Στις 7 Μαΐου του 2021, η Αμερικανική εταιρεία Colonial Pipeline, που διαχειρίζεται το μεγαλύτερο σύστημα αγωγών πετρελαίου στις Ηνωμένες Πολιτείες και την έδρα της στο Χιούστον, στην πολιτεία Τέξας, αποτέλεσε στόχο μίας μεγάλης κυβερνοεπίθεσης.
Μια ομάδα από χάκερ που αυτοπροσδιορίζονταν ως DarkSide εισέβαλε στα συστήματα της Colonial Pipeline και έκλεψε 100 gigabytes δεδομένων μέσα σε λίγες ώρες. Μετά την κλοπή δεδομένων, οι εισβολείς μόλυναν το δίκτυο πληροφορικής που ελέγχει το σύστημα πετρελαιαγωγών με ransomware. Οι συνέπειες ήταν πολύ μεγάλες και σοβαρές. Η διακοπή στην παροχή καυσίμου και η αύξηση των τιμών ήταν μόνο η κορυφή του παγόβουνου. Η Colonial Pipeline αναγκάστηκε να πληρώσει ένα βαρύ τίμημα ύψους 75 bitcoins (εκείνη την εποχή η αξία τους ήταν περίπου $4,4 εκατομμύρια δολάρια) ως λύτρα με την ελπίδα να ανακάμψει γρήγορα και να ανακτήσει τον έλεγχο. Ένα μήνα αργότερα πάντως, η εταιρεία κατάφερε με τη βοήθεια του FBI να ανακτήσει μεγάλο μέρος της πληρωμής που κατέβαλε για λύτρα. Τέτοιες επιθέσεις, όπως αυτή στην Colonial Pipeline, μας δείχνουν ότι πρέπει να επαγρυπνούμε, καθώς είναι απόλυτη ανάγκη να προστατεύσουμε τα ψηφιακά μας περιουσιακά στοιχεία.
Ένα τέτοιο, κρίσιμης σημασίας, ψηφιακό περιουσιακό στοιχείο είναι οι διαδικτυακές εφαρμογές και υπηρεσίες (web applications and services) καθώς πλέον αποτελούν αναπόσπαστο κομμάτι της καθημερινότητάς μας. Η έρευνα Data Breach Investigations Report 2021 της Verizon δείχνει ότι:
Σχεδόν δύο στις πέντε (39%) παραβιάσεις δεδομένων προκύπτουν από παραβιάσεις διαδικτυακών εφαρμογών.
Ακριβώς για αυτόν τον λόγο, η ασφάλεια διαδικτυακών εφαρμογών πλέον είναι μία αναγκαιότητα.
Η ασφάλεια διαδικτυακών εφαρμογών περιλαμβάνει την ασφάλεια ιστοσελίδων, διαδικτυακών εφαρμογών καθώς και διαδικτυακών υπηρεσιών όπως είναι τα APIs (Application Layer Interfaces). Ας συζητήσουμε λοιπόν τη σημασία της ασφάλειας διαδικτυακών εφαρμογών ή αλλιώς των εφαρμογών Ιστού καθώς και για τις βέλτιστες πρακτικές που μπορείτε να ακολουθήσετε.
Γιατί είναι πιο σημαντική η ασφάλεια διαδικτυακών εφαρμογών το 2022;
Οι διαδικτυακές εφαρμογές έχουν γίνει ιδιαίτερα διαδεδομένες τα τελευταία χρόνια. Από τις διαδικτυακές τραπεζικές συναλλαγές έως τις ηλεκτρονικές αγορές, βασιζόμαστε στις διαδικτυακές εφαρμογές για ένα ευρύ φάσμα χρήσεων στην καθημερινή ζωή μας.
Όμως με τη σειρά της, αυτή η μεγάλη δημοτικότητα προσελκύει την προσοχή των κυβερνοεγκληματιών. Οι χάκερ αναζητούν ασταμάτητα τρωτά σημεία σε διαδικτυακές εφαρμογές ώστε να τα εκμεταλλευτούν προς όφελός τους. Μια πρόσφατη έρευνα της PurpleSec αποκάλυψε ότι:
Πάνω από 18 εκατομμύρια ιστοσελίδες μολύνονται από από κακόβουλο λογισμικό κάθε εβδομάδα.
