ما المقصود بحماية تطبيق الويب وواجهة برمجة التطبيقات (WAAP)

حماية تطبيقات الويب وواجهة برمجة التطبيقات (WAAP) هي تطور تدريجي لمنتج أمان ZEVENET ، جدار حماية تطبيقات الويب (WAF). يقدم WAAP نفس ميزات WAF التقليدية ولكنه يحمي أيضًا واجهات برمجة التطبيقات (API) إلى جانب تطبيقات الويب.

مع تطور الخدمات السحابية و SaaS (البرامج كخدمة) ، أدت الحاجة إلى تكامل البيئات المختلفة إلى تطوير استخدام واجهات برمجة التطبيقات ، مما يوفر أفضل حل لتنظيم جميع هذه الخدمات. تجعل هذه الوظيفة WAAP أكثر تقدمًا من WAF ، حيث يمكن للمرء نشر WAAP على حافة شبكة تحتوي على خدمات عامة أو تكوينها في نفس البيئة باستخدام ADC.

لذلك ، هنا حيث يتحد ZEVENET ADC و WAAP للعمل معًا وتوفير الحماية لتطبيقات الويب وواجهات برمجة التطبيقات قبل تسليم التطبيق.

لماذا مطلوب WAAP

نظرًا لأنه يمكن للمرء الوصول إلى واجهات برمجة التطبيقات وتطبيقات الويب بسهولة على الإنترنت ، فإن الأمان يمثل مصدر قلق كبير لأن البيانات الحساسة يتم كشفها. قد يتسبب المهاجم في خرق أمني للحصول على معلومات خاصة. لذلك ، يعد WAAP ضروريًا لأن أمان الويب التقليدي لن يتعامل مع المهام التالية:

لا تكفي مطابقة التوقيع لأمان التطبيق:
يتغير محتوى تطبيقات الويب وواجهات برمجة التطبيقات باستمرار. لذلك ، من الصعب الحصول على توقيع المحتوى. نظرًا لأن المحتوى المنشور على الويب وواجهات برمجة التطبيقات يتغيران باستمرار ، فإن النظام يتطلب التعلم المستمر.

لا يكفي حظر حركة المرور استنادًا إلى عنوان IP المصدر أو منفذ الوجهة:
تحظر جدران الحماية التقليدية عناوين IP والمنافذ ، ولكن هذه المعلومات عادة ما تكون مشفرة. تعتبر آلية فك تشفير المحتوى وتحليله وإعادة تشفيره أمرًا حيويًا. نحن نستخدم آلية TLS ، لذلك يمكن لـ WAAP تقديم مستوى أعمق من الأمان.

تعد حركة مرور HTTP (S) حاليًا هي الأكثر استخدامًا ويمكن أن تقدم تعقيدًا في التحليل: يتم توجيه معظم حركة مرور الويب نحو بروتوكول الطبقة 7 HTTP (S) لنموذج OSI ، مما يوفر تعقيدًا في سلوك بروتوكول HTTP المحدد في الثمانينيات إلى البروتوكولات الحديثة المستخدمة اليوم. هذا يُلزم الحل الأمني ​​ليس فقط باستخدام آلية IPS أو IDS ولكن أيضًا يكون قادرًا على الحماية من الهجمات على الطبقة العليا في نموذج OSI وبروتوكولات الطبقة 80 مثل HTTP و HTTPS.

ما هي الميزات التي يمكن أن تقدمها WAAP التي لا يستطيع WAF التقليدي تقديمها

يوفر WAAP إمكانات هائلة لا يمكن لـ WAF التقليدي تقديمها:

الأتمتة والتعلم: WAAP هو عنصر حي متكامل داخل ADC. تستقبل ميزة الأمان هذه المعلومات وتتعلم باستمرار باستخدام آليات مثل DoS Detection ، واكتشاف الروبوتات ، وحماية البروتوكول ، والإنفاذ ، من بين أمور أخرى. يتطلب محرك WAAP قناة لتلقي بيانات INPUT ، حيث يتلقى محرك WAAP باستمرار معلومات جديدة ويقارن المعلومات المستلمة بالبيانات التي تمت معالجتها وفحصها.

واجهات برمجة التطبيقات والخدمات المصغرة الآمنة: على أساس يومي ، يقوم المهندسون ببناء واجهات برمجة التطبيقات والخدمات الدقيقة لتقديم الخدمات العامة. يجب أن يحمي WAAP نقاط النهاية هذه ، مع الأخذ في الاعتبار المعلومات المكشوفة.

