Data Theorem: Bảo mật API từ thiết bị di động đến Serverless

cloudFun

Bảo mật gần đây đã trở thành mục tiêu quan trọng đối với nhiều doanh nghiệp, tập trung vào các khác biệt trong cloud native, các thử thách đối với nguồn mở và mô hình chia sẻ trách nhiệm.
219d656a-locks.jpg


Gartner, một công ty tư vấn và nghiên cứu toàn cầu cũng chỉ ra rằng mối quan tâm về bảo mật API đang dần phát triển, cụ thể số lượng yêu cầu từ khách hàng tăng 30% mỗi năm. Các dự đoán chỉ ra rằng vào năm 2022, các hành vi lạm dụng API sẽ là vector tấn công thường xuyên nhất trong các vi phạm đối với các ứng dụng web của doanh nghiệp.

Data Theorem có trụ sở tại Palo Alto, California đang xử lý các vấn đề với bảo mật API xoay quanh DevOps. Ban đầu, họ tập trung vào bảo mật API cho các ứng dụng di động. Nhưng trong năm vừa rồi, họ cũng đã xây dựng thành công năng lực bảo mật API Serverless.

Doug Dooley, giám đốc điều hành của Data Theorem cho biết nhiệm vụ của họ là ngăn chặn sự xâm nhập dữ liệu ở cấp ứng dụng. Mục tiêu chính là giúp team an ninh phối hợp cùng với team DevOps, giúp DevOps chạy nhanh hơn bằng cách cung cấp sự bảo vệ cần thiết cho các ý tưởng của DevOps. Tự động hóa bảo mật được đưa vào mà không làm nặng hệ thống hay làm chậm tiến độ.

Research – công ty được ủy nhiệm bởi Enterprise Strategy Group cho biết họ nhận thấy các công ty đang dần dịch chuyển sang thực hiện bảo mật bằng DevOps practices, trong đó tự động hóa trở thành phương pháp tiêu chuẩn. Tuy nhiên, trong một cuộc khảo sát với 371 chuyên gia IT và an ninh mạng, chỉ 8% đưa ra kết quả công ty của họ đạt mức độ bảo mật 75% hoặc nhiều hơn đối với các ứng dụng cloud native thông qua DevSecOps practices. Và chỉ 39% số người được hỏi trả lời rằng các thành viên của team an ninh mạng trong tổ chức của họ có biết và ứng dụng đa phần các dự án ứng dụng cloud native ngày nay.

“Nếu bạn có một môi trường linh hoạt, chúng tôi tin rằng bạn cần hệ thống phân tích bảo mật và giám sát liên tục được kết nối với phương pháp DevOps để nhanh chóng tìm ra vấn đề và cung cấp các khuyến nghị để khắc phục sự cố đó” Dooley phát biểu.

ecfa5071-image002.png


Automated Analyzer Engine.
Himanshu Dwivedi, tác giả của một serial bài viết về bảo mật doanh nghiệp đã đưa ra Định lý dữ liệu (Data Theorem) vào năm 2013.
Khi một công ty có công nghệ cốt lõi, công cụ phân tích độc quyền, với các sản phẩm hàng đầu được xây dựng xung quanh các use case khác nhau thì nó thuần túy là công ty cung cấp mô hình SaaS.
Bảo mật ứng dụng: Quét và giám sát liên tục các lỗ hổng và sự cố bảo mật dữ liệu trong các ứng dụng iOS và Android.
Tìm kiếm ứng dụng: Dịch vụ theo dõi ứng dụng tự động.
Kiểm tra API: Dịch vụ bảo mật liên tục tự động nhằm tìm ra các lỗ hổng xác thực và mã hóa trong các internet-facing API
• Khám phá API: Dịch vụ khám phá liên tục tự động tìm các API mới, thay đổi để nhận biết API và dịch vụ đám mây có liên quan trong môi trường public cloud.
Bảo vệ thương hiệu: Trình thu thập thông tin tự động tìm kiếm các ứng dụng di động bị sao chép trái phép tại các cửa hàng ứng dụng của bên thứ ba.

Tháng 9 năm ngoái, một công cụ kiểm tra lỗ hổng của dynamic runtime với khả năng tự động và liên tục khám phá với mục đích xây dựng cho các ứng dụng web single-page (SPA) đã được ra mắt. Nó hỗ trợ các dịch vụ API GraphQL và REST như một phần của API Discover và API Inspect.
TrustKit, một framework mở có khả năng triển khai việc ghim và báo cáo SSL public key trong các ứng dụng di động cũng được phát triển.


Ngăn chặn khai thác dữ liệu
Với thiết bị di động, công cụ phân tích xem xét các phiên bản của ứng dụng trong tất cả các cửa hàng ứng dụng khác nhau - phiên bản có phép cũng như trái phép, sau đó tìm kiếm các lỗ hổng thông qua phân tích nhị phân, phân tích runtime, phân tích động và phân tích tĩnh.
“Chúng tôi đang tìm kiếm tất cả những cách mà hacker có thể sử dụng để tấn công ứng dụng”, ông Dooley cho biết.

