إن براعة مجرمي الإنترنت (Cybercriminals’ ingenuity) في تجاوز أحدث جدران الحماية لتطبيقات الويب (web application firewalls) تعمل على تحويل تطبيقات الإنترنت إلى متجه الهجمات الأسرع نموًا (fastest-growing attack vector) هذا العام. تعد تطبيقات الويب التي تواجه الجمهور الآن أكثر ناقلات الهجمات استخدامًا لاختراق محيط المؤسسة. زادت الهجمات التي تبدأ في تطبيقات الويب من 31.5% في عام 2020 إلى 53.6% في عام 2021، وفقًا لتقرير حديث صادر عن فريق الاستجابة للطوارئ العالمية في كاسبرسكاى (Kaspersky’s Global Emergency Response Team).
حماية تطبيقات الويب هدف متحرك
أصبح تحديد محاولات اختراق تطبيقات الإنترنت والهجمات والخروقات باستخدام الكشف الآلي عن التهديدات أكثر صعوبة. يعتمد مجرمو الإنترنت على بيانات اعتماد الوصول ذات الامتياز المسروقة ويستخدمون تقنيات العيش خارج الأرض (LOTL) living-off-the-land التي تعتمد على Powershell و PsExec و Windows Management Interface (WMI) وغيرها من الأدوات الشائعة لتجنب الكشف أثناء شن الهجمات.
استمرت PsExec و Mimikatz و Cobalt Strike في كونها من بين أدوات الهجوم الأكثر شيوعًا في عام 2021. ونتيجة لذلك، فإن 71% من محاولات التسلل خالية من البرامج الضارة، مما يجعلها أكثر صعوبة في التعرف عليها، ناهيك عن التوقف. يستغرق مجرمي الإنترنت ساعة واحدة و 24 دقيقة فقط للتحرك بشكل أفقي عبر الشبكة بمجرد اختراقه لمتجه الهجوم، وفقًا لتقرير CrowdStrike's 2022 Falcon OverWatch Threat Hunting Report.
هجمات API هي استراتيجية الهجوم الأسرع نموًا على تطبيقات الويب بهامش كبير. كانت هناك زيادة بنسبة 117% في حركة هجمات API خلال العام الماضي، بينما نما إجمالي حركة مرور API بنسبة 168%. تقول الشركات إن إيقاف الهجمات عن طريق تحسين أمان واجهة برمجة التطبيقات هو التحدي الأكثر إلحاحًا، يليه تحديد واجهات برمجة التطبيقات التي تعرض معلومات PII أو البيانات الحساسة. بالإضافة إلى ذلك، ينظر مجرمو الإنترنت إلى واجهات برمجة التطبيقات كوسيلة سريعة لتجاوز أمان تطبيقات الويب والوصول إلى الشبكات، وغالبًا ما يبقون هناك لأشهر دون أن يتم اكتشافهم.
"تطبيق الويب هو المتجه رقم واحد، وليس من المستغرب أنه متصل بعدد كبير من هجمات DoS. يتوافق هذا الاقتران، جنبًا إلى جنب مع استخدام بيانات الاعتماد المسروقة (التي تستهدف عادةً بعض أشكال تطبيقات الويب)، مع ما رأيناه في السنوات القليلة الماضية"، وفقًا لتقرير Verizon Data Breach لعام 2022. تبدأ 80% من جميع الاختراقات في تطبيقات الويب، والتي يتم اختراقها باستخدام بيانات اعتماد الوصول المسروقة وهجمات الباب الخلفي والحقن عن بُعد واختراق برامج مشاركة سطح المكتب.
حماية تطبيقات الويب هدف متحرك
أصبح تحديد محاولات اختراق تطبيقات الإنترنت والهجمات والخروقات باستخدام الكشف الآلي عن التهديدات أكثر صعوبة. يعتمد مجرمو الإنترنت على بيانات اعتماد الوصول ذات الامتياز المسروقة ويستخدمون تقنيات العيش خارج الأرض (LOTL) living-off-the-land التي تعتمد على Powershell و PsExec و Windows Management Interface (WMI) وغيرها من الأدوات الشائعة لتجنب الكشف أثناء شن الهجمات.
