Çalışma zamanı uygulama kendini koruma (RASP) durumu, Web uygulaması güvenlik duvarlarının (WAF’ler) bazı kullanım durumları için iyi bir çözüm olmasına rağmen, gördüğümüz türdeki saldırılar için harika olmamasıdır. Log4Shell. Hızlı bir inceleme olarak, RASP, uygulamayı çalışma zamanında araç haline getirerek, uygulamanın üstün saldırı algılama ve engelleme için nasıl çalıştığı hakkında derin bağlam ve istihbarat sağlayarak uygulamaların güvenliğini sağlamaya yardımcı olur. Bir WAF genellikle ağın çevresinde yaşar ve sağlanan imzalara dayalı saldırılar arayan HTTP trafiğini izler. Şimdi, RASP’nin Log4Shell ile mücadele etmesi durumuna geçelim.
WAF’ler Neden Çözüm Değildir?
WAF’ların burada bize pek yardımcı olmamasının üç ana nedeni var.
#1. WAF’ler yalnızca imza yapabilir ve bu yük oldukça polimorfiktir.
Twitter uğultu ile birlikte birçok kodlamalar WAF’leri atlamak için saldırının. Topluluk, imza atmanın oldukça zor olduğunu hemen anladı. İşte çarpıcı bir örnek:
Saldırıyı imzalamanın bir yolu olsa bile, umutsuzca meşru trafiği yakalamak ve sisteminizi bozar. Bu nedenle, WAF’lerin en fazla düşük vasıflı saldırganlarla görünürlüğe yardımcı olduğuna, ancak gerçek koruma sağlamada yetersiz olduğuna inanıyoruz.
#2.WAF’ler, saldırının bant dışı öğelerini görmez.
Bu saldırının gözden kaçan unsurlarından biri, istismarın başka bir hizmete (DNS, LDAP, RMI, CORBA) ulaşmak için uygulamayı kandırmayı içermesidir. – ve bu çıkış işlemlerinin hiçbiri WAF’tan geçmeyecektir.
Bu nedenle, istismarın başarısı WAF tarafından bilinemez – WAF, senaryocu çocukların size vanilya saldırıları yapıp yapmadığını söyler. Ve bunun cevabının “evet” olduğunu daha WAF’a sahip olmadan önce de biliyorsunuz. – peki … bunu tekrar ne için yapıyoruz?
#3. Dünya artık sadece HTTP değil.
Kodumuzun giderek daha büyük bir yüzdesi asenkron, olay güdümlü, mesaj kuyrukları tarafından tetiklenen, protobuf vb. ile seri hale getirilmiş. Bu hata, gülünç dolambaçlı yollarla işletmenin derinliklerinde keyfi olarak tetiklenebilir.
Dahili olarak, bir müşterinin uygulamasının basit bir Log4Shell yüküyle saldırıya uğradığı bir zincir gördük ve ardından bu yük verilerinin aracımızda bir analitik olarak yakalandığını, bu verinin aracımız tarafından alınan sunucumuza gönderildiğini ve kendisi de alınan bazı verileri günlüğe kaydettiğini gördük. Slack kanalına aktarılan günlük toplayıcımız tarafından. Tüm bu yerlerin saldırılara karşı sertleştirilmesi gerektiği baş döndürücü bir düşünce. Küçük bir dizinin işletmenize girmesi ve daha sonra bunun üzerindeki birçok sisteme yayılması için hiçbir yol sıkıntısı yoktur.
Bir futbol stadyumunun ana kapısına tek bir güvenlik kamerası koyup içerideki tüm taraftarları koruduğumuzu ilan edemeyiz.
Uygulamalarınızı Koruyun
Uygulamalarınızı dahili koruma ile donatmak, Log4Shell’e karşı şimdi ve gelecekte kaçınılmaz benzer saldırılara karşı korunmanıza yardımcı olacaktır. Daha fazla bilgi edinin Kontrast Güvenliği.
yazar hakkında
Arshan Dabirsiaghi, büyük kuruluşlara uygulama güvenliği konusunda tavsiyelerde bulunan 10 yılı aşkın deneyime sahip başarılı bir güvenlik araştırmacısıdır. Arshan, AntiSamy ve JavaSnoop dahil olmak üzere popüler uygulama güvenlik araçlarını yayınladı.