Khi nó kiểm tra tất cả các ứng dụng, các kết quả phù hợp nhất sẽ chuyển thành định dạng có thể đọc được. Khi đăng nhập vào portal, nơi chứa tất cả các ứng dụng và những nguy cơ tiềm tàng, hệ thống sẽ tự động sàng lọc để tìm ra những điều cần lưu ý nhất.

Điều đó không liên quan đến rủi ro về tính toán mà là một quyết định kinh doanh. Nó chỉ tập trung vào việc ngăn chặn việc trích xuất dữ liệu từ các ứng dụng.
“Đôi khi, khách hàng nói rằng dữ liệu là công khai, vì vậy ngay cả khi dữ liệu bị xâm phạm, nó cũng không chứa thông tin quan trọng hoặc họ không quá quan tâm.”
Nó giống với đám mây, ông Dooley miêu tả.

"Chúng tôi tìm kiếm tất cả các tên miền, tìm kiếm tất cả các API được liên kết với tên miền, chúng tôi thường xem xét các ứng dụng di động, ứng dụng web để tìm API nhúng hoặc shadow API mà doanh nghiệp thường không nhận ra chúng có khả năng di chuyển dữ liệu trong ứng dụng.

“Chúng tôi chỉ cho họ tất cả các API mà họ có và các cuộc tấn công tiềm năng có thể trích xuất dữ liệu. Trong một số trường hợp, khi chúng tôi tìm thấy các API bị rò rỉ, chúng tôi có thể xuất dữ liệu ra và phân tích để xác định liệu có bất kỳ thông tin nhận dạng cá nhân (PII) nào có liên quan đến vi phạm tuân thủ hay không. Sau đó, chúng tôi báo cáo lại cho khách hàng” Dooley nói.

“Phân tích dữ liệu của khách hàng đòi hỏi mức độ tin cậy vốn được xây dựng thông qua việc phân tích các ứng dụng sản xuất , sau đó khách hàng thường quyết định tích hợp Data Theorem vào pre-production như một phần của Jenkins hoặc các pipelines CI/CD khác” Dooley nói.
b4ed94c5-image003.png


Serverless
Các doanh nghiệp đã trải nghiệm những lợi ích của cơ sở hạ tầng không máy chủ trong nhà, cho phép Developers xây dựng các khả năng nhanh hơn, sử dụng một số kỹ thuật học máy và với khoảng 1/10th mã, ông nói.

Nhưng với serverless, phần lớn công nghệ đằng sau sẽ bị loại bỏ. Developer sẽ không nhìn thấy máy chủ, hệ điều hành, tuy nhiên cũng không thực sự cần quan tâm đến điều đó.

Nhưng điểm tiêu cực đối với team bảo mật là nếu hy vọng kết nối container, cài đặt một tác nhân trên hệ điều hành hoặc tạo ra một cổng proxy để lưu lượng truy cập đi qua, thì nhà cung cấp cloud cũng ẩn tất cả, khiến nó vận hành tự động đằng sau hậu trường để không thể nhìn thấy nó hoặc kết nối nó.

“Khi chúng tôi bắt đầu xây dựng công nghệ API của mình hai năm trước, chúng tôi biết rằng chúng tôi phải gắn bó với một kiến trúc không có cổng proxy. Vì vậy, chúng tôi bắt đầu xem xét các kỹ thuật mới để đảm bảo bảo mật API và luồng dữ liệu - hoặc ít nhất là phân tích luồng dữ liệu mà không cần thực thi các kết nối agent hoặc kết nối hệ điều hành hoặc proxy mạng”, ông nói.

Nó quyết định một kỹ thuật mà nhà cung cấp cloud cho phép: vai trò kiểm toán. Sử dụng kiểm soát truy cập dựa trên vai trò, nó có thể xem xét các API của nhà cung cấp dịch vụ đám mây cũng như khách hàng, liên tục theo dõi để đảm bảo chúng duy trì trong phạm vi các thông số chức năng.

Gartner lưu ý rằng số lượng nhà cung cấp bảo mật API ngày càng tăng với nhiều cách tiếp cận khác nhau, bao gồm 42Crunch; Areca Bay, được đổi tên thành CloudVector; IMvision; Salt Security và Elastic Beam, được mua lại bởi Ping Identity và bây giờ được gọi là PingIntelligence for APIs.

Data Theorem đã phát hiện hơn 300 triệu sự cố nghe lén ứng dụng trong khi bảo vệ hơn 4.000 ứng dụng cho khách hàng bao gồm Netflix, Evernote, Verizon và Etsy.

Gần đây nhất, công ty đã cảnh báo về các cuộc tấn công mới, chẳng hạn như Denial of Wallet (DoW), trong đó có rất nhiều yêu cầu được gửi đến và cơ sở hạ tầng nền tảng tiếp tục mở rộng cho đến khi chi phí vượt khỏi tầm kiểm soát.

Nguồn: https://thenewstack.io/
 
Top