ما هي حماية تطبيقات الويب وواجهة برمجة التطبيقات (WAAP) #
حماية تطبيقات الويب وواجهة برمجة التطبيقات (WAAP) هي تطور تدريجي لـ RELIANOID جدار حماية تطبيقات الويب (WAF) هو منتج أمان. يوفر جدار حماية تطبيقات الويب (WAAP) نفس ميزات جدار حماية تطبيقات الويب التقليدي، ولكنه يحمي أيضًا واجهات برمجة التطبيقات (APIs) بالإضافة إلى تطبيقات الويب.
مع تطور الخدمات السحابية وSaaS (البرمجيات كخدمة)، عززت الحاجة إلى دمج بيئات مختلفة استخدام واجهات برمجة التطبيقات (APIs)، مما يوفر الحل الأمثل لتنظيم جميع هذه الخدمات. هذه الوظيفة تجعل WAAP أكثر تقدمًا من جدار حماية تطبيقات الويب (WAF)، حيث يمكن نشر WAAP على حافة شبكة تحتوي على خدمات عامة أو تكوينه في البيئة نفسها باستخدام محول تناظري رقمي (ADC).
لذا، هنا حيث RELIANOID يتحد ADC وWAAP للعمل معًا وتقديم الحماية لتطبيقات الويب وواجهات برمجة التطبيقات قبل تسليم التطبيق.
لماذا يلزم وجود WAAP #
بما أنه من السهل الوصول إلى واجهات برمجة التطبيقات وتطبيقات الويب على الإنترنت، فإن الأمان يُشكل مصدر قلق كبير نظرًا لكشف البيانات الحساسة. قد يُسبب مُهاجم خرقًا أمنيًا للحصول على معلومات خاصة. لذا، يُعدّ بروتوكول WAAP ضروريًا لأن أمان الويب التقليدي لا يُعالج المهام التالية:
مطابقة التوقيع ليست كافية لأمان التطبيق:
يتغير محتوى تطبيقات الويب وواجهات برمجة التطبيقات باستمرار، مما يجعل من الصعب تحديد هوية المحتوى. ولأن المحتوى المنشور على الويب وواجهات برمجة التطبيقات تتغير باستمرار، يتطلب النظام تعلمًا مستمرًا.
إن حظر حركة المرور استنادًا إلى عنوان IP المصدر أو منفذ الوجهة ليس كافيًا:
تحظر جدران الحماية التقليدية عناوين IP والمنافذ، ولكن هذه المعلومات عادةً ما تكون مشفرة. لذا، يُعد وجود آلية لفك التشفير وتحليل المحتوى وإعادة التشفير أمرًا بالغ الأهمية. نستخدم آلية TLS، ما يُتيح لبروتوكول WAAP توفير مستوى أمان أعلى.
يُعدّ بروتوكول HTTP(S) الأكثر استخدامًا حاليًا، وقد يُضفي تعقيدًا على التحليل: تُوجَّه معظم حركة مرور الويب نحو بروتوكول HTTP(S) من الطبقة 7 في نموذج OSI، مما يُضفي تعقيدًا على سلوك بروتوكول HTTP المُعرَّف في الثمانينيات والبروتوكولات الحديثة المُستخدمة اليوم. هذا يُلزم حلول الأمان ليس فقط باستخدام آلية IPS أو IDS، بل أيضًا بالقدرة على الحماية من الهجمات على الطبقة العليا في نموذج OSI، أي بروتوكولات الطبقة 80 مثل HTTP وHTTPS.
ما هي الميزات التي يمكن أن يوفرها WAAP والتي لا يستطيع WAF التقليدي توفيرها؟ #
يوفر WAAP إمكانيات هائلة لا يستطيع WAF التقليدي تقديمها:
الأتمتة والتعلم: يُعدّ WAAP عنصرًا حيويًا مُدمجًا في المحول التناظري الرقمي (ADC). تستقبل هذه الميزة الأمنية المعلومات وتتعلم باستمرار باستخدام آليات مثل كشف هجمات الحرمان من الخدمة (DoS)، وكشف الروبوتات، وحماية البروتوكول، والتنفيذ، وغيرها. يتطلب محرك WAAP قناة لاستقبال بيانات الإدخال (INPUT)، حيث يتلقى محرك WAAP معلومات جديدة باستمرار ويقارنها بالبيانات المُعالجة والمُفتّشة.
واجهات برمجة التطبيقات والخدمات المصغرة الآمنة: يُنشئ المهندسون يوميًا واجهات برمجة تطبيقات وخدمات دقيقة لتقديم خدمات عامة. يجب على WAAP حماية هذه النقاط النهائية، مع مراعاة المعلومات المكشوفة.
