Web Application Security, Những điều cần biết để giảm thiểu mối đe doạ

Web Application Security: Những điều cần biết để giảm thiểu mối đe doạ

July 11, 2019 | vietsunshine

Tìm hiểu cách thực hành những điều cơ bản về bảo mật ứng dụng web và theo kịp với bối cảnh mối đe dọa có thể giúp giữ an toàn cho doanh nghiệp của bạn.

Khi nói đến mối đe doạ từ những tội phạm mạng xâm nhập vào mạng công ty và đánh cắp dữ liệu, hầu hết các cuộc tấn công bắt đầu bằng các lỗ hổng tương đối nổi tiếng trong các ứng dụng web – những thứ mà doanh nghiệp sử dụng để tương tác với khách hàng và công chúng nói chung.

Nate Dyer, một giám đốc tiếp thị sản phẩm cao cấp của Tenable cho biết,” các ứng dụng Web vẫn là vectơ tấn công hàng đầu về mặt tạo hoặc gây ra vi phạm dữ liệu.” Và trong khi bảo mật ứng dụng web vẫn là một vấn đề lớn đối với các doanh nghiệp, một vài biện pháp phòng ngừa cơ bản có thể giữ an toàn cho dữ liệu nhạy cảm của khách hàng và doanh nghiệp.

Trong webinar của Tenable gần đây, với chủ đề: Bảo vệ ứng dụng web của bạn khỏi các lỗ hổng thành phần, Dyer và Eric Detoisien, Giám đốc nghiên cứu về Web Application Scanning (WAS) Content đã đưa ra giải pháp giúp các doanh nghiệp ở mọi quy mô giảm bớt các cuộc tấn công có thể dẫn tới vi phạm dữ liệu bằng cách chú ý đến các lỗ hổng thành phần và bối cảnh của mối đe doạ.

Thông tin cơ bản về bảo mật ứng dụng web

Mặc dù các lỗ hổng ứng dụng web là nguồn hàng đầu cho các vi phạm dữ liệu trong doanh nghiệp, các ngành đặc thù dễ bị ảnh hưởng hơn các ngành khác. Chúng bao gồm chăm sóc sức khỏe, bán lẻ và thậm chí một số khu vực công và cơ quan chính phủ – về cơ bản là bất kỳ tổ chức nào liên quan đến một lượng lớn thông tin nhận dạng cá nhân (PII), số thẻ tín dụng hoặc các loại kẻ tấn công dữ liệu khách hàng khác tìm kiếm khi vi phạm.

Đồng thời, các ứng dụng web – ngay cả trang web tĩnh, trông có vẻ đơn giản nhất – cũng khá phức tạp. Có một hệ thống quản lý nội dung cơ bản (CMS – Content Management System) mà hầu hết các trang được xây dựng trên đó. Sau đó, có các library và framework được sử dụng để xây dựng các ứng dụng này. Và cuối cùng, có những nhà phát triển mã tùy chỉnh thông thường tạo ra để thêm chức năng và các tính năng khác cho các doanh nghiệp sử dụng các trang web này.

Mỗi lớp này thể hiện mức độ rủi ro riêng cho doanh nghiệp. Ví dụ: lớp mã tùy chỉnh trong hầu hết các ứng dụng web dễ bị ảnh hưởng bởi bất kỳ vấn đề nào trong 10 vấn đề hàng đầu của Open Web Application Security Project (OWASP), bao gồm tiêm (injections) , cấu hình sai (misconfigurations) hoặc kịch bản chéo trang (cross-site scripting).