Οι μη ασφαλείς εφαρμογές μπορούν να οδηγήσουν σε τεράστιες διακοπές λειτουργίας και downtime, οδηγώντας σε μεγάλες απώλειες εσόδων και πωλήσεων. Σύμφωνα με πρόσφατες εκτιμήσεις της Cybersecurity Ventures, το κόστος του ransomware αναμένεται να φθάσει τα $265 δισεκατομμύρια έως το 2031. Και αυτό δείχνει πόσο ακριβά ενδέχεται να στοιχίσουν στις επιχειρήσεις οι ευπάθειες στις διαδικτυακές εφαρμογές τους αν δεν μεριμνήσουν για την ασφάλεια και την προστασία τους.
Πέρα όμως από τις οικονομικές απώλειες, η απουσία ασφάλειας διαδικτυακών εφαρμογών μπορεί επίσης να αποτελέσει κίνδυνο και για τη φήμη της εταιρείας σας και της αξιοπιστίας της έναντι των πελατών της. Για να το κάνουμε πιο κατανοητό, αν χάσετε τα ευαίσθητα προσωπικά δεδομένα σας, χάνετε και την εμπιστοσύνη των πελατών σας στην περίπτωση μίας παραβίασης δεδομένων.
Οι κυβερνήσεις επίσης, βρίσκονται σε αναζήτηση εταιρειών που δεν ακολουθούν τις πρακτικές ασφαλείας επαρκώς. Ορισμένοι κανονισμοί και νόμοι όπως οι GDPR, PCI και άλλοι έχουν διαμορφωθεί καταλλήλως για να επιβάλλουν την ασφάλεια των διαδικτυακών εφαρμογών και υπηρεσιών και την προστασία του απορρήτου των χρηστών. Μη συμμόρφωση με τους παραπάνω νόμους και κανονισμούς ενδέχεται στην περίπτωση μάις παραβίασης δεδομένων να οδηγήσει σε βαριά πρόστιμα, κυρώσεις και αγωγές.
Πως μπορείτε να προστατεύσετε τις διαδικτυακές εφαρμογές σας;
Τα στατιστικά που αναφέρονται παραπάνω επιβάλλουν μόνο τη διατήρηση υγιών πρακτικών για την προστασία των διαδικτυακών εφαρμογών σας από τα αδιάκριτα βλέμματα των χάκερ. Οι πιο κοινότυπες απειλές για τις διαδικτυακές εφαρμογές σας είναι οι κυβερνοεπιθέσεις, και σε αυτές περιλαμβάνονται οι επιθέσεις DDoS, η έγχυση SQL, ο προβληματικός και με κενά ασφαλείας έλεγχος ταυτότητας και το cross-site scripting.
Αν και δεν μπορούμε να σταματήσουμε τους χάκερ από το να εφευρίσκουν νέα σχήματα απάτης και να εκμεταλλεύονται τις εφαρμογές, μπορούμε τουλάχιστον να μάθουμε τις καλύτερες πρακτικές ασφάλειας διαδικτυακών εφαρμογών για τον μετριασμό των κινδύνων που υπάρχουν.
Έχοντας λοιπόν κατά νου τα παραπάνω, ας δούμε τι μπορούμε να κάνουμε!
1.Κρατήστε την κακόβουλη διαδικτυακή κίνηση μακριά με Web Application Firewalls
Ένα τείχος προστασίας διαδικτυακών εφαρμογών (WAF) σχεδιάστηκε για να προστατεύει τις διαδικτυακές εφαρμογές από application-layer επιθέσεις. Προσφέρει ισχυρή προστασία έναντι των πλέον κρίσιμης σημασίας ευπαθειών των διαδικτυακών εφαρμογών, όπως είναι το cross-site scripting, οι επιθέσεις έγχυσης SQL, η πλαστογραφία cross-site και ο προβληματικός έλεγχος ταυτότητας, μεταξύ άλλων.
