Trong buổi phát sóng AM Live mới, các chuyên gia đã thảo luận về tính bảo mật của các ứng dụng và trang web web. Các yêu cầu đối với việc bảo vệ của họ thay đổi như thế nào và bằng cách nào có thể đảm bảo được tính toàn diện?
- Giới thiệu
- Bối cảnh mối đe dọa – 2024
- Bảo vệ ứng dụng web toàn diện
- Xu hướng phát triển bảo mật ứng dụng web
- Kết quả phát sóng
- kết luận
Giới thiệu
Các chuyên gia đã thảo luận về vấn đề bảo mật của các trang web của các tổ chức thương mại và chính phủ. Họ cũng thảo luận về những công cụ hiện có để bảo vệ các ứng dụng web và những lỗi khách hàng mắc phải.
Hình 1. Các chuyên gia trong ngành trong trường quay của dự án truyền hình AM Live
Diễn giả truyền hình trực tiếp:
- Anton ApryatkinGiám đốc Giải pháp Khách hàng, NGENIX;
- Denis KorablevGiám đốc điều hành, Giám đốc sản phẩm, Công nghệ tích cực;
- Ilya PolyakovTrưởng phòng Phân tích Mã, Angara Security;
- Dmitry BelyaninTrưởng phòng Bán hàng trước, StormWall;
- Luka Safonovgiám đốc kỹ thuật của Weblock (nhóm công ty Garda);
- Gleb KhokhlovGiám đốc sản phẩm, MITIGATOR;
- Alexey KonoplevTrưởng bộ phận Bảo mật ứng dụng vận hành, SolidWall.
Người lãnh đạo và người điều hành cuộc thảo luận – Ilya ShabanovTổng Giám đốc AM Media.
Bối cảnh mối đe dọa – 2024
Các ứng dụng web có nguy cơ gặp phải những mối đe dọa nào?
Anton Apryatkin:
— Xu hướng đã thay đổi: nếu trước đây người ta nói nhiều hơn về rò rỉ dữ liệu cá nhân thì giờ đây chúng là các cuộc tấn công DDoS hoặc hoạt động của bot. Đồng thời, có vẻ như hiện tại không có công cụ hiệu quả nào để chống lại bot nên ngành này đang phải đối mặt với những khó khăn theo nghĩa này.
Anton Apryatkin, Giám đốc Giải pháp Khách hàng, NGENIX
Luka Safonov:
— Từ góc độ kỹ thuật xã hội, bối cảnh chính trị đã được sử dụng nhiều hơn. Sau tháng 2 năm 2022, nhiều chuyên gia đã được đào tạo lại để trở thành những kẻ tấn công. Một trong những hacker gốc Ukraine đã viết tiện ích “1000 Needles” nổi tiếng. Với sự giúp đỡ của nó, Đường sắt Nga, Sberbank và các công ty khác đã bị tấn công. Đây là một trong những công cụ công nghệ cao được tạo ra đặc biệt để tấn công vào tài nguyên của Nga.
Dmitry Belyanin:
— Ngoài các cuộc tấn công rõ ràng nhằm vào việc từ chối dịch vụ và lỗi ứng dụng, một phần lớn hoạt động của bot có thể được xác định. Do đó, thời gian phản hồi của ứng dụng tăng lên và xếp hạng của ứng dụng giảm dần.
Ilya Polyakov:
— Nhiều lỗi đã được xác định trong số các gói Python có thể độc hại. Rõ ràng, các cơ chế bảo vệ chưa được thực hiện đầy đủ.
Ilya Polykov, Trưởng phòng phân tích mã, Angara Security
Gleb Khokhlov:
— Tất nhiên, số lượng các cuộc tấn công đã tăng lên theo cấp số nhân. Trong hai năm qua, các tổ chức mới mà trước đây không được tin tặc quan tâm đã bắt đầu bị tấn công. Do đó, nhiều người dùng bắt đầu nhận thấy sự cố của các dịch vụ khác nhau.