كيف يعمل ZEVENET باعتباره WAAP

يشتمل ZEVENET ADC على وحدة للأمن السيبراني تسمى IPDS (نظام منع التسلل والكشف عنه). تقدم هذه الوحدة إمكانيات WAAP والأتمتة والتعلم لـ WEBs و APIs. تتضمن ZEVENET حزمة تسمى zevenet-ipds ، ويتم تحديث هذه الحزمة يوميًا. تحتوي هذه الحزمة على أكثر من 4 آليات لتطبيقات الويب وحماية واجهة برمجة التطبيقات. خصائصه هي:

قواعد قائمة الحظر

تعد قوائم الحظر جزءًا من آلية أمنية لتجميع حركة المرور بناءً على الموقع الجغرافي والمصادر المختلفة ، كما هو موضح أدناه:

جيو_ *: تتضمن قوائم الحظر هذه عناوين IP والشبكات القائمة على البلدان.
رموز TOR: تم الحصول على قائمة الحظر هذه من مشروع TOR. هنا يمكننا العثور على عناوين IP المصدر حيث يتم نشر حركة مرور TOR على الإنترنت.
webexploit: تم تحديد أعضاء قائمة المصادر كمستغلين على شبكة الإنترنت. حاول هؤلاء المهاجمون تنفيذ طلبات متعددة ضد خوادم الويب للعثور على نقاط الضعف.
ssh_bruteforce: المصدر المضمن هو قائمة بمهاجمي ssh الذين يستخدمون تقنيات القوة الغاشمة للحصول على المستخدم وكلمة المرور لخادم ssh الذي تم الهجوم عليه.
برامج التجسس: المصدر (المصادر) المضمنة هو قائمة ببرامج التجسس الضارة ونطاقات عناوين IP لبرامج الإعلانات المتسللة.
الوكيل: يحتوي على TOR ووكلاء مفتوحين آخرين.
mail_spammer: المصدر المضمن عبارة عن قائمة تستند إلى عناوين IP التي تم اكتشافها لإرسال رسائل غير مرغوب فيها.
الأشرار: المصدر المدرج هو قائمة مبنية على تقارير السيئات في برنامج p2p.
Wordpress_list: جميع عناوين IP التي تهاجم Joomla و WordPress وغيرها من عمليات تسجيل الدخول على الويب باستخدام عمليات تسجيل دخول القوة الغاشمة.
الشبكات الخاصة: المصدر المتضمن عبارة عن قائمة تستند إلى جميع عناوين مصدر IPv4 غير القابلة للتوجيه على الإنترنت.
قائمة البريد: جميع عناوين IP التي تم الإبلاغ عنها خلال الـ 48 ساعة الماضية على أنها نفذت هجمات على خدمة Mail و Postfix.
ssh_list: جميع عناوين IP التي تم الإبلاغ عنها خلال الـ 48 ساعة الماضية على أنها نفذت هجمات على خدمة SSH.
ftp_list: جميع عناوين IP التي تم الإبلاغ عنها خلال الـ 48 ساعة الماضية للهجمات على خدمة FTP.
apache_list: جميع عناوين IP التي تم الإبلاغ عنها خلال الـ 48 ساعة الماضية على أنها نفذت هجمات على خدمة Apache و Apache-DDOS و RFI-Attacks
سيارمي: المصادر المدرجة هنا مقدمة من مشروع CIArmy. يوفر هذا المشروع مصدر البيانات الذي تم الحصول عليه من خلال تحليل حركة المرور بناءً على مجموعة من الحراس حول الإنترنت.
بوغون: المصدر المدرج هنا يدعي أنه من منطقة مساحة عنوان IP محجوزة ولكن لم يتم تخصيصها أو تفويضها من قبل الإنترنت.

قواعد DOS

تخفيف الحرمان من الخدمة عبارة عن مجموعة من القواعد التي تهدف إلى حماية أو تقليل تأثير الهجمات على الخدمة التي تجعلها غير قابلة للاستخدام بسبب الكميات الهائلة من الطلبات غير المشروعة. يتضمن محرك ZEVENET IPDS تقنيات مختلفة لأداء حماية DoS لتطبيقات الويب وواجهات برمجة التطبيقات.