استمرت PsExec و Mimikatz و Cobalt Strike في كونها من بين أدوات الهجوم الأكثر شيوعًا في عام 2021. ونتيجة لذلك، فإن 71% من محاولات التسلل خالية من البرامج الضارة، مما يجعلها أكثر صعوبة في التعرف عليها، ناهيك عن التوقف. يستغرق مجرمي الإنترنت ساعة واحدة و 24 دقيقة فقط للتحرك بشكل أفقي عبر الشبكة بمجرد اختراقه لمتجه الهجوم، وفقًا لتقرير CrowdStrike's 2022 Falcon OverWatch Threat Hunting Report.
هجمات API هي استراتيجية الهجوم الأسرع نموًا على تطبيقات الويب بهامش كبير. كانت هناك زيادة بنسبة 117% في حركة هجمات API خلال العام الماضي، بينما نما إجمالي حركة مرور API بنسبة 168%. تقول الشركات إن إيقاف الهجمات عن طريق تحسين أمان واجهة برمجة التطبيقات هو التحدي الأكثر إلحاحًا، يليه تحديد واجهات برمجة التطبيقات التي تعرض معلومات PII أو البيانات الحساسة. بالإضافة إلى ذلك، ينظر مجرمو الإنترنت إلى واجهات برمجة التطبيقات كوسيلة سريعة لتجاوز أمان تطبيقات الويب والوصول إلى الشبكات، وغالبًا ما يبقون هناك لأشهر دون أن يتم اكتشافهم.
"تطبيق الويب هو المتجه رقم واحد، وليس من المستغرب أنه متصل بعدد كبير من هجمات DoS. يتوافق هذا الاقتران، جنبًا إلى جنب مع استخدام بيانات الاعتماد المسروقة (التي تستهدف عادةً بعض أشكال تطبيقات الويب)، مع ما رأيناه في السنوات القليلة الماضية"، وفقًا لتقرير Verizon Data Breach لعام 2022. تبدأ 80% من جميع الاختراقات في تطبيقات الويب، والتي يتم اختراقها باستخدام بيانات اعتماد الوصول المسروقة وهجمات الباب الخلفي والحقن عن بُعد واختراق برامج مشاركة سطح المكتب.
هوية كل جهاز تعد بمثابة محيط أمني جديد
لا تعمل الجدران النارية لتطبيقات الويب (WAF) Web application firewalls والخوادم الوكيلة العكسية (reverse proxies) على إبطاء وتيرة محاولات التسلل والاختراق على الأجهزة المُدارة وغير المُدارة. أحد الأسباب هو أن WAFs لم يتم تصميمها لفرض الوصول الأقل امتيازًا أو توفير الحقوق الدقيقة وعناصر التحكم في السياسة أو دعم التقسيم الجزئي للشبكة. بالإضافة إلى ذلك، نظرًا لوجود عدد كبير من الإيجابيات الخاطئة، تقوم العديد من المؤسسات بتشغيل WAFs الخاصة بها في وضع "التنبيه" بدلاً من جعلها تمنع الهجمات. في الوقت نفسه، أشارت دراسة استقصائية حديثة إلى أن نصف هجمات طبقة التطبيق على الأقل قد تجاوزت WAFs.