Alexey Konoplev:
— Gần đây, các cuộc tấn công trở nên thường xuyên hơn, trong đó những kẻ tấn công, khi “cố gắng khôi phục mật khẩu”, sẽ gửi nhiều yêu cầu gửi mã và do đó buộc công ty phải mất tiền.
Alexey Konoplev, trưởng bộ phận bảo vệ ứng dụng trong quá trình vận hành, SolidWall
Ngoài ra còn có một số lượng lớn các cuộc tấn công nhằm mục đích “rơi ra” khỏi kết quả tìm kiếm.
Denis Korablev:
— Xu hướng tấn công — Đây là những lỗ hổng của các phần mềm phổ biến được sử dụng ở nhiều công ty trong nước. Thật khó để “bắt” được chúng vì có những phần mềm mà các nhà phát triển ít quan tâm đến vấn đề bảo mật. Tuy nhiên, đây là những câu chuyện đại chúng đang được nói đến. Có những điều được giữ im lặng lại xảy ra ở cấp độ tấn công và phòng thủ cao hơn.
Ai có nguy cơ và chiến thuật đang thay đổi như thế nào
Anton Apryatkin nhấn mạnh: Nếu một công ty có một ứng dụng web và nó đáng chú ý thì có thể công ty đó đã bị tấn công hoặc đơn giản là công ty đó không biết về nó. Diễn giả lưu ý về thương mại điện tử: tin tặc thường cố gắng gây thiệt hại cho các công ty này. Những kẻ tấn công cũng nhắm đến những tài nguyên mà nhiều người Nga sử dụng (các trang web của chính phủ hoặc các ứng dụng phổ biến).
Các chuyên gia lưu ý rằng hacker đã khai thác lỗ hổng trên Bitrix từ lâu. Những kẻ tấn công cũng bắt đầu thường xuyên lợi dụng các lỗ hổng trong ứng dụng di động, bao gồm cả việc thu thập thông tin mạnh mẽ từ tài nguyên. Luka Safonov lưu ý rằng các công cụ đã được tạo ra để thu thập các giao thức không an toàn và bán chúng trên Internet dưới hình thức đăng ký.
Luka Safonov, giám đốc kỹ thuật của Weblock (nhóm công ty Garda)
Theo Alexey Konoplev, để bảo vệ khỏi các cuộc tấn công làm cạn kiệt băng thông, bạn có thể sử dụng các công nghệ cho phép bạn nhanh chóng đưa ra quyết định. Đồng thời, có yêu cầu từ khách hàng về khả năng tích hợp với các sản phẩm khác để mang lại sự bảo vệ toàn diện.
Phần lớn người xem AM Live (38%) tin rằng vấn đề chính của bảo mật ứng dụng có liên quan đến lỗ hổng của chính phần mềm hoặc các thành phần của nó. 20% trả lời “thiết kế hoặc cấu hình không an toàn”. Đối với 17%, vấn đề là thiếu các biện pháp bảo mật cần thiết và đối với 12%, đó là vi phạm kiểm soát truy cập. Theo 10% người xem, lỗi hành chính dẫn đến rắc rối. 3% còn lại ghi nhận “khác”.
Hình 2. Các vấn đề bảo mật chính của ứng dụng web là gì?
Các yêu cầu bảo vệ của cơ quan quản lý đã thay đổi như thế nào
Luka Safonov lưu ý xu hướng chung là hợp pháp hóa hoạt động của hacker “trắng” thông qua các chương trình khen thưởng (Bug Bounty). Các cơ quan quản lý hiện đang nỗ lực rất nhiều để tìm cách thu hút những người như vậy và làm thế nào để đưa tất cả những điều này vào lĩnh vực pháp lý.
Denis Korablev lưu ý rằng FSTEC của Nga chủ yếu quan tâm đến tính bảo mật của “lõi” và vẫn còn rất ít biện pháp như vậy có thể áp dụng cho các ứng dụng web hoặc tài nguyên ở ngoại vi.
Các cơ quan quản lý cũng đang thắt chặt các quy định và tăng tiền phạt cũng như trách nhiệm pháp lý đối với việc rò rỉ dữ liệu cá nhân. Yêu cầu đối với việc sử dụng các giải pháp trong nước tại các cơ sở của CII ngày càng khắt khe hơn.