تم وصف هذه القواعد أدناه:

أعلام TCP وهمية:
في أي حركة مرور TCP ، تتبع حزم TCP تدفقًا معروفًا. هجوم TCP BOGUS هو الهجوم الذي لا يتبع فيه تدفق TCP مسار TCP المتوقع. على سبيل المثال ، قد تتبع الحزمة مسار SYN-FIN غير متوقع ، بدلاً من مسار SYN-ACK. تراقب ZEVENET وتتحكم في تدفق TCP. إذا تم استلام حزمة غير متوقعة ، فسوف تقوم ZEVENET بإسقاطها.

إجمالي حد الاتصال لكل IP مصدر:
تطبق ZEVENET حدًا للمصدر بناءً على عدد الطلبات في الثانية ، وعندما يتم الوصول إلى الحد الأقصى لكل IP مصدر ، ستقوم ZEVENET بإسقاط الحزم الواردة.

تحديد حزمة RST في الثانية:
هذا هجوم DoS شائع يحاول فيه المهاجم فتح مقبس TCP ، وبمجرد تلقي حزمة استجابة TCP ، يرسل المهاجم حزمة TCP RST إلى المضيف.

حد الاتصال في الثانية:
تطبق ZEVENET حدًا للوجهة بناءً على عدد الطلبات في الثانية. إذا تم الوصول إلى الحد الأقصى لكل عنوان IP للوجهة ، فسوف تقوم ZEVENET بإسقاط الحزم الواردة.

قواعد RBL

قائمة الثقب الأسود في الوقت الحقيقي هي نظام أمان تستخدمه خوادم البريد للحماية من مرسلي البريد العشوائي. إذا تلقى خادم البريد اتصالاً ، فإنه يلتقط عنوان IP المصدر ويحاول حله مقابل خوادم DNS المعروفة. إذا كان حل DNS يعمل ، فسيتم الكشف عن عنوان IP المصدر كمهاجم.

لقد طورت ZEVENET آلية الأمان هذه مما يجعل من الممكن التقاط أي IP مصدر في تدفق معين ومحاولة حل عنوان IP المصدر مقابل منطقة DNS. تعمل كل منطقة DNS على حل عناوين IP المصدر بناءً على سلوكيات مختلفة ، وقد تم وصف هذه المناطق أدناه:

منطقة all.rbl.zevenet.com: سيحاول عنوان IP المصدر حله مقابل جميع المناطق الفرعية المضمنة في rbl.zevenet.com.
منطقة apache.rbl.zevenet.com: يشير المصدر المتضمن في هذه المنطقة الفرعية إلى المهاجمين ضد مضيفي Apache.
منطقة asterisk.rbl.zevenet.com: تشير المصادر المدرجة في هذه المنطقة الفرعية إلى المهاجمين ضد مضيفي النجمة.
منطقة bruteforcelogin.rbl.zevenet.com: يشير المصدر المضمن في هذه المنطقة الفرعية إلى المهاجمين الذين حاولوا الحصول على مستخدمين وكلمات مرور ضد خدمات مضيف مختلفة باستخدام آليات القوة الغاشمة.
منطقة ftp.rbl.zevenet.com: يشير المصدر المضمن في هذه المنطقة الفرعية إلى المهاجمين ضد مضيفي FTP.
منطقة mysql.rbl.zevenet.com: يشير المصدر المتضمن في هذه المنطقة الفرعية إلى المهاجمين ضد مضيفي Mysql.
منطقة ssh.rbl.zevenet.com: يشير المصدر المتضمن في هذه المنطقة الفرعية إلى المهاجمين ضد مضيفي SSH.
منطقة webmin.rbl.zevenet.com: يشير المصدر المضمن في هذه المنطقة الفرعية إلى المهاجمين ضد تطبيق الويب Webmin.
منطقة apacheddos.rbl.zevenet.com: يشير المصدر المضمن في هذه المنطقة الفرعية إلى المهاجمين ضد خادم الويب ، Apache ، باستخدام آلية رفض الخدمة الموزعة.
منطقة mail.rbl.zevenet.com: يشير المصدر المضمن في هذه المنطقة الفرعية إلى المهاجمين ضد مضيفي البريد.