كيف يعمل Relianoid كـ WAAP #
RELIANOID يتضمن ADC وحدة أمن سيبراني تُسمى IPDS (نظام منع وكشف التطفل). تُوفر هذه الوحدة إمكانيات WAAP، والأتمتة، والتعلم لشبكات الويب وواجهات برمجة التطبيقات. يتضمن Relianoid حزمة تُسمى relianoid-ipds، ويتم تحديثها يوميًا. تحتوي هذه الحزمة على أكثر من 4 آليات لحماية تطبيقات الويب وواجهات برمجة التطبيقات. خصائصها هي:
قواعد القائمة المحظورة #
قوائم الحظر هي جزء من آلية الأمان لتجميع حركة المرور استنادًا إلى الموقع الجغرافي والمصادر المختلفة، كما هو موضح أدناه:
جيو_*:تتضمن قوائم الحظر هذه عناوين IP والشبكات استنادًا إلى البلدان.
عقد تورتم الحصول على هذه القائمة المحظورة من مشروع TOR. هنا، يُمكننا العثور على عناوين IP المصدر التي تُنشر عليها بيانات TOR على الإنترنت.
استغلال الويبتم تحديد أعضاء قائمة المصادر كمستغلين للإنترنت. حاول هؤلاء المهاجمون تنفيذ طلبات متعددة على خوادم الويب للعثور على ثغرات أمنية.
برامج التجسس:المصادر المضمنة هي قائمة بنطاقات عناوين IP الخاصة ببرامج التجسس والإعلانات الضارة.
الوكيل: يحتوي على TOR ووكلاء مفتوحين آخرين.
مرسل البريد العشوائي:المصدر المضمن هو قائمة تعتمد على عناوين IP التي تم اكتشافها وهي ترسل رسائل بريد عشوائي.
أقران سيئون:المصدر المدرج هو قائمة تعتمد على تقارير الأعمال السيئة في p2p.
الجيش السي آي إيهالمصادر المُدرجة هنا مُقدمة من مشروع CIArmy. يوفر هذا المشروع مصدر البيانات المُستقاة من تحليل حركة المرور استنادًا إلى مجموعة من الحُراس على الإنترنت.
bogon:يزعم المصدر المدرج هنا أنه من منطقة من مساحة عنوان IP المحجوزة ولكن لم يتم تخصيصها أو تفويضها بعد بواسطة الإنترنت.
قواعد DOS #
تخفيف تأثير رفض الخدمة عبارة عن مجموعة من القواعد التي تهدف إلى حماية أو تقليل تأثير الهجمات على الخدمة التي تجعلها غير قابلة للاستخدام بسبب الكم الهائل من الطلبات غير المشروعة. RELIANOID يتضمن محرك IPDS تقنيات مختلفة لأداء حماية DoS لتطبيقات الويب وواجهات برمجة التطبيقات.
وقد تم وصف هذه القواعد أدناه:
أعلام TCP المزيفة:
في أي حركة مرور TCP، تتبع حزم TCP مسارًا معروفًا. هجوم TCP الزائف هو هجوم لا يتبع فيه مسار TCP المتوقع. على سبيل المثال، قد تتبع الحزمة مسار SYN-FIN غير المتوقع، بدلاً من مسار SYN-ACK. RELIANOID يراقب ويتحكم بتدفق TCP. في حال استلام حزمة غير متوقعة، RELIANOID سوف اسقطه.
حد الاتصال الإجمالي لكل عنوان IP المصدر:
RELIANOID يطبق حد المصدر بناءً على عدد الطلبات في الثانية، وعندما يتم الوصول إلى الحد لكل عنوان IP مصدر، RELIANOID سيتم إسقاط الحزم الواردة.
حد حزمة RST في الثانية:
هذا هجوم DoS شائع يحاول فيه المهاجم فتح مقبس TCP، وبمجرد استلام حزمة استجابة TCP، يرسل المهاجم حزمة TCP RST إلى المضيف.
حد الاتصال في الثانية:
RELIANOID يُطبّق حدّ الوجهة بناءً على عدد الطلبات في الثانية. إذا تم بلوغ الحدّ لكلّ عنوان IP للوجهة، RELIANOID سيتم إسقاط الحزم الواردة.
قواعد RBL #
قائمة الثغرات الأمنية الفورية هي نظام أمان تستخدمه خوادم البريد للحماية من مرسلي البريد العشوائي. إذا تلقى خادم البريد اتصالاً، فإنه يلتقط عنوان IP المصدر ويحاول تحليله عبر خوادم DNS المعروفة. إذا نجح تحليل DNS، فسيتم اكتشاف عنوان IP المصدر كمهاجم.