Bảo vệ ứng dụng web toàn diện
Lọc lưu lượng truy cập – thuốc chữa bách bệnh?
Ilya Shabanov nhớ lại các cuộc thảo luận về một “Internet đóng” có thể trở nên “an toàn”. Người dùng Internet tin rằng nếu tắt các kênh liên lạc, sẽ có ít cuộc tấn công hơn.
Ilya Shabanov, Tổng Giám đốc AM Media
Dmitry Belyanin lưu ý rằng việc lọc lưu lượng truy cập một phần giúp ích cho cuộc tấn công mạng, nhưng những công cụ này có nhược điểm. Ví dụ: GeoIP đưa ra sai số lên tới 5%, cộng với công việc của nhân viên ở nước ngoài khiến việc sử dụng loại lọc này trở nên phức tạp. Ngoài ra, hiện nay hầu hết các cuộc tấn công đều đến từ máy chủ proxy ở Nga (khoảng 20%), nên việc lọc sẽ không hiệu quả.
Theo Luka Safonov, 90% các cuộc tấn công đến từ việc thuê hoặc hack năng lực của các nhà cung cấp ở Nga, vì vậy việc lọc lưu lượng sẽ không giúp ích gì.
Đại đa số người xem truyền hình (63%) tin rằng nếu RuNet bị cô lập, nó sẽ không trở nên an toàn hơn chút nào. 23% tin rằng điều này có thể có tác động tích cực đến an ninh. Tương tự, 7% mỗi người trả lời “chắc chắn có” và “chắc chắn không”.
Hình 3. Runet có trở nên an toàn hơn nếu bị cô lập?
Nhu cầu về thiết bị bảo hộ đã thay đổi như thế nào vào năm 2023
Denis Korablev:
— Ngay sau khi SVO bắt đầu, doanh số bán các sản phẩm của Nga có khả năng tìm ra dấu vết của những kẻ tấn công – ví dụ: lớp WAF hoặc Network Attack Discovery – đã tăng lên. Do nhu cầu cao về sản phẩm, các nhà cung cấp bắt đầu đầu tư nhiều hơn vào việc phát triển sản phẩm của mình. Sự phổ biến của WAF có thể được giải thích là do ở Nga có rất ít nhà cung cấp và có rất nhiều khách hàng. Phân khúc DevSecOps hiện cũng đang phát triển.
Denis Korablev, Giám đốc điều hành, Giám đốc sản phẩm, Công nghệ tích cực
Các chuyên gia lưu ý rằng một giải pháp thay thế cho Cloudflare của Mỹ đang được tạo ra ở Nga, cung cấp khả năng bảo vệ chống lại các cuộc tấn công DDoS, cung cấp quyền truy cập an toàn vào các tài nguyên và máy chủ DNS. Dịch vụ Cloudflare hoạt động như một proxy ngược cho trang web. Hiện nay có nhu cầu lớn về chúng từ các công ty Nga.
Cách tiếp cận theo lớp để phòng thủ
Theo Gleb Khokhlov, cấp độ bảo vệ đầu tiên chính là ứng dụng, cả ở cấp độ kiến trúc lẫn về mặt công cụ tích hợp để chống lại các cuộc tấn công. Cấp độ thứ hai là máy chủ mà ứng dụng chạy trên đó. Điều quan trọng là phải bao gồm khả năng mở rộng theo chiều ngang vì nhiều ứng dụng chưa sẵn sàng hoạt động trong một cụm. Để làm được điều này, cần có một bộ cân bằng để “phân tán” lưu lượng truy cập trên một số nút. Diễn giả lưu ý, điều này đặc biệt quan trọng khi chuẩn bị đẩy lùi một cuộc tấn công DDoS.
