Để chỉ ra nhận thức sai lầm phổ biến mà các nhà cung cấp dịch vụ bảo mật thường lưu truyền, 10 lỗ hổng hàng đầu theo OWASP không cung cấp danh sách kiểm tra các vectơ tấn công có thể bị
Trang 2Giới thiệu
10 lỗ hổng hàng đầu theo OWASP cung cấp danh sách các loại lỗ hổng thường gặp nhất trong các ứng dụng web Để chỉ ra nhận thức sai lầm phổ biến mà các nhà cung cấp dịch vụ bảo mật thường lưu truyền, 10 lỗ hổng hàng đầu theo OWASP không cung cấp danh sách kiểm tra các vectơ tấn công có thể bị chặn bằng tường lửa ứng dụng web (WAF) Thay vào đó, mục tiêu của danh sách này là nhằm nâng cao nhận thức về các lỗ hổng bảo mật phổ biến mà các nhân viên phát triển ứng dụng nên xem xét, vận dụng nhận thức đó trong hàng loạt các hoạt động phát triển ứng dụng và giúp thấm nhuần văn hóa về hoạt động phát triển ứng dụng an toàn
Việc giải quyết 10 lỗ hổng hàng đầu theo OWASP đòi hỏi sự am hiểu về vai trò của nhà cung cấp dịch vụ bảo mật và tổ chức của bạn trong việc bảo mật ứng dụng web của bạn Chỉ các nhân viên phát triển ứng dụng mới có thể giải quyết triệt để một số khía cạnh rủi ro Nhiều nhà cung cấp dịch vụ bảo mật có thể trợ giúp trong một số khía cạnh, nhưng thường không thể cung cấp phạm vi bảo vệ đầy đủ hoặc tốt nhất có thể đối với lỗ hổng bảo mật Các giải pháp tốt hơn cho phép kết hợp giữa nhân sự, quy trình và công nghệ nhằm giảm thiểu các rủi ro liên quan đến
10 lỗ hổng hàng đầu
Để tận dụng tối đa 10 lỗ hổng hàng đầu theo OWASP đòi hỏi bạn phải am hiểu về các khía cạnh và cách thức - cũng như mức độ - mà các nhà cung cấp dịch vụ bảo mật có thể giúp tăng cường cải thiện hoạt động phát triển ứng dụng hiện tại của bạn Phần sau đây mô tả vai trò của Akamai trong việc hỗ trợ nỗ lực của bạn với giải pháp bảo mật biên,1 dịch vụ được quản lý2 và nền tảng biên thông minh bảo mật của chúng tôi.3
DDoS
Script DN S
Bối cảnh mối đe dọa
B
ot
PI
W eb
Ph
ần m
c hạ i
WA
P
Prolex ic Phân tích Ed
ge DN
S
Bảo mật biên
Bot M
anag er K
E TP P
IM
Akamai Intelligent
IaaS API Đám mây riêng tư Đám mây công cộng HÌNH ẢNH CÓ THỂ CHỈNH SỬA
Trang 3A1: Chèn mã độc
Các lỗ hổng chèn mã độc, chẳng hạn như chèn SQL, NoSQL, OS và LDAP, xảy ra khi dữ liệu không đáng tin cậy được gửi đến trình thông dịch như một phần của lệnh hoặc truy vấn Dữ liệu độc hại của kẻ tấn công có thể đánh lừa trình thông dịch thực hiện lệnh ngoài dự kiến hoặc truy cập dữ liệu mà không có thẩm quyền thích hợp
Cách Akamai có thể trợ giúp
Các tổ chức có thể sử dụng giải pháp bảo mật WAF để bảo vệ ứng dụng web và API chống lại các lỗ hổng chèn mã độc Tuy nhiên, các tổ chức phải luôn vá lỗi cho ứng dụng web để giải quyết mọi lỗ hổng được phát hiện dựa trên vòng đời phát triển của chúng
• Akamai WAF4 cung cấp khả năng bảo vệ sâu rộng chống lại các cuộc tấn công chèn mã độc bằng các quy tắc hiện
có, sẵn dùng ngay
• Bản vá ảo với các quy tắc tùy chỉnh có thể giúp nhanh chóng giải quyết các lỗ hổng chèn mã độc mới nổi hoặc lỗ hổng mới xuất hiện do thay đổi ứng dụng, cho đến khi có thể vá lỗi cho ứng dụng Bản vá ảo cũng có thể được tự động hóa và tích hợp vào quy trình DevSecOps, bằng cách tận dụng tính năng API mở của Akamai