Trong khi đó, các thành phần ứng dụng web của bên thứ ba tạo ra các vấn đề khác của riêng họ. Lấy ví dụ, Dyer và Detoisien đã thảo luận về Apache Struts và lỗ hổng chưa được khắc phục cuối cùng đã dẫn đến vi phạm tại Equifax, đã ảnh hưởng đến gần 150 triệu khách hàng và dẫn đến các cuộc điều tra liên bang và điều trần của Quốc hội. Các vấn đề với các nền tảng CMS khác nhau cũng được ghi chép lại. “Có vẻ như mỗi tháng, có một lỗ hổng mới hoặc một khai thác mới liên quan đến WordPress hoặc Drupal hoặc Joomla“, Dyer cho biết.

Với kho dữ liệu có khả năng truy cập thông qua các ứng dụng web, không có gì ngạc nhiên khi những kẻ tấn công sẽ tràn vào để tận dụng lỗ hổng. hi một lỗ hổng được phát hiện, các tác nhân đe dọa sẽ sử dụng những gì mà Detoisien mô tả là “spray and raid” (tạm dịch: phun xịt và đột kích) vào các ứng dụng để tấn công càng nhiều ứng dụng càng tốt trước khi các bản vá được tung ra, mang lại cho họ đủ nạn nhân để có thể sinh lợi nhuận.

Web Application Scanning: Xem xét các thành phần của bạn

Dyer và Detoisien đã thảo luận hai chủ đề chính để các chuyên gia bảo mật ghi nhớ để giúp ngăn chặn các cuộc tấn công vào các ứng dụng web:

  • “Vệ sinh mạng” cơ bản sẽ giải quyết nhiều điểm yếu. Nếu doanh nghiệp của bạn có thể phát hiện lỗ hổng và nhóm bảo mật của bạn có thể ưu tiên khắc phục dựa trên rủi ro không gian mạng thực tế, thì đây là cách cực kỳ quan trọng để giúp bảo mật các ứng dụng web, cũng như các loại tài sản CNTT khác trên mạng.
  • Theo kịp các lỗ hổng và bản vá lỗi mới nhất có thể ngăn chặn vi phạm. Nhiều thành phần ứng dụng web cơ bản nhất, chẳng hạn như plugin jQuery, được sử dụng rộng rãi và kẻ tấn công lợi dụng các thành phần này cho mục đích của chúng, vì vậy, nó đáng để theo kịp các cảnh báo và cập nhật bảo mật mới nhất từ các nhà cung cấp ứng dụng chính.

Khi bạn đã có những điều cơ bản, Dyer và Detoisien khuyên bạn nên đảm bảo rằng bạn đang đánh giá tất cả các thành phần bên ngoài bao gồm các ứng dụng web của bạn. Chúng có thể bao gồm các máy chủ ứng dụng web, CMS, web frameworks, thư viện JavaScript và công cụ ngôn ngữ. Điều này liên quan đến:

  • xác định tất cả các điểm vào của các ứng dụng web khác nhau;
  • fingerprinting tất cả các thành phần trong ứng dụng, có thể giúp đánh giá phiên bản nào của các thành phần mà doanh nghiệp của bạn đang chạy;
  • đánh giá các thành phần cho sai sót, chẳng hạn như cấu hình sai.

Thực hành các chiến thuật này có thể đưa kế hoạch bảo mật ứng dụng web của bạn vượt ra ngoài việc nhìn vào Top 10 của OWASP, cung cấp cho bạn cái nhìn đầy đủ hơn không chỉ về các ứng dụng mà doanh nghiệp của bạn đang chạy, mà cả các thành phần tạo nên các ứng dụng đó. Được trang bị mức độ chi tiết này, nhóm bảo mật của bạn có thể đưa ra quyết định thông minh hơn khi đánh giá rủi ro và đưa ra các bản vá để giải quyết các lỗi và lỗ hổng quan trọng.

Nguồn:

Web Application Security: What You Need to Know to Minimize Threats

Xem thêm:

CVE-2019-12839: Lỗ hổng thực thi mã lệnh tùy ý trên OrangeHRM CMS

LAB: Khai thác lỗ hổng đã được sử dụng để tấn công Equifax: Apache Struts

Tags: , ,