WAF là một lớp khác cần được cấu hình. Một giải pháp chuyên dụng để chống DDoS, bao gồm cả giải pháp cục bộ (tại chỗ), cũng đóng một vai trò nào đó. Tiếp theo, bạn cần đóng mạng khỏi lưu lượng truy cập không cần thiết đối với công ty (cổng, giao thức, v.v.). Tất cả các cấp độ này chỉ có hiệu lực trong giới hạn băng thông của chúng. Ngoài ra còn có “sự bảo vệ chặng cuối” dành cho các nhà khai thác viễn thông.
Chúng ta không được quên tính năng bảo vệ chống lại bot, tính năng này phải được cài đặt trước WAF. Cần phải tiến hành kiểm tra bảo mật và kiểm kê dịch vụ. Các công ty cần đánh giá đúng rủi ro, tính đến sự chậm lại và thực hiện các biện pháp bảo vệ cần thiết.
Các vấn đề bảo mật ứng dụng web
Chính xác một nửa số người xem chương trình phát sóng tin rằng tính bảo mật không đủ của các ứng dụng web là do thiếu văn hóa phát triển an toàn. Phương án “khách hàng không có nhu cầu” được 15% số người được hỏi lựa chọn. 13% tin rằng việc thực hiện hóa đơn dễ dàng hơn và con số tương tự cho rằng “nó đắt tiền”. 6% ghi nhận mong muốn kiếm tiền từ hội nhập của mọi người, 3% nhận thấy vấn đề thiếu các yêu cầu pháp lý.
Hình 4. Lý do tích hợp bảo mật kém trong các ứng dụng web
Anton Apryatkin:
— Trước hết, bảo mật chưa theo kịp việc triển khai các tính năng. Đồng thời, nhu cầu về công nghệ mới xuất hiện từ thị trường. Nhưng bản thân các nhà cung cấp và nhà phát triển cần thời gian để “thử nghiệm” những đổi mới. Khi phát triển một giải pháp hoặc sản phẩm mới, bạn cần lập ngân sách cho bảo mật thông tin khi bắt đầu phát triển.
Những sai lầm chính khi bảo vệ ứng dụng web
Dmitry Belyanin lưu ý rằng việc bảo vệ phải toàn diện. Không cần phải dựa vào chặn địa lý hoặc bảo vệ một cấp. Cũng cần đào tạo các chuyên gia để làm việc với thiết bị an ninh.
Denis Korablev nhấn mạnh, cũng cần phải hiểu tính năng bảo vệ ứng dụng sẽ như thế nào trong tương lai và những bước cần thực hiện để triển khai nó. Nói cách khác, cần phải đề ra một chiến lược phù hợp.
Gleb Khokhlov:
— Sai lầm chính là các công ty không kiểm tra cách thức hoạt động của biện pháp bảo vệ của họ. Nó là cần thiết để tiến hành các bài tập và kiểm kê.
Luka Safonov cho biết: Một sai lầm quan trọng khác là quên bảo vệ bất kỳ tài nguyên liên quan nào, chẳng hạn như bảo vệ phiên bản chính của trang web nhưng lại quên bảo vệ phiên bản di động.
Bạn cũng cần đảm bảo rằng ứng dụng có thể chịu được tải cao. Để làm được điều này, cần tiến hành trước các thử nghiệm đặc biệt, Anton Apryatkin nói. Nếu không, sẽ không có nhà cung cấp nào bảo vệ một khách hàng như vậy.
36% người xem cho biết họ thiếu nhân viên để bảo vệ toàn diện các ứng dụng web và 17% cho biết họ cần được bảo vệ khỏi bot. 15% số người được hỏi thiếu tường lửa chất lượng cao (WAF). 12% mơ ước về sự bảo vệ đáng tin cậy trước các cuộc tấn công DDoS và con số tương tự mơ ước về quy trình quản lý lỗ hổng (VM). 8% chọn bảo mật giao diện lập trình ứng dụng (API).
Hình 5. Bạn còn thiếu điều gì để bảo vệ toàn diện các ứng dụng web của mình?
Xu hướng phát triển bảo mật ứng dụng web
Dmitry Belyanin:
— Việc bảo vệ các ứng dụng web cần được chú trọng hơn khi sức mạnh và số lượng của các cuộc tấn công ngày càng gia tăng. Nhu cầu về các dịch vụ quốc phòng chuyên nghiệp (và theo đó là sự cạnh tranh) sẽ tăng lên. Một tiêu chuẩn bảo mật ứng dụng web sẽ xuất hiện.