ومما يزيد الأمور تعقيدًا بيئة العمل الموزعة الجديدة التي تحتاج معظم المنظمات إلى دعمها. يتصل المستخدمون من عناوين IP متنوعة ومتغيرة ومن مزيج من الأجهزة المُدارة وغير المُدارة. يعد استخدام أجهزة BYOD والأجهزة غير المُدارة مشكلة بشكل خاص، كما يتضح من تقرير Microsoft الأخير أن 71% من حالات برامج الفدية يتم بدء تشغيلها بواسطة أجهزة غير مُدارة تواجه الإنترنت
أصبح المقاولون، المعروفين الآن باسم اقتصاد العمل الحر، أمرًا حيويًا للقوى العاملة في كل مؤسسة. يعتمدون على الأجهزة غير المُدارة لإنجاز العمل، مما يؤدي إلى مخاطر وصول الجهات الخارجية. حتى الأجهزة المُدارة تشكل تهديدًا أمنيًا، حيث غالبًا ما يتم تكوينها بشكل مفرط مع وكلاء أمان نقطة النهاية. وجد تقرير مخاطر نقطة النهاية (Endpoint Risk Report) من برنامج Absolute Software أنه، في المتوسط ، تحتوي كل نقطة نهاية على 11.7 عاملًا مثبتًا، كل منها يؤدي إلى تعارضات محتملة مع البرامج ويؤدي إلى تدهورها بمعدل مختلف. وجد تقرير Absolute Software أيضًا أن غالبية نقاط النهاية (52%) لديها ثلاثة أو أكثر من عملاء إدارة نقاط النهاية مثبتين، و 59% لديها عميل واحد على الأقل لإدارة الوصول إلى الهوية (IAM) identity access management مثبتًا. محاولة تقوية الأجهزة غير المُدارة والمُدارة عن طريق زيادة التحميل عليها بوكلاء لا تعمل.
لسوء الحظ، توقف WAFs أقل من 50% من هجمات طبقة التطبيق وهي معروفة بتوليد تنبيهات إيجابية خاطئة. من المعروف أن فرق الأمن تقوم بإيقاف تشغيل التنبيهات، نظرًا لعدد الرسائل الخاطئة، وترك التطبيقات والبيانات التي تحتوي عليها مؤمنة جزئيًا فقط.
يلزم اتباع نهج قائم على الثقة الصفرية يتتبع هوية كل جهاز وصولاً إلى جلسة المتصفح كمحيط أمان مناسب لعمر تطبيق الويب.
تشغيل تطبيقات الويب بشكل أكثر أمانًا
بدلاً من محاولة تأمين ومراقبة وتصفية حركة المرور المتدفقة بين كل جهاز والتطبيق الذي يحاول الوصول إليه، كما تفعل جدران الحماية، فإن عزل المتصفح هو أسلوب يمكن استخدامه لتشغيل تطبيقات الويب بشكل أكثر أمانًا عن طريق إنشاء فجوة بين الشبكات و التطبيقات من جهة والبرامج الضارة من جهة أخرى. تعمل ميزة عزل المستعرض عن بُعد (RBI) Remote browser isolation على تشغيل جميع الجلسات في بيئة سحابية آمنة ومعزولة، مما يفرض الوصول إلى التطبيق الأقل امتيازًا على مستوى جلسة المتصفح. هذا يخفف من الحاجة إلى تثبيت وتتبع وكلاء / عملاء نقطة النهاية عبر الأجهزة المُدارة وغير المُدارة، ويمكّن الوصول البسيط والآمن إلى BYOD والمقاولين الخارجيين للعمل على أجهزتهم الخاصة.
كل جلسة وصول للتطبيق قابلة للتكوين لمستوى معين من الأمان المطلوب. على سبيل المثال، تستخدم فرق الأمن السيبراني عزل التطبيق لتحديد السياسات على مستوى المستخدم التي تتحكم في التطبيق الذي يمكن لمستخدم معين الوصول إليه وإجراءات مشاركة البيانات المسموح لهم باتخاذها. تتضمن عناصر التحكم الشائعة فحص DLP، ومسح البرامج الضارة، والحد من وظائف القص واللصق، بما في ذلك استخدام الحافظة، وأذونات تحميل / تنزيل الملفات، والأذونات لإدخال البيانات في الحقول النصية. يشمل البائعون الذين قاموا بتكييف حلول RBI الخاصة بهم لدعم أمان الوصول إلى التطبيقات Broadcom و Ericom و Zscaler.
بالإضافة إلى عناصر التحكم في الوصول ومشاركة البيانات، يؤمن نهج RBI أيضًا الأسطح المكشوفة لتطبيقات الويب، ويحميها من الأجهزة المخترقة والممثلين السيئين مع ضمان وصول المستخدمين الشرعيين بشكل كامل. تحجب تقنية الثغرات الهوائية الخطر الذي يمثله المتسللون أو الأجهزة المصابة عندما يحاولون استكشاف تطبيقات الويب، بحثًا عن ثغرات لاستغلالها، لأنهم لا يملكون رؤية لشفرة مصدر الصفحة أو أدوات المطور أو واجهات برمجة التطبيقات.