Σκεφτείτε το WAF ως μία ασπίδα μεταξύ της διαδικτυακής εφαρμογής και ενός client. Παρακολουθεί και επιθεωρεί αδιάλειπτα την κίνηση HTTP από και προς τις διαδικτυακές εφαρμογές. Αν η κίνηση δεδομένων διαπιστωθεί ότι είναι ασφαλής, το WAF της επιτρέπει να περάσει. Αντίθετα, η κακόβουλη κίνηση αποκλείεται από τις διαδικτυακές εφαρμογές για την αποτροπή απειλών και επιθέσεων.
Το τείχος προστασίας διαδικτυακών εφαρμογών αξιοποιεί ένα σύνολο κανόνων, γνωστών και ως πολιτικών, για να διαφοροποιήσει την ασφαλή από την κακόβουλη διαδικτυακή κίνηση. Αυτές οι πολιτικές είναι προσαρμόσιμες και μπορούν να ρυθμιστούν ώστε να ανταποκρίνονται στις μοναδικές ανάγκες της διαδικτυακής εφαρμογής σας.
Τα τείχη προστασίας διαδικτυακών εφαρμογών μπορούν να ρυθμιστούν με πολλούς τρόπους. Οι δύο πιο συνηθισμένοι τύποι WAF είναι:
1.Τα WAF που βασίζονται στο hardware
2.Τα WAF που βασίζονται στο cloud
Και τα δύο έχουν τα πλεονεκτήματα και τα μειονεκτήματα τους. Επομένως, το να επιλέξετε την καταλληλότερη λύση για εσάς είναι ζήτημα του να κατανοήσετε τις μοναδικές ανάγκες της επιχείρησής σας και να πράξετε αναλόγως.
2.Κρυπτογραφήστε ευαίσθητα δεδομένα με TLS κατά τη διακίνησή τους
Η ασφάλεια των δεδομένων είναι ζωτικής σημασίας για τις διαδικτυακές εφαρμογές. Για παράδειγμα, όταν κάποιος κοινοποιεί εμπιστευτικές πληροφορίες στην εφαρμογή σας, όπως προσωπικά στοιχεία ή τραπεζικά διαπιστευτήρια, αναμένει ότι αυτές οι πληροφορίες θα παραδοθούν και θα αποθηκευτούν με ασφάλεια στον διαδικτυακό διακομιστή σας. Εκεί είναι που το TLS μπαίνει να σας βοηθήσει.
Το πρωτόκολλο Transport Layer Security (TLS) κρυπτογραφεί τις επικοινωνίες μεταξύ client και διακομιστή αξιοποιώντας το πρωτόκολλο HTTPS. Ως αποτέλεσμα αυτής της κρυπτογράφησης, η διαδικτυακή εφαρμογή σας παραμένει προστατευμένη από παραβιάσεις δεδομένων. Επιπλέον, το TLS πιστοποιεί τα μέρη που ανταλλάσσουν τις πληροφορίες για να αποτρέψει οποιαδήποτε μη εξουσιοδοτημένη αποκάλυψη και τροποποίηση των δεδομένων.
Το πρωτόκολλο TLS είναι πλέον μία τυπική πρακτική ασφαλείας τα τελευταία χρόνια. Είναι επίσης χρήσιμο από την άποψη του SEO, καθώς η Google χρησιμοποιεί μία ασφαλή σύνδεση ως σήμα κατάταξης (ranking signal).
Για να εφαρμόσετε το TLS στην ιστοσελίδα σας, είναι απαραίτητη η αγορά ενός πιστοποιητικού TLS από μία αρχή έκδοσης πιστοποιητικών. Στη συνέχεια, εγκαθιστάτε το πιστοποιητικό στον διακομιστή σας. Μπορεί κανείς να αναγνωρίσει την κρυπτογράφηση TLS από το εικονίδιο του λουκέτου που εμφανίζεται ακριβώς πριν από τη διεύθυνση URL στη γραμμή διευθύνσεων σε οποιονδήποτε περιηγητή Ιστού. Επιπλέον, αν η διεύθυνση URL ξεκινά με «HTTPS» αποτελεί ένα ακόμη σημάδι ότι το πρόγραμμα περιήγησής σας είναι συνδεδεμένο μέσω TLS.