• Tính năng Client Reputation5 cung cấp điểm số rủi ro cho các máy khách độc hại hoạt động tích cực trong danh mục Kẻ tấn công web để giúp xác định và chặn các cuộc tấn công chèn mã độc
• WAF cũng có thể phân tích chi tiết hơn về cuộc tấn công chèn mã độc với Chế độ cảnh báo vùng phạt
A2: Xác thực bị lỗi
Các chức năng ứng dụng liên quan đến xác thực và quản lý phiên thường được triển khai không chính xác, cho phép
kẻ tấn công xâm nhập vào mật khẩu, khóa hoặc mã thông báo phiên hoặc khai thác lỗ hổng triển khai khác để giả mạo danh tính của người dùng khác tạm thời hoặc vĩnh viễn
Cách Akamai có thể trợ giúp
Mặc dù các tổ chức phải khắc phục quy trình xác thực bị lỗi để giải quyết triệt để lỗ hổng này, Akamai có thể giúp phát hiện và bảo vệ chống lại nhiều vectơ tấn công tìm cách khai thác lỗ hổng đó:
• Akamai WAF cung cấp tính năng kiểm soát tỷ lệ, có thể xử lý các cuộc tấn công brute-force
• Giải pháp quản lý bot6 có thể phát hiện và quản lý các quy trình tự động hóa được sử dụng trong các cuộc tấn công nhồi nhét thông tin xác thực
• Cookie HTTP có thể được mã hóa trên nền tảng Akamai7 nhằm ngăn chặn việc can thiệp và sửa đổi cookie, qua
đó có thể tăng cường quy trình xác thực
• Enterprise Application Access (EAA)8 có thể truy cập proxy vào các ứng dụng thông qua “mô hình truy cập với đặc quyền tối thiểu”, giảm bề mặt tấn công của ứng dụng và tăng cường quyền truy cập với tính năng xác thực hai yếu
tố (2FA) và xác thực đa yếu tố (MFA)
Trang 4A3: Tiết lộ dữ liệu nhạy cảm
Ảnh hưởng: Nghiêm trọng Mức độ phổ biến: Phổ biến rộng rãi Khả năng khai thác: Trung bình
Nhiều ứng dụng web và API không bảo vệ đúng cách những dữ liệu nhạy cảm như thông tin tài chính, y tế và PII Kẻ tấn công có thể đánh cắp hoặc sửa đổi những dữ liệu được bảo vệ lỏng lẻo này để thực hiện hành vi gian lận thẻ tín dụng, đánh cắp danh tính hoặc các tội ác khác Dữ liệu nhạy cảm có thể bị xâm phạm nếu không có biện pháp bảo
vệ bổ sung, chẳng hạn như mã hóa ở trạng thái nghỉ hoặc trong quá trình truyền tải và cần có biện pháp phòng ngừa đặc biệt khi trao đổi với trình duyệt
Cách Akamai có thể trợ giúp
Tiết lộ dữ liệu nhạy cảm bao gồm nhiều khía cạnh trong việc truyền, lưu trữ và chia sẻ dữ liệu - chẳng hạn như vô tình tiết lộ dữ liệu từ một trang web không được bảo vệ - và không thể giải quyết triệt để bằng bất kỳ giải pháp bảo mật đơn lẻ nào Tuy nhiên, các giải pháp khác nhau có thể giúp giải quyết một số khía cạnh của lỗ hổng này Ví dụ:
• Akamai mã hóa và bảo vệ dữ liệu nhạy cảm trong quá trình truyền tải và giúp duy trì sự tuân thủ PCI bằng cách phân phát độc quyền từ một CDN an toàn có tủ mạng được phân tầng, hỗ trợ chứng chỉ SSL thuộc mọi thương hiệu và bảo vệ khóa riêng tư của khách hàng
• Enterprise Application Access có thể bảo vệ quyền truy cập từ xa bằng cách mã hóa thông tin giao tiếp và ẩn dữ liệu mật khỏi những ánh mắt tò mò trên mạng
• Enterprise Application Access cũng có thể tích hợp với giải pháp ngăn mất dữ liệu (DLP) bằng cách sử dụng ICAP