قواعد WAF

يفحص ZEVENET حركة مرور HTTP (S) بطريقتين:

1 - استخدام قواعد محددة مسبقًا بناءً على مجموعة قواعد OWASP (مشروع أمان تطبيق الويب المفتوح). تستند مجموعات القواعد المضمنة في ZEVENET 6 إلى الإصدار 4. من مجموعة القواعد الأساسية OWASP. يتم تحديث هذه القواعد يوميًا. في حالة حدوث أي تغيير في مجموعة قواعد OWASP ، سيتضمن تحديث حزمة IPDS التالي التغييرات.

2 - استخدام القواعد التي تم الحصول عليها من البائعين الخارجيين أو القواعد المخصصة التي صممتها أنت ، عميلنا. تستخدم ZEVENET دعم محرك ModSecurity لمجموعات قواعد الطرف الثالث أو إنشاء قواعد خاصة بك بناءً على لغة HTTP المنشئ.

بشكل افتراضي ، يتضمن ZEVENET IPDS حزم أمان ضد الهجمات التالية:

حقن SQL (SQLi)
البرمجة النصية للمواقع المشتركة (XSS)
تضمين الملف المحلي (LFI)
تضمين الملفات عن بعد (RFI)
PHP / Java / Ruby / Perl Code Injection
إرتجاج دماغي
حقن شل يونكس
تثبيت الجلسة
البرمجة النصية / الماسح الضوئي / اكتشاف الروبوت

تتضمن القواعد الموجودة في ZEVENET 6 ما يلي:

طلب 905 استثناءات مشتركة
تُستخدم هذه القواعد كآليات استثناء لإزالة الإيجابيات الزائفة الشائعة التي يمكن مواجهتها.
طلب -911-طريقة-تنفيذ
طرق الطلب المسموح بها.
طلب -913-كشف-الماسح
التحقق من الماسحات الضوئية مثل برامج الزحف والروبوتات والبرامج النصية وما إلى ذلك.
طلب -920-إنفاذ البروتوكول
يتحقق من صحة طلبات HTTP مما يؤدي إلى التخلص من عدد كبير من هجمات طبقة التطبيقات.
طلب -921-بروتوكول هجوم
يتحقق من هجمات البروتوكول.
طلب -930-APPLICATION-ATTACK-LFI
يتحقق من هجمات التطبيقات باستخدام Local File Inclusion (LFI).
طلب 931-APPLICATION-ATTACK-RFI
للتحقق من هجمات التطبيقات باستخدام Remote File Inclusion (RFI).
طلب -932-APPLICATION-ATTACK-RCE
يتحقق من هجمات التطبيقات باستخدام تنفيذ التعليمات البرمجية عن بُعد (RCE).
طلب -933-APPLICATION-ATTACK-PHP
للتحقق من هجمات التطبيقات باستخدام PHP.
طلب 934-APPLICATION-ATTACK-GENERIC
تحقق من هجمات التطبيقات باستخدام Node.js و Ruby و Perl.
طلب -941-APPLICATION-ATTACK-XSS
يتحقق من هجمات التطبيقات باستخدام XSS.
طلب 942-APPLICATION-ATTACK-SQLI
للتحقق من هجمات التطبيقات باستخدام حقن Sql.
طلب -943-تطبيق-هجوم-جلسة-تثبيت
يتحقق من هجمات التطبيقات باستخدام تثبيت الجلسة.
طلب 944-APPLICATION-ATTACK-JAVA.
للتحقق من هجمات التطبيقات باستخدام Java.

محرك IPDS هو آلية استخبارات تهديدات لتطبيقات الويب وحماية واجهة برمجة التطبيقات. يتم تحديثه يوميًا من خلال حزمة zevenet-ipds ، والتي تعمل كأساس للمحرك ، مع الحفاظ على تحديث هذا المحرك بقواعد ZEVENET وتلك المخصصة من قبل العميل.

تستخدم مجموعة القواعد الأساسية zevenet-ipds آليات مختلفة لإنشاء قواعد الأمان هذه ، مثل عبور بيانات الطرف الثالث أو تحليل سجلات الحارس أو إجراء تحليل البيانات الكبيرة مقابل المعلومات الخاصة. إذا حددت أن مجموعة القواعد الأساسية لـ ZEVENET IPDS تتضمن بعض عناوين IP أو القواعد الخاصة بالمصدر كإيجابيات خاطئة ، فاتصل بنا ، وسنكون سعداء لإصلاح المشكلة في أقرب وقت ممكن.