3.Βελτιώστε το σύστημα ασφαλείας σας με Pen Testing
Το «pen testing» (penetration testing, δοκιμές διείσδυσης) λειτουργεί βάσει μίας αρχής: Να χακάρετε την διαδικτυακή εφαρμογή σας πριν το κάνουν οι χάκερ.
Μπορεί αρχικά να ακούγεται περίεργο, αλλά δεν είναι. Ορίστε για ποιο λόγο:
Αν μπορέσετε να εντοπίσετε ευπάθειες και τρωτά σημεία στη διαδικτυακή εφαρμογή σας και να λάβετε τα απαραίτητα μέτρα ασφαλείας για να τα διορθώσετε, οι πιθανότητές να δεχθείτε κάποια επίθεση ή εισβολή στο μέλλον θα μειωθούν δραστικά.
Αυτή είναι η ιδέα πίσω από το «penetration testing», η οποία είναι ευρέως γνωστή και ως pen testing ή pen test. Πρόκειται για ένα προληπτικό μέτρο για τη μείωση, αν όχι την εξάλειψη, των κυβερνοεπιθέσεων.
Σε αυτήν την άσκηση κυβερνοασφάλειας, ειδικοί στον τομέα της κυβερνοασφάλειας, έχοντας κατάλληλη άδεια, προσπαθούν να εντοπίσουν και να αξιοποιήσουν προς όφελος τους τρωτά σημεία και ευπάθειες στο σύστημά σας.
Και για το σκοπό αυτό, χρησιμοποιούν διάφορα εργαλεία διείσδυσης όπως είναι τα Nmap, Wireshark, Metasploit κ.λπ. Αυτή η προσομοιωμένη επίθεση σκοπεύει να δοκιμάσει την αποτελεσματικότητα των υφιστάμενων πολιτικών ασφαλείας σας και να εντοπίσει άγνωστα τρωτά σημεία που θα μπορούσαν να αξιοποιήσουν οι χάκερ για να κλιμακώσουν την επίθεση τους. Ανακαλύπτει επίσης κενά που θα μπορούσαν να οδηγήσουν ενδεχομένως στην κλοπή δεδομένων. Επομένως, μία τέτοια δοκιμή θα σας βοηθήσει να προσδιορίσετε τυχόν ευπάθειες και κενά ασφαλείας πριν από τους χάκερ, ώστε να ενημερώσετε έγκαιρα τις λύσεις ασφαλείας και να προχωρήσετε στην επιδιόρθωση (patching) των κενών ασφαλείας και των ευπαθειών.
4.Ενσωματώστε πρακτικές ασφάλειας στη φάση σχεδιασμού και ανάπτυξης
Η πλειονότητα των περιστατικών ασφαλείας προκαλούνται εξαιτίας ελαττωμάτων στον σχεδιασμό και στον κώδικα του λογισμικού. Αυτός είναι και ο λόγος για τον οποίο η ενσωμάτωση πρακτικών ασφαλείας στη φάση του σχεδιασμού και της ανάπτυξης του κώδικα των εφαρμογών είναι ζωτικής σημασίας.
Όσον αφορά τη φάση του σχεδιασμού, μερικές από τις βέλτιστες πρακτικές ασφαλείας περιλαμβάνουν την εκτέλεση ανάλυσης απειλών, την εφαρμογή αρχών σχεδιασμού όπως η επικύρωση από την πλευρά του διακομιστή για τον μετριασμό των κινδύνων και την κατασκευή ενός σχεδίου δοκιμών ασφαλείας.