để tăng cường bảo vệ dữ liệu nhạy cảm khỏi bị lộ
• Enterprise Threat Protector (ETP)9 có thể giúp chống tiết lộ dữ liệu nhạy cảm
A4: Thực thể bên ngoài XML (XXE)
Ảnh hưởng: Nghiêm trọng Mức độ phổ biến: Thường gặp Khả năng khai thác: Trung bình
Nhiều bộ xử lý XML cũ hoặc được cấu hình kém sẽ đánh giá các tham chiếu thực thể bên ngoài trong tài liệu XML Các thực thể bên ngoài có thể bị lợi dụng để tiết lộ tệp nội bộ bằng cách sử dụng bộ xử lý tệp URI, tính năng chia sẻ tệp nội bộ, quét cổng nội bộ, thực thi mã từ xa và tấn công từ chối dịch vụ
Cách Akamai có thể trợ giúp
• Akamai WAF bao gồm các quy tắc có thể phát hiện và ngăn chặn các cuộc tấn công XXE trước khi trình phân tích
cú pháp XML xử lý thực thể bên ngoài nguy hiểm
• Akamai WAF bao gồm tính năng bảo vệ API với các ràng buộc yêu cầu API, vốn có thể dùng để xác thực XML và JSON so với những định dạng được xác định trước để chặn các cuộc tấn công XXE
Trang 5A5: Kiểm soát truy cập bị lỗi
Ảnh hưởng: Nghiêm trọng Mức độ phổ biến: Thường gặp Khả năng khai thác: Trung bình
Hạn chế về những việc mà người dùng đã xác thực được phép làm thường không được thực thi đúng cách Kẻ tấn công có thể khai thác những lỗ hổng này để truy cập vào chức năng và/hoặc dữ liệu trái phép - truy cập tài khoản của người dùng khác, xem tệp nhạy cảm, sửa đổi dữ liệu của người dùng khác, thay đổi quyền truy cập, v.v
Cách Akamai có thể trợ giúp
Mặc dù các tổ chức phải khắc phục mô hình kiểm soát truy cập bị lỗi để giải quyết triệt để lỗ hổng này, Akamai có thể giúp phát hiện và bảo vệ chống lại một số vectơ tấn công tìm cách khai thác lỗ hổng đó:
• Enterprise Application Access cung cấp mô hình truy cập với đặc quyền tối thiểu cho người dùng doanh nghiệp, chỉ cho phép những người dùng đã được xác thực mới có thể nhìn thấy và truy cập vào các ứng dụng được ủy quyền, điều này sẽ hỗ trợ mô hình bảo mật Zero Trust
• Cổng API10 có thể thực thi quá trình xác thực cho API để tăng cường kiểm soát truy cập
• Akamai WAF có thể giúp chặn các cuộc tấn công forceful browsing bằng cách kiểm tra trường giới thiệu
• Cookie HTTP có thể được mã hóa trên nền tảng Akamai, giúp tăng cường kiểm soát truy cập
A6: Cấu hình bảo mật sai
Cấu hình bảo mật sai là vấn đề thường gặp nhất Đây thường là kết quả của cấu hình mặc định không bảo mật, cấu hình không đầy đủ hoặc không theo thể thức, lưu trữ đám mây mở, tiêu đề HTTP được cấu hình sai hoặc thông báo lỗi dài dòng chứa thông tin nhạy cảm Tất cả các hệ điều hành, khuôn khổ, thư viện và ứng dụng không chỉ cần được cấu hình bảo mật mà còn phải được vá lỗi và nâng cấp kịp thời
Cách Akamai có thể trợ giúp
Theo định nghĩa, Cấu hình bảo mật sai (a.) bao gồm nhiều khía cạnh trong việc bảo mật ứng dụng và (b.) đòi hỏi các tổ chức phải cấu hình các biện pháp kiểm soát bảo mật đúng cách Mặc dù không thể thay thế cho việc cấu hình đúng cách, Akamai có thể giúp bảo vệ chống rò rỉ dữ liệu:
• Akamai WAF bao gồm một nhóm xử lý tấn công bất thường chiều đi sẵn dùng ngay, giúp nắm bắt tình trạng rò rỉ thông tin như mã lỗi, cũng như mã nguồn do cấu hình bảo mật sai
