کمیته رکن چهارم – دنیای برنامه های کاربردی تحت وب، جهان پرمخاطره ای از دیدگاه امنیت سایبری است. معمولاً این برنامه ها از چند لایه مختلف تشکیل شده اند که اگر الزام های امنیتی در هنگام طراحی و تولید آنها در نظر گرفته نشود می توانند منشأ انواع آسیبپذیری ها و حملات سایبری باشند.
بنابراین سازمان ها باید تمام جوانبی که یک هکر ممکن است از آنها سوءاستفاده کند را شناسایی کرده و قبل از این که مورد بهره برداری غیرمجاز قرار گیرند، برطرف کنند. از این رو تیم های امنیت سایبری برای دستیابی به این هدف باید ابتدا درک درستی از معماری برنامه های کاربردی مورد استفاده در سازمان مطبوع خویش به منظور کاهش سطح حملات سایبری از طریق آنها داشته باشند.
از آنجا که برنامه های کاربردی تحت وب، دارای اطلاعات هویتی و داده های مالی بوده و چنین اطلاعاتی برای تداوم فعالیت های روزمره مشاغل بسیار ارزشمند هستند؛ بر اساس الزامات کسب و کاری و قوانین ملی و حتی بینالمللی می بایست محافظت های کامل از آنها به عمل آید. در غیر این صورت، احتمال وضع جریمه های سنگین برای کسب و کارهای متخلف و از بین رفتن اعتماد مشتریان آنها بر اثر وقوع رخدادهای ناگوار سایبری بسیار زیاد است.
علاوه بر این، محدودیت های زمانی و بودجه ای که بر اثر شیوع بیماری کرونا و افزایش دورکاری کارکنان به وجود آمده است باعث شده بسیاری از این برنامه های کاربردی به خوبی امن سازی نشوند. از سوی دیگر، با توجه به ضعف دانش امنیت سایبری و کمبود نیروهای متخصص در کشورهای مختلف و همچنین توانمندی و عزم راسخ مهاجمان سایبری در حمله به دارایی های اطلاعاتی سازمان ها، شرایط بسیار خطرناکتر از قبل شده است.
امنیت برنامه های کاربردی تحت وب
مجرمان سایبری همواره در حال تکامل روش های مجرمانه خود برای نفوذ به برنامههای کاربردی تحت وب و سرقت داده های سازمانی هستند. ممکن است بعضی از افراد تصور کنند استفاده از فایروال برنامه کاربردی تحت وب (WAF[۱]) و به کارگیری کنترلهای ساده، برای مقابله با این شرایط خطرناک کافی خواهند بود. متأسفانه باید گفت هیچ برنامه کاربردی توانایی در امان ماندن از اکسپلویتها و حملات مخرب هکرها را ندارد.
گزارش های مختلف نشان می دهد برنامه های کاربردی، مهمترین عامل در نشت داده های سازمانی هستند. بر اساس یافتههای منتشر شده، بیش از دو پنجم رخنه های اطلاعاتی به وقوع پیوسته در سازمان ها در سال ۱۳۹۸، از طریق حمله به برنامههای کاربردی تحت وب آنها صورت گرفته است.
مجرمان سایبری همواره پیش از شروع حملات خود بیشترین تلاش شان را انجام میدهند. آنها با دقت درباره قربانیان آینده خودشان اطلاعاتی را جمعآوری کرده و با وسواس خاصی نقاط ضعف سیستم های هدف را شناسایی میکنند. به همین خاطر سازمان هایی که آسیب پذیری های امنیتی زیرساخت های آنلاین شان را سریعاً برطرف نکنند، قطعاً هدف حمله های سایبری آتی قرار خواهند گرفت. حتی یک اشتباه کوچک هم احتمال نفوذ هکرها به سیستمهای سازمانی و دسترسی آنها به منابع ارزشمند کسب و کاری را فراهم می کند.
از آنجا که هیچ راهکار جامعی برای رفع آسیب پذیری های برنامه های کاربردی تحت وب وجود ندارد بنابراین متخصصان امنیت سایبری سازمان ها باید با عواملی که می توانند مانع از نشت اطلاعات سازمانی شده و رویکردهای حفاظتی که در این خصوص وجود دارد، آشنایی کامل داشته باشند.