يُطلق على نهج Ericom ZTEdge لعزل التطبيقات اسم عزل تطبيقات الويب (WAI) ، وهو نهج فريد للاستفادة من RBI لتأمين وصول الجهاز غير المُدار إلى تطبيقات الويب والسحابة العامة أو الخاصة. مصدر الصورة: Ericom.
تقول Ericom أن عملائها يجدون أن WAI فعال أيضًا في إخفاء أسطح هجوم التطبيقات، مما يمكّن المؤسسات من الحصول على حماية أكبر ضد OWASP أهم 10 مخاطر أمان لتطبيقات الويب.
ثقة معدومة (Zero trust) لجلسات متصفح آمنة
يواصل مجرمو الإنترنت اكتشاف طرق جديدة لتجاوز WAF وعكس البروكسيات، وإطلاق عمليات التطفل وخرق تطبيقات الويب بنجاح بمعدل متزايد. أصبح تأمين تطبيقات الويب أكثر صعوبة مع استمرار زيادة عدد الأجهزة غير المُدارة بشكل كبير. الاعتماد المتزايد على المقاولين والموردين والمبيعات وشبكات التوزيع الخارجيين يضع ضغطاً على فرق تكنولوجيا المعلومات والأمن لتأمين القاعدة المتزايدة للأجهزة غير المُدارة. بالإضافة إلى ذلك، فإن تثبيت الوكلاء على أنظمة الجهات الخارجية محفوف بالتوافق وتحديات الحجم.
مع ضغوط فرق الأمان بالفعل، يجب أن تكون هناك طريقة أكثر فاعلية لتأمين كل جهاز ومتصفح، من الناحية المثالية باستخدام عدم الثقة كإطار عمل. يحل تأمين تطبيقات الويب باستخدام RBI هذا التحدي على مستوى المتصفح والجلسة - ويزيل الحاجة إلى وكلاء على كل جهاز. الجدير بالذكر أن إطار العمل هذا يمكّن مستخدمي الأجهزة غير المُدارة من العمل بشكل افتراضي دون تعريض تطبيقات الشركة أو بياناتها لمحاولات أو تهديدات التسلل. هذا هو الطريق إلى الأمام لاستراتيجية عدم الثقة لأمان مبسط بدون عميل يحمي تطبيقات الشركة وبياناتها الحساسة.
يواصل مجرمو الإنترنت اكتشاف طرق جديدة لتجاوز WAF وعكس البروكسيات، وإطلاق عمليات التطفل وخرق تطبيقات الويب بنجاح بمعدل متزايد. أصبح تأمين تطبيقات الويب أكثر صعوبة مع استمرار زيادة عدد الأجهزة غير المُدارة بشكل كبير. الاعتماد المتزايد على المقاولين والموردين والمبيعات وشبكات التوزيع الخارجيين يضع ضغطاً على فرق تكنولوجيا المعلومات والأمن لتأمين القاعدة المتزايدة للأجهزة غير المُدارة. بالإضافة إلى ذلك، فإن تثبيت الوكلاء على أنظمة الجهات الخارجية محفوف بالتوافق وتحديات الحجم.
مع ضغوط فرق الأمان بالفعل، يجب أن تكون هناك طريقة أكثر فاعلية لتأمين كل جهاز ومتصفح، من الناحية المثالية باستخدام عدم الثقة كإطار عمل. يحل تأمين تطبيقات الويب باستخدام RBI هذا التحدي على مستوى المتصفح والجلسة - ويزيل الحاجة إلى وكلاء على كل جهاز. الجدير بالذكر أن إطار العمل هذا يمكّن مستخدمي الأجهزة غير المُدارة من العمل بشكل افتراضي دون تعريض تطبيقات الشركة أو بياناتها لمحاولات أو تهديدات التسلل. هذا هو الطريق إلى الأمام لاستراتيجية عدم الثقة لأمان مبسط بدون عميل يحمي تطبيقات الشركة وبياناتها الحساسة.