• Bản vá ảo với các quy tắc tùy chỉnh có thể giúp nhanh chóng giải quyết tình trạng rò rỉ dữ liệu đã phát hiện cho đến khi có thể vá lỗi cho ứng dụng
• Tính năng kiểm soát tỷ lệ có thể bảo vệ chống các cuộc tấn công brute-force bằng cách sử dụng thông tin xác thực mặc định
• Có thể tăng cường cấu hình bảo mật yếu đối với tiêu đề Chính sách bảo mật nội dung trên nền tảng Akamai
Trang 6A7: Kịch bản chéo trang (XSS)
Lỗ hổng XSS xảy ra bất cứ khi nào một ứng dụng (a.) bao gồm dữ liệu không đáng tin cậy vào một trang web mới
mà không xác thực hoặc thoát đúng cách hoặc (b.) cập nhật trang web hiện có bằng dữ liệu do người dùng cung cấp bằng cách sử dụng API trình duyệt vốn có thể tạo HTML hoặc JavaScript XSS cho phép kẻ tấn công thực thi các tập lệnh trong trình duyệt của nạn nhân, vốn có thể chiếm quyền điều khiển phiên của người dùng, thay đổi giao diện trang web hoặc chuyển hướng người dùng đến trang web độc hại
Cách Akamai có thể trợ giúp
Các tổ chức có thể sử dụng giải pháp bảo mật WAF để bảo vệ ứng dụng web chống lại lỗ hổng XSS Tuy nhiên, các
tổ chức phải luôn vá lỗi cho ứng dụng web để giải quyết mọi lỗ hổng được phát hiện dựa trên vòng đời phát triển của chúng
• Sản phẩm Akamai WAF hiện có các quy tắc XSS WAF sẵn dùng ngay, giúp xác định và ngăn chặn các cuộc tấn công XSS
• Bản vá ảo với các quy tắc tùy chỉnh có thể giúp nhanh chóng giải quyết các lỗ hổng XSS mới nổi hoặc lỗ hổng mới xuất hiện do thay đổi ứng dụng, cho đến khi có thể vá lỗi cho ứng dụng
• Tính năng Client Reputation cung cấp điểm số rủi ro cho các máy khách độc hại trong danh mục Kẻ tấn công web
để giúp chặn các cuộc tấn công XSS
• Nền tảng Akamai có thể đặt tiêu đề chính sách phản hồi bảo mật nhanh chóng để bảo vệ chống các cuộc tấn công XSS
A8: Giải tuần tự hóa không bảo mật
Giải tuần tự hóa không bảo mật thường dẫn đến tình trạng thực thi mã từ xa Ngay cả khi lỗ hổng giải tuần tự hóa không dẫn đến tình trạng thực thi mã từ xa thì lỗ hổng này vẫn có thể bị lợi dụng để thực hiện tấn công, bao gồm tấn công phát lại, tấn công chèn mã độc và tấn công leo thang đặc quyền
Cách Akamai có thể trợ giúp
Các tổ chức có thể sử dụng giải pháp bảo mật WAF để bảo vệ ứng dụng web và API chống lại các lỗ hổng giải tuần
tự hóa không bảo mật Tuy nhiên, các tổ chức phải luôn vá lỗi cho ứng dụng web để giải quyết mọi lỗ hổng được phát hiện dựa trên vòng đời phát triển của chúng
• Các quy tắc Akamai WAF sẽ phát hiện cuộc tấn công giải tuần tự hóa
• Bản vá ảo với các quy tắc tùy chỉnh có thể giúp nhanh chóng giải quyết lỗ hổng giải tuần tự hóa mới cho đến khi
có thể vá lỗi cho ứng dụng
• Akamai WAF bao gồm các tính năng bảo vệ API với mô hình bảo mật tích cực, xác định các định dạng đối tượng XML và JSON chấp nhận được để lọc ra XML và JSON độc hại
Trang 7A9: Sử dụng thành phần có lỗ hổng đã biết
Ảnh hưởng: Trung bình Mức độ phổ biến: Phổ biến rộng rãi Khả năng khai thác: Trung bình