Dmitry Belyanin, người đứng đầu bộ phận bán hàng trước, StormWall
Alexey Konoplev:
— Bất chấp sự ra đi của các nhà cung cấp phương Tây, Nga vẫn có rất nhiều giải pháp chất lượng cao. Bạn luôn có thể chọn đúng.
Denis Korablev:
— Tôi khuyên khách hàng nên yêu cầu một quy trình phát triển an toàn từ các nhà cung cấp mà họ mua giải pháp. Và đối với các nhà cung cấp trong vòng hai đến ba năm tới, việc phát triển an toàn sẽ trở thành một tiêu chuẩn chung.
Gleb Khokhlov:
— Bảo vệ nên được cấu hình theo cấp độ. Và vì không có đủ chuyên gia bảo mật thông tin nên bạn cần phải dựa vào các công cụ bảo mật thông tin. Để giải quyết vấn đề này, chúng ta cần hướng tới sự phát triển an toàn.
Gleb Khokhlov, Giám đốc sản phẩm, MITIGATOR
Luka Safonov:
— Mạng lưới thần kinh sẽ có khả năng xác định tốt hồ sơ của những người dùng “thuần túy” và cũng sẽ hữu ích trong việc dự đoán sự phát triển. Học máy sẽ được sử dụng tích cực để bảo vệ chống lại những kẻ tấn công. Nhưng tin tặc cũng sử dụng những phương pháp tương tự để làm phức tạp thêm các cuộc tấn công của chúng.
Anton Apryatkin:
— Trọng tâm của tin tặc đang chuyển sang các cuộc tấn công và hoạt động bot đa vector, dần dần, ít bị phát hiện hơn. Để chọn một giải pháp bảo mật chất lượng cao, bạn không chỉ cần chú ý đến chức năng của nó mà còn phải đánh giá mức độ hỗ trợ kỹ thuật và tích hợp giải pháp của nhà cung cấp.
Kết quả phát sóng
Cuộc khảo sát cuối cùng đối với người xem truyền hình cho thấy hơn 70% số người được hỏi nhận ra rằng họ có việc gì đó phải làm. 15% tin rằng họ đang làm mọi thứ một cách chính xác và 7% sẽ đưa ra các biện pháp bảo mật mới. 5% coi việc bảo vệ ứng dụng web là thú vị nhưng vẫn dư thừa đối với họ. 2% số người được hỏi không hiểu chủ đề của cuộc trò chuyện.
Hình 6. Ý kiến của bạn về bảo mật ứng dụng web hiện đại sau khi phát sóng là gì?
kết luận
Các trang web và ứng dụng web liên tục bị tấn công. Các dịch vụ công cộng và tư nhân phổ biến đang bị tấn công. Về vấn đề này, người dùng thường gặp phải tình trạng không thể truy cập được các tài nguyên quen thuộc. Các chuyên gia nhấn mạnh sự phát triển của hoạt động bot, mức độ kỹ thuật xã hội cao và động cơ chính trị của nhiều cuộc tấn công.
Các diễn giả phát sóng trực tiếp khuyên nên thực hành phát triển ứng dụng an toàn, nghĩa là quan tâm đến bảo mật ở cấp mã. Nhưng điều này là chưa đủ: cần phải cung cấp khả năng phòng thủ toàn diện theo chiều sâu cho từng lớp cơ sở hạ tầng, bao gồm các tài nguyên lân cận, sức mạnh tính toán và nhân sự.
Dự án truyền hình AM Live hàng tuần quy tụ các chuyên gia trong ngành trong trường quay để thảo luận về các chủ đề hiện tại trên thị trường CNTT và bảo mật thông tin của Nga. Luôn cập nhật các xu hướng và sự kiện quan trọng. Để thực hiện việc này, hãy đăng ký kênh của chúng tôi Kênh Youtube. Hẹn gặp lại!
