当涉及到技术,没有什么是一成不变的,一切都在不断变化。要么我们发明了一直是挖掘出新的安全漏洞的机制,或者我们被迫执行现有的组装机,以掩盖在安全性上的不足之处,我们的Web应用程序依赖。
与所有的新需求不断变化的数字景观的攻击创造了一个黑洞,需要注意。在技术的转变,同时创造机会,有偏见创建安全威胁。不幸的是,随着时间的推移,这种趋势将继续升级,将Web应用安全的中心舞台。
企业依赖于Web应用程序。服务的亏损业务为重点的Web应用程序,不仅影响了品牌,但也导致经济损失。Web应用程序充当前门有价值的资产。如果不有效地锁门或当它已经被打开至少可以知道,宝贵的创收Web应用程序留损害。
我们需要一起工作的Web应用程序,以识别和修复安全漏洞的恶意行为者想方设法利用它们。通过推出采用基于人工智能的机器威胁(AI)的安全威胁,现在有许多不同的形式。
正在进行的挑战
这些问题奠定了在事实底层基础设施没有考虑安全性。最终,这种不足导致在使用大量的组装机来克服安全不足。网络是复杂的,所以是Web应用和Web服务器的设计。
在过去的十年中,安全范例已经完全改变了。虚拟机管理程序转义从公共云CIO们吓跑。为了增加挑战,现在我们在恶劣行为者手中有AI。这为一个不可预知的安全格局奠定了基础。
所有这些因素的组合导致了安全专业人员具有一定谨慎和护栏移动。保护Web应用程序的最恰当的方法是在应用层,而不是与其他杂牌。
类似的公司的Acunetix漏洞扫描器发现的Web应用程序的漏洞,如SQL注入和跨站点脚本(XSS)。他们搀扶着适当的扫描和脆弱性工具的应用中放置两个今天的机会和未知的明天的零日威胁。
不安全的底层基础设施
底层的基础设施,在我们的应用程序生活,是建立时没有考虑安全。这不是一个设计错误。它是基于以前的连接需求设计解决方案。正在设计中的基础不好的时候演员并没有在那些日子里存在了。安全是一个事后的想法。互联网协议(IP)是仅用于提供终端到终端的连接,也没有办法在默认情况下,以确保单个数据包。左为默认的网络离开web应用敞开的。
安全的兴起催生了新型的要求,这导致了引进的有缺陷的协议,如TLS / SSL。整个互联网就是有缺陷的协议到达,提供高达大家的80/443端口,在互联网的全球可达性随之而来。对大多数TLS / SSL的顶级互联网的流量游乐设施,但是基础的无初始认证层建成。
从未见过面,双方可以发起并作出却不知道彼此的连接。认证过程则发生但最初的连接已经完成之后。这开辟了连接到多个漏洞,并以两个端点之间窃听通信的潜力时,解锁网关的“中间人“的攻击。
网络和Web应用程序的复杂性
底层网络是最复杂的建筑之一,和复杂性是安全的头号敌人。有许多移动部件的网络。从有缺陷的协议得到如缺乏在传输控制协议(TCP)会话层的问题往往下推到网络层要解决,迫使网络以提供负载平衡。这些缺陷都是伟大的供应商,因为它为他们创造了新的机遇。然而,在同一时间,它增加了皱纹到通信路径的层。
Web应用程序栈已经从简单的文本文件到复杂的应用程序编程接口(API)调用转变。现在一切都已经成为一个API调用,这进一步改变了安全需求。该设计应用程序框架的Web应用程序小组通常不具备正确的安全技能。它们的主要功能是让代码工作,而安全往往是事后的想法。是构建Web服务器的团队往往是从团队,设计和构建Web应用程序不同。这使得任何人有基本的黑客工具武装的巨大差距。
不断变化的安全模式
虚拟化技术的诞生创造了新的交通流。最初,我们开始与标准的北到南,但现在我们有东向西车流量一种新的风格。旧的安全设备并没有设计来处理这种类型的流量变化。
卡在中间网络的庞大的中央防火墙为中心的安全点。交通不得不长号到中央防火墙,增加了延迟和建立废弃策略规则桩。防火墙是不够了。这导致引入更靠近工作量迷你防火墙。他们缺乏的功能奇偶校验与他们的大哥哥。这打开了网络中的孔盖,授权坏演员妥协有价值的Web应用程序。
迷你防火墙接近负载导致安全防线的溶解。在早期,当我在网络涉足,我们有静态的边界。甲非军事区(DMZ)将保持外部源和一个庞大的防火墙将控制所有的数预先确定的接口之间的政策。不断变化的安全参数现在允许外部资源进入网络。这不仅带来技术挑战,但也带来了与团队协作光的问题。谁控制了新的防火墙?并做主事者有相应的安全知识呢?通过引入云,周界变得越来越脆弱。
云计算需要新的虚拟化技术过多,他们都绑在一起形成一个多租户环境。不同的客户提供不同类型的工作负载可能共享相同的体检。可怕的事实是,我们已经看到了被称为虚拟机管理程序的突破或虚拟机(VM)逃逸。这是一个不好的演员会危及一个虚拟机,并用它来从一个完全不同的客户抢滩和访问虚拟机。
误报和高处罚的世界
我们生活在一个误报和警报疲劳的世界。许多数据泄露和exfiltrations被忽视了好几个月。人的思想不能简单地处理所有的警报。误报的上升水平可能demotivate安全专家更深入地对潜在的安全威胁。这使得打开一个坏演员进入网络的多个路径。
一旦一个坏演员获得访问权限,他或她可以绕过安全防御措施,如防火墙或入侵检测系统(IDS)。有已知的方式,很容易学习,使整个网络的横向移动,造成数据泄露和数据泄露。社交媒体如Twitter账户和未用于传输数据,这样的域名系统(DNS)协议被用于移动敏感信息了网络。
一般数据保护条例(GDPR)登陆,它不只是不再满足合规性。这是关于避免经济处罚。组织可以在数据泄露招致罚款高达年营业额的4%或超过2000万美元。为了雪上加霜的是,这是一个事实,即我们现在有基于机器的网络罪犯来处理放大。
基于计算机的AI攻击
我们开始与人的攻击,现在我们已经进入到基于机器的AI威胁的世界。对安全的重大转折点出现在自动恶意软件传播的形式。现在专家们都认为我们正在进入与基于AI-威胁的新时代的观点。
该机基于AI这是发明了一种很好的理由现在正在使用网络犯罪分子。他们可以响应防御的一方自动改变他们的签名和载体。他们现在更快和更大量的危险。
基于AI的攻击是领先于传统的命令与控制(C&C)仍然需要人工干预的服务器的联盟。AI消除人为参与。机器不停止,它会动态变化,并在Web应用程序堆栈自动抛开一切。
屋顶漏水是和越来越leakier。新的漏洞不断到达,并在屋顶钻新的漏洞。你有两个选择。您可以与现有的安全组装机网络的双手离开你的Web应用程序,也可以有效地与相应的漏洞扫描工具,调整您的Web应用和Web服务器。