Các thành phần như thư viện, khuôn khổ và các mô-đun phần mềm khác chạy với đặc quyền giống như ứng dụng Ngoài ra, các tập lệnh hoạt động như tài nguyên ứng dụng tin cậy với toàn quyền truy cập vào dữ liệu ứng dụng Nếu một thành phần sơ hở bị khai thác, cuộc tấn công này có thể dẫn đến mất dữ liệu nghiêm trọng hoặc chiếm quyền máy chủ Các ứng dụng và API sử dụng thành phần có lỗ hổng bảo mật đã biết có thể làm suy yếu hàng rào phòng thủ của ứng dụng và tạo điều kiện cho các cuộc tấn công và nhiều mức độ ảnh hưởng khác nhau
Cách Akamai có thể trợ giúp
Mặc dù phổ biến và được sử dụng rộng rãi để giảm thời gian và chi phí phát triển, nhưng các thành phần bên thứ ba
là một điểm xâm nhập lỗ hổng rất thường gặp ngay cả với những ứng dụng độc quyền nhất của bạn Có nhiều rủi ro Các tổ chức thường mất khả năng theo dõi - và đội ngũ bảo mật thường hoàn toàn không biết - về những thành phần bên thứ ba nào đang được sử dụng trong ứng dụng của họ Ngoài ra, các tổ chức không kiểm soát được tốc độ hoặc thời điểm thực thể bên thứ ba giải quyết các lỗ hổng bảo mật mới phát hiện Do đó, khó hoặc không thể vá lỗi trực tiếp cho ứng dụng kịp thời, đòi hỏi phải sử dụng giải pháp bảo mật như WAF và bảo vệ tập lệnh:
• Akamai WAF bao gồm nhiều quy tắc được thiết kế để giải quyết các lỗ hổng đã biết - bất kể là lỗ hổng nằm riêng trong ứng dụng của bạn hay thành phần bên thứ ba
• Bản vá ảo với các quy tắc tùy chỉnh có thể giúp nhanh chóng giải quyết các lỗ hổng mới nổi hoặc mới xuất hiện do thay đổi ứng dụng, cho đến khi có thể vá lỗi cho ứng dụng
• Akamai WAF cung cấp tính năng bảo vệ API để bảo vệ API cho các thành phần bên thứ ba chống lại các cuộc tấn công khai thác lỗ hổng đã biết
• Tính năng Client Reputation cung cấp điểm số rủi ro đối với máy khách độc hại trong danh mục Quét web để giúp bảo vệ chống khai thác lỗ hổng mới
• Page Integrity Manager bảo vệ ứng dụng web chống các mối đe dọa mới - chẳng hạn như tấn công web
skimming, formjacking và Magecart - bằng cách phát hiện hành vi tập lệnh khả nghi và cung cấp thông tin chi tiết thiết thực để chặn hoạt động độc hại
• Page Integrity Manager chặn việc trích rút dữ liệu từ tập lệnh của bên thứ nhất và bên thứ ba tới các URL có lỗ hổng bảo mật đã biết bằng cách sử dụng cơ sở dữ liệu Các lỗ hổng phổ biến và mức độ phơi nhiễm (CVE) được cập nhật liên tục
A10: Ghi nhật ký và giám sát không đầy đủ
Ảnh hưởng: Trung bình Mức độ phổ biến: Phổ biến rộng rãi Khả năng khai thác: Trung bình
Tình trạng ghi nhật ký và giám sát không đầy đủ, kết hợp với việc thiếu khả năng tích hợp hoặc tích hợp không hiệu quả với quá trình ứng phó xử lý sự cố, cho phép kẻ tấn công có thể tấn công hệ thống sâu rộng hơn, lâu dài hơn, chuyển hướng sang nhiều hệ thống khác; và can thiệp, trích xuất hoặc tiêu hủy dữ liệu Hầu hết các nghiên cứu về xâm phạm đều cho thấy thời gian phát hiện hành vi xâm phạm thường là hơn 200 ngày và thường do bên ngoài phát hiện chứ không phải các quy trình hoặc quá trình giám sát nội bộ
Trang 8Cách Akamai có thể trợ giúp
Bản thân việc ghi nhật ký và giám sát không đầy đủ không phải là một lỗ hổng, mà là sơ hở trong khả năng giải quyết
