1.1 Các nguy cơ đối với ứng dụng Web:
Hiện nay, các doanh nghiệp ngày càng đưa nhiều dữ liệu và thuật toán kinh doanh của mình lên các nền tảng đám mây và dần bị phụ thuộc vào công nghệ web để kinh doanh. 94% các doanh nghiệp có ít nhất một website. Khi đó, ranh giới giữa mạng nội bộ (private network) và mạng công cộng (public network) chỉ còn là lý thuyết. Trên thực tế, tất cả dữ liệu kinh doanh có thể truy cập được từ website đều chịu nguy cơ bị tấn công mạng. Dữ liệu của cá nhân và doanh nghiệp là món hời vô cùng béo bở đối với tin tặc. Các nghiên cứu đều chỉ ra rằng ¾ vụ đánh cắp dữ liệu trên thế giới hiện nay là từ website. Điều đó cho thấy cơ chế bảo mật cũ không còn đủ khả năng bảo mật dữ liệu kinh doanh.
Theo các báo cáo nghiên cứu, ứng dụng Web thường tồn tại nhiều điểm yếu và dễ bị tấn công nhất. Đội ngũ phát triển ứng dụng thường chỉ tập trung vào việc xây dựng chức năng mà chưa quan tâm tới điểm yếu ứng dụng có thể được tạo ra.
Khi triển khai ứng dụng Web, các tổ chức/doanh nghiệp có thể đối mặt các nguy cơ sau:
Như đã đề cập ở trên, các trang web phụ thuộc vào cơ sở dữ liệu để cung cấp các thông tin cần thiết đến người dùng. Nếu các ứng dụng web không an toàn, thì toàn bộ cơ sở dữ liệu chứa thông tin nhạy cảm có rủi ro nghiêm trọng. Ngoài ra, một số hacker có thể đưa mã độc hại vào trong các ứng dụng web có lổ hỏng bảo mật để lừa người dùng chuyển hướng đến các trang web lừa đảo.
2. GIẢI PHÁP BẢO VỆ ỨNG DỤNG WEB
2.1 Giới thiệu Giải pháp tường lửa ứng dụng Web của Imperva
Như phân tích các vấn đề đối với bảo hệ thống ứng dụng được nêu ở phần trên, để khắc phục vấn đề này, giải pháp Tường lửa ứng dụng Web (WAF) của Imperva được đề xuất. Tường lửa ứng dụng Web là thiết bị bảo vệ chuyên biệt cho ứng dụng, có thể tự học, hiểu sâu được cấu trúc, thuộc tính và hoạt động của website cụ thể của mỗi tổ chức và tự động tạo ra ra cách chính sách bảo vệ, ngăn chặn cả tấn công chưa biết và những hành vi bất thường trên ứng dụng, tấn công tinh vi, sử dụng kỹ thuật lẩn tránh mà có thể dễ dàng vượt qua tường lửa mức mạng và IPS. WAF có khả năng kết hợp với các giải pháp đánh giá điểm yếu để đưa ra bảo vệ điểm yếu được phát hiện ngay lập tức với bản vá ảo trong khi việc khắc phục điểm yếu bằng tay chưa thể thực hiện được. Do vậy việc đầu tư trang bị tường lửa ứng dụng Web để bảo vệ ứng dụng thực sự là cần thiết.
Chức năng giải pháp WAF hoạt động cùng với các lớp bảo vệ khác như sau:
Tên Giải pháp | Vai trò, chức năng |
Tường lửa mạng | Phân hoạch các vùng mạng (Internet, WAN, DMZ, Server, LAN,..) và kiểm soát kết nối giữa các vùng mạng, chống tấn công lớp mạng |
Hệ thống chống xâm nhập (IPS) | Bảo vệ cho nhiều ứng dụng, hệ điều hành khác nhau và đã biết như là Windows, Linux, Office, Acrobat, IIS,.. chống tấn công khai thác điểm yếu đã biết trên các máy chủ, máy trạm người dùng |
Web Security / Secure Web Gateway | Bảo vệ người dùng truy cập Internet ra ngoài an toàn, ngăn chặn tấn công lừa đảo, mã độc lây nhiễm về máy người dùng qua truy cập Internet (Web) |
Tường lửa ứng dụng Web | Bảo vệ ứng dụng Web tự phát triển quan trọng gồm Cổng thông tin, Ứng dụng được public ra ngoài Internet, ngăn chặn tấn công mức ứng dụng, tấn công chưa biết, tấn công có khả năng xâm nhập vào Cơ sở dữ liệu của ứng dụng |
2.2 Các tính năng chính của giải pháp
2.2.1 Tự học ứng dụng và tạo chính sách bảo vệ
Tính năng cho phép tự động tạo chính sách bảo vệ ứng dụng mà không đòi hỏi người quản trị phải hiểu nhiều về ứng dụng và mất nhiều thao tác bằng tay trong việc tạo chính sách. Giải pháp tiếp tục tự động tự học các thay đổi hợp lệ mà không phải thực hiện bằng tay
Bên cạnh chính sách được tự động tạo ra, giải pháp cho phép người quản trị tự định nghĩa chính sách để kiểm soát các hoạt động khác của ứng dụng
2.2.2 Bảo vệ điểm yếu bằng bản vá ảo
Giải pháp WAF cho phép đọc kết quả quét điểm yếu từ nhiều công cụ phổ biến như Accunetix, WhiteHat, Fortity, Rapid 7,.. để tạo bản vá ảo bảo vệ các điểm yếu được phát hiện ra bởi công cụ quét. Bản vá ảo cho phép bảo vệ điểm yếu nhanh chóng trong khi biện pháp cài bản vá thật, sửa lỗi mã nguồn chưa thể thực hiện được.