Για τον ασφαλή προγραμματισμό, οι developers θα πρέπει να εκπαιδευτούν ώστε να γνωρίζουν τις Top 10 OWASP ευπάθειες καθώς και τις πρακτικές ασφαλούς κωδικοποίησης OWASP, τις οποίες και θα πρέπει να υϊοθετήσουν για να αποτρέψουν την εμφάνιση ευπαθειών στον κώδικα τους. Οι προγραμματιστές θα πρέπει επίσης να συνηθίσουν να σαρώνουν τον κώδικά τους για να εντοπίσουν ευπάθειες ασφαλείας όσο το δυνατόν νωρίτερα στη φάση της ανάπτυξης. Μπορούν να ενσωματώσουν εργαλεία ασφαλείας στη διαδικασία DevOps για να εντοπίσουν τυχόν ευπάθειες που ενδέχεται να έχουν εισχωρήσει κρυφά στον κώδικα τους. Και αυτό θα τους επιτρέψει να διορθώσουν γρήγορα των κώδικά τους και να επιλύσουν το πρόβλημα εν τη γενέσει του.
Το OWASP ή Open Web Application Security Project (OWASP), το οποίο είναι αφοσιωμένο στο να βοηθάει τους οργανισμούς να κατανοήσουν και να βελτιώσουν την ασφάλεια των
δικτυακών τους εφαρμογών και υπηρεσιών έχει επίσης εργαστεί ενεργά για τον εντοπισμό των βέλτιστων πρακτικών ασφαλείας προγραμματισμού, οι οποίες μπορούν να ενσωματωθούν στον κύκλο ζωής ανάπτυξης λογισμικού για τον μετριασμό των πιο κοινών ευπαθειών λογισμικού.
5.Υιοθετήστε ένα πλαίσιο κυβερνοασφάλειας
Το τελευταίο «συστατικό» στη λίστα των βέλτιστων πρακτικών κυβερνοασφάλειας είναι η αξιοποίηση ενός πλαισίου κυβερνοασφαλείας.
Ένα πλαίσιο κυβερνοασφάλειας είναι ένα σύνολο προτύπων, κατευθυντήριων γραμμών και πρακτικών που μπορεί να ακολουθήσει ένας οργανισμός για να διαχειριστεί τους κινδύνους για την κυβερνοασφάλεια. Το πλαίσιο στοχεύει στη μείωση της έκθεσης της εταιρείας σε κυβερνοεπιθέσεις και στον εντοπισμό των περιοχών που είναι πιο επιρρεπείς σε αυτές τις επιθέσεις.
Υπάρχουν διάφοροι τύποι πλαισίων κυβερνοασφαλείας. Ορισμένα από τα πιο δημοφιλή στην αγορά περιλαμβάνουν το πλαίσιο κυβερνοασφάλειας NIST, το CIS και το ISO/IEC 27001. Όταν πρόκειται να επιλέξετε ένα πλαίσιο κυβερνοασφαλείας για τον οργανισμό σας, υιοθετήστε εκείνο που έχει την δυνατότητα να προστατεύσει τους πιο ζωτικούς τομείς της επιχείρησής σας. Μπορείτε επίσης να αντλήσετε έμπνευση για την επιλογή του καταλληλότερου και από τα πρότυπα ασφαλείας που επικρατούν στον κλάδο σας.
Συμπέρασμα
Η δυναμική του Ιστού αλλάζει συνεχώς. Η παράβλεψη της ασφάλειας των διαδικτυακών εφαρμογών σας μπορεί να οδηγήσει την επιχείρησή σας σε τεράστιες απώλειες εσόδων και να ζημιώσει τη φήμη σας. Οι πρακτικές ασφαλείας διαδικτυακών εφαρμογών που αναφέραμε σε αυτήν την ανάρτηση στο επίσημο blog της Array Networks θα σας καθοδηγήσουν για να λάβετε τα απαραίτητα μέτρα και να δημιουργήσετε μια στρατηγική διαδικτυακής ασφάλειας που προσφέρει προστασία 24/7 και βελτιώνει την αξιοπιστία της διαδικτυακής εφαρμογής σας.
Πηγή: Array Networks5