lỗ hổng của tổ chức và những thủ thuật khai thác lỗ hổng Akamai cung cấp nhiều tính năng để giúp tổ chức có khả năng quan sát các cuộc tấn công tốt hơn, bao gồm:
• Akamai cung cấp bảng điều khiển và công cụ báo cáo trong giao diện người dùng đồ hoạ Luna Control Center11 của Akamai
• Akamai tích hợp với cơ sở hạ tầng SIEM hiện có của tổ chức để liên kết tương quan các sự kiện do Akamai phát hiện với sự kiện từ các nhà cung cấp dịch vụ bảo mật khác
• Các dịch vụ bảo mật do Akamai quản lý cung cấp tính năng phân tích và phản hồi 24/7
• Akamai WAF bao gồm tính năng Vùng phạt cho phép tăng cường ghi nhật ký về các phiên khả nghi để phân tích sâu hơn
• Akamai Enterprise Application Access cung cấp giải pháp quản lý danh tính tích hợp để xác thực và kiểm soát quyền truy cập vào tất cả các ứng dụng doanh nghiệp Khi kết hợp với tính năng proxy nhận dạng danh tính, các
tổ chức có thể có được khả năng quan sát hành động của người dùng chi tiết đến mức có thể quan sát mọi hành động GET/POST
• Akamai Enterprise Threat Protector cho phép quan sát đầy đủ tất cả các yêu cầu DNS bên ngoài từ một doanh nghiệp - cả độc hại và không độc hại
Kết luận
Có thể đạt được mức độ bảo vệ tốt nhất chống lại 10 lỗ hổng hàng đầu theo OWASP khi các tổ chức và nhà cung cấp dịch vụ bảo mật hợp tác cùng nhau để kết hợp nhân sự, quy trình và công nghệ của họ Akamai cung cấp các công nghệ dẫn đầu ngành và chuyên gia dày dặn kinh nghiệm để phù hợp với quy trình của bạn Để tìm hiểu thêm về danh mục các giải pháp bảo mật biên của Akamai, vui lòng xem thông tin chi tiết trên trang web của chúng tôi Nếu bạn muốn thảo luận và khám phá chi tiết hơn về cách chúng tôi có thể hợp tác để xây dựng hàng rào bảo vệ tốt nhất cho doanh nghiệp của bạn, vui lòng liên hệ với đại diện bán hàng của Akamai
Akamai tự hào mang đến trải nghiệm kỹ thuật số an toàn cho các công ty hàng đầu thế giới Nền tảng Intelligent Edge Platform của Akamai bao gồm tất cả mọi thứ, từ doanh nghiệp đến điện toán đám mây, đảm bảo khách hàng và hoạt động kinh doanh được trải nghiệm dịch vụ một cách nhanh chóng, thông minh và an toàn Akamai là sự lựa chọn tin tưởng của những thương hiệu quốc tế hàng đầu khi họ muốn đạt được lợi thế cạnh tranh thông qua các giải pháp linh hoạt, khai phá tối đa sức mạnh của kiến trúc đa đám mây Akamai đưa người dùng đến gần hơn với những quyết định, ứng dụng và trải nghiệm, điều mà không một công ty nào có thể làm được, đồng thời tránh xa khỏi các cuộc tấn công và mối đe dọa Danh mục sản phẩm về bảo mật biên, trang web và hiệu suất di động, quyền truy cập dành cho doanh nghiệp và giải pháp cung cấp video của Akamai được hỗ trợ bởi dịch vụ chăm sóc khách hàng vượt trội, phân tích và giám sát 24/7/365 Để tìm hiểu lý do các thương hiệu hàng đầu thế giới tin tưởng Akamai, hãy
, Xuất bản vào tháng 05 năm 2020.
Nguồn
1 Bảo mật biên
2 Dịch vụ & hỗ trợ
3 Akamai Intelligent Edge Platform™
4 Kona Site Defender (KSD) và Web Application Protector (WAP)
5 Client Reputation
6 Bot Manager
7 CDN bảo mật
8 Enterprise Application Access
9 Enterprise Threat Protector
10 Cổng API
11 Luna Control Center