تشخیص سطح حمله و کاهش آن
با اجرای یک فرایند سه مرحله ای می توان سطح حمله در برنامه های کاربردی تحت وب را ترسیم کرده و مسیرهای حمله را تشخیص داد. در مرحله اول، ابتدا بایستی برنامه های کاربردی مورد استفاده در سازمان را شناسایی کرد. همچنین سازمان ها باید فهرست کاملی از برنامه های کاربردی خودشان و مواردی که احتمال سوءاستفاده از آنها بیشتر است را نیز تهیه کنند.
به دلیل آن که ممکن است تعداد برنامه های کاربردی و آسیبپذیری های آنها به خصوص در سازمان های بزرگ بسیار زیاد باشد، در نتیجه شناسایی مداوم برنامه های کاربردی مورد استفاده و برطرف سازی آسیبپذیریهای آنها امری ضروری برای از بین بردن نقاط کور احتمالی در شبکه سازمان ها است.
در اقدام بعدی می بایست سطح مخاطره برنامه های کاربردی تحت وب، در هفت مسیری که احتمال رخداد حمله در آنها توسط مهاجمان بسیار زیاد است، بررسی شود. این مسیرها عبارتند از:
- مسیر اول، سازوکارهای امنیتی هستند که مشخص میکنند ترافیک تبادلی کاربران و برنامه های کاربردی، چگونه امن سازی میشود.
- مسیر بعدی، روش طراحی صفحه است که به زبان برنامه نویسی برنامه کاربردی تحت وب مورد استفاده بستگی دارد و میتواند مسایل امنیتی احتمالی را مشخص کند.
- سومین مسیر، درجه توزیع نام داشته و مربوط به تعداد صفحه های ایجاد شده است. هر چه تعداد این صفحه ها بیشتر باشد، احتمال بروز مشکل نیز افزایش می یابد. بنابراین همه صفحهها باید تحت نظارت قرار داشته باشند.
- مسیر چهارم، جعل هویت است. به منظور دسترسی به تنظیمات برنامه های کاربردی تحت وب، تأیید و احراز هویت کاربران امری ضروری بوده و همه دسترسی ها باید بررسی شوند. برای جلوگیری از امکان نفوذ به سامانه ها فقط راهبران مجاز باید توانایی پیکربندی آنها را داشته باشند.
- فیلدهای ورودی هم یکی دیگر از مسیرهای حمله هستند. با افزایش تعداد این فیلدها امکان افزایش سطح حمله، با اجرای حملات تزریق اسکریپت از طریق وبگاه توسط هکرها وجود دارد.
- مسیر ششم، شامل محتوای فعال است. محتوای فعال، در واقع برنامه هایی هستند که در یک صفحه وب اقدام های خودکار را بدون اطلاع و رضایت کاربر انجام می دهند. زمانی که برنامه های کاربردی، اسکریپ ها را اجرا می کنند این مسیر حمله نیز شروع می شود. بسته به روشی که اسکریپت ها اجرا و پیاده سازی می شوند و همچنین در صورتی که یک وب سایت از چندین فناوری برای محتوای فعال استفاده کرده باشد، سطح حمله نیز افزایش خواهد یافت.
- هفتمین مسیر حمله، کوکیهای وب هستند. از آنجا که کوکی ها بر فعالیت های صورت گرفته توسط کاربران نظارت لحظه ای دارند، پس وجود آنها به کاهش دسترسی های غیرمجاز از سوی مجرمان سایبری کمک می کند.
جمع بندی
هنگامی که یک برنامه کاربردی تحت وب را بر اساس موارد بالا ارزیابی می کنید باید برای مشخص کردن سطح مخاطره آنها نتایج را از نظر زمانی (میزان حیاتی بودن برای کسب و کار) و محیطی (بازه به روز رسانیها) مورد بررسی قرار دهید. وقتی اطلاعات لازم درباره سطح حمله، از جمله نقاط قوت و ضعف جمع آوری شدند، آنگاه تیم امنیت سایبری سازمان میتواند کنترلهای امنیتی لازم را پیاده سازی کند.
پس از اجرای این مراحل، تیمهای امنیتی دادههای لازم را در اختیار داشته و بعد از مشخص کردن رتبه هر مخاطره میتوانند ارزیابیهای کارآمد و مداومی را برای سنجش سازوکارهای دفاعی وضع شده انجام دهند.
منبع: infosecurity-magazine