RELIANOID لقد طورت هذه الآلية الأمنية، مما يتيح التقاط أي عنوان IP مصدر في مسار معين، ومحاولة تحليله عبر منطقة DNS. ولهذا الغرض، تم اختيار مجموعة من أقوى نطاقات RBL.
قواعد WAF #
RELIANOID يقوم بفحص حركة مرور HTTP(S) بطريقتين:
١- استخدام قواعد مُحددة مسبقًا استنادًا إلى مجموعات قواعد OWASP (مشروع أمان تطبيقات الويب المفتوحة). مجموعات القواعد المُضمنة في RELIANOID تستند 6 قواعد إلى الإصدار 4 من مجموعة قواعد OWASP الأساسية. تُحدَّث هذه القواعد يوميًا. في حال حدوث أي تغيير في مجموعة قواعد OWASP، سيتضمن تحديث حزمة IPDS التالي هذه التغييرات.
2 - استخدام القواعد التي تم الحصول عليها من البائعين الخارجيين أو القواعد المخصصة التي صممتها أنت، عميلنا. RELIANOID يستخدم محرك ModSecurity لدعم مجموعات القواعد الخاصة بأطراف أخرى أو إنشاء قواعدك الخاصة استنادًا إلى لغة HTTP الخاصة بالمحلل.
افتراضيا، RELIANOID يتضمن IPDS حزم أمان ضد الهجمات التالية:
حقن SQL (SQLi)
البرمجة النصية للمواقع المشتركة (XSS)
تضمين الملف المحلي (LFI)
إدراج الملفات عن بعد (RFI)
حقن الكود PHP/Java/Ruby/Perl
إرتجاج دماغي
حقن شل يونكس
تثبيت الجلسة
الكشف عن البرامج النصية/الماسح الضوئي/الروبوتات
مجموعات القواعد الموجودة في RELIANOID 6 تشمل:
طلب-905-استثناءات-مشتركة
يتم استخدام هذه القواعد كآليات استثناء لإزالة الإيجابيات الخاطئة الشائعة التي قد يتم مواجهتها.
طلب-911-طريقة-الإنفاذ
طرق الطلب المسموح بها.
طلب-913-كشف-الماسحة الضوئية
التحقق من وجود ماسحات ضوئية مثل أدوات الزحف، والروبوتات، والبرامج النصية، وما إلى ذلك.
طلب-920-تنفيذ-البروتوكول
يقوم بالتحقق من صحة طلبات HTTP مما يؤدي إلى التخلص من عدد كبير من هجمات طبقة التطبيق.
طلب-921-بروتوكول-هجوم
التحقق من هجمات البروتوكول.
طلب-930-هجوم-تطبيق-LFI
التحقق من هجمات التطبيقات باستخدام تضمين الملفات المحلية (LFI).
طلب رقم 931 - هجوم على تطبيق - طلب معلومات
التحقق من هجمات التطبيقات باستخدام تضمين الملفات عن بعد (RFI).
طلب-932-هجوم-تطبيق-RCE
التحقق من هجمات التطبيقات باستخدام تنفيذ التعليمات البرمجية عن بعد (RCE).
طلب-933-هجوم-تطبيق-PHP
التحقق من هجمات التطبيقات باستخدام PHP.
طلب-934-هجوم-تطبيق-عام
التحقق من هجمات التطبيقات باستخدام Node.js وRuby وPerl.
طلب رقم 941 - هجوم تطبيق XSS
التحقق من هجمات التطبيقات باستخدام XSS.
طلب-942-هجوم-تطبيق-SQLI
التحقق من هجمات التطبيقات باستخدام Sql Injection.
طلب رقم 943 - تطبيق - هجوم - جلسة - تثبيت
التحقق من هجمات التطبيقات باستخدام تثبيت الجلسة.
طلب-944-هجوم-تطبيق-جافا.
التحقق من هجمات التطبيقات باستخدام Java.
محرك IPDS هو آلية استخبارات تهديدات لحماية تطبيقات الويب وواجهات برمجة التطبيقات. يُحدَّث يوميًا عبر حزمة relianoid-ipds، التي تُشكِّل جوهر المحرك، مما يُبقيه مُحدَّثًا باستمرار. RELIANOID القواعد والقواعد المخصصة من قبل العميل.
تستخدم مجموعة قواعد Relianoid-IPDS الأساسية آليات متنوعة لإنشاء قواعد الأمان هذه، مثل اجتياز بيانات الجهات الخارجية، أو تحليل سجلات المراقبة، أو إجراء تحليلات بيانات ضخمة على المعلومات الخاصة. إذا لاحظت أن RELIANOID تتضمن مجموعة قواعد IPDS الأساسية بعض عناوين IP أو القواعد المصدرية كإيجابيات خاطئة، اتصل بنا وسنكون سعداء بإصلاح المشكلة في أسرع وقت ممكن.
