。因此保護應用程式需要確保是將API外曝降低以抵禦威脅。
網頁應用程式防護可以如何領先威脅?
網頁應用程式保護實作的解決方案解答即是在前端(front-end)網頁進行資安防護,Arxan for Web則是在網頁應用程式遭受來自前端威脅並危害後台關鍵資產前的防護解決方案。如果應用系統的程式始碼遭受到攻擊或分析時Arxan能提供網頁防護-包含了未來API攻擊或惡意套件產生。除了提供一系列的程式碼混淆技術-使攻擊者難以理解你的JavaScript外,Arxan還將Threat Analytics加入到Web防護中,實作發送即時威脅數據的警報,透過此機制讓您了解web應用程式是否正遭受攻擊,企業現在可以更新防護在還未發生問題前即時有效的防止API攻擊,Threat Analytics還可以提供進階的警告,並且幫助阻斷攻擊者使用惡意套件進行man-in-the-browser攻擊,Arxan for Web可在本機或雲端執行防護解決方案並且直接整合Dev-Op(開發及營運)流程。
分層防護確實是用來確保資安”正確”的關鍵,資安技術主要在防範不同類型的攻擊,且沒有一種全部都可套用的方法。隨著攻擊者不斷突破界線發現新的可利用攻擊領域,組織更需要處於最前端並確保其關鍵資產防護。傳統的資安技術無法阻止現今的應用程式攻擊,因為當它們被攻擊者觸發時,攻擊者很快就能取得客戶的關鍵資訊。