2.2.3 Mạng lưới cập nhật các nguồn đe dọa – Intelligence services
Giải pháp WAF được trang bị, cập nhật những đe dọa đầy đủ nhất và mới nhất thông qua mạng lưới các tổ chức chuyên cung cấp thông tin tấn công, đảm bảo rằng bất cứ phương thức và công cụ tấn công đã biết nào cũng sẽ bị ngăn chặn. Ngoài ra, giải pháp còn hỗ trợ tính năng tùy chọn cập nhật các nguồn thường được hacker sử dụng để phát động tấn công như mạng proxy nặc danh (như Anonymous, TOR dùng dể che dấu IP thật của mình), mạng bot net thường được sử dụng cho những tấn công tự động đồng loạt trên diện rộng như tấn công DDoS
2.2.4 Chống bot và tấn công khai thác điểm yếu logic (tính năng tùy chọn)
Giải pháp cung cấp khả năng phân biệt truy cập của người dùng bình thường với truy cập của bot, thậm chí phân biệt giữa bot xấu và bot tốt (các máy tìm kiếm như Google là dạng bot) thông qua nhiều kỹ thuật như phân tích tần suất truy cập, địa chỉ nguồn truy cập, CATPCHA, phân tích hành vi, theo mẫu bot signature,..
2.2.5 Phân tích tương quan, phát hiện tấn công nhiều giai đoạn (tính năng tùy chọn)
Giải pháp WAF có khả năng kết hợp nhiều lớp kiểm tra phân tích, cũng như đánh giá các sự kiện qua khoảng thời gian dài để phát chính xác tấn công. Giải pháp hỗ trợ tính năng tùy chọn sử dụng AI, máy học (machine learning) và phân tích trên cloud tương quan (correlation) từ hàng nghìn/triệu log để phát hiện ra tấn công nhiều giai đoạn.
2.2.6 API security
Ngày nay, ứng dụng xu hướng hỗ trợ mobile app sử dụng API, Web services (XML), Micro-services. Giải pháp WAF có khả năng kiểm tra nội dung XML messages, sử dụng các tính năng WAF như nêu trên để chống tấn công khai thác điểm yếu ứng dụng trên kiến trúc API.
Mô hình triển khai nói chung:
WAF là một thiết bị phần cứng hoặc phần mềm được cài lên máy chủ có chức năng theo dõi các thông tin được truyền qua giao thức http/https giữa trình duyệt của người dùng và máy chủ web tại lớp 7. WAF có thể triển khai với các mô hình như sau:
Proxy: WAF triển khai như một proxy server, kết nối từ người dùng tới máy chủ ứng dụng Web sẽ bị ngắt làm hai, kết nối từ người dùng tới proxy server và kết nối từ proxy server tới máy chủ ứng dụng. Mô hình này yêu cầu cần thay đổi IP, DNS và tạo ra độ trễ.
Sniffer: WAF tích hợp vào switch qua cổng Span để giám sát các lưu lượng từ người dùng tới máy chủ ứng dụng Web. Mô hình này chủ yếu dùng để giám sát, thử nghiệm, không có khả năng chặn tấn công.
Inline: Triển khai ở layer 2, trong suốt và không làm thay đổi mạng và ứng dụng hiện tại. Mô hình cho phép dễ triển khai dễ dàng và độ trễ thấp.
2.4 Các lợi ích sau khi triển khai hệ thống