安全是一個具有深度和廣度的廣闊主題。但安全專家認為可以將作為安全工具的一種創(chuàng)造性方法,并且可以將其提升到一個新的水平。
什么是?
是一個面向開發(fā)人員的可觀察性工具:就像生產(chǎn)環(huán)境中的調(diào)試器,并且沒有安全風險。是一種足夠靈活的工具,可以適應(yīng)多個模具。
使用,可以在不更改代碼的情況下注入日志、添加快照(不會停止代碼執(zhí)行的斷點),并使用指標在代碼級別獲得可觀察的見解。
安全工具用例
將作為安全工具有幾個原因。以下重點介紹以下內(nèi)容:
為了保護應(yīng)用程序,還有很多工作要做。是一種通用工具;它不是Snyk等現(xiàn)有安全工具的替代品。并且它是免費的安全中心無法驗證調(diào)用程序,填補了代碼級別的空白。
最后,將討論如何保護本身,如果本身不安全,就不能將其視為一種安全工具。
驗證安全漏洞
安全工具就像可觀察性工具,可以提供潛在風險的高級警報,但很少在代碼級別進行通信。因此,開發(fā)人員可能很難執(zhí)行可操作的安全任務(wù)和驗證。如果安全問題在本地重現(xiàn),那很好,可以及時解決。企業(yè)通常可以使用調(diào)試器來填補空白。但是,一些安全問題很難在生產(chǎn)環(huán)境之外重現(xiàn)。
不會憑空發(fā)現(xiàn)漏洞。為此,企業(yè)需要一個專用的安全工具。但是如果有所懷疑,可以幫助調(diào)查并證明漏洞。
例如來看看這個明顯的錯誤:這是一個明顯的SQL注入錯誤,但它可以被利用嗎?可以花時間調(diào)整代碼嗎?
順便說一句,注意正在使用Java,這一同樣適用于所有支持的平臺/語言。這里的一切都很容易適用于、/、、、Scala等。
這在中測試很簡單。可以添加一個日志或快照,當發(fā)生無效請求時觸發(fā)。然后,可以嘗試通過curl命令發(fā)送無效值,以查看日志是否被觸發(fā)。
需要注意的是,可以使用正則表達式來驗證名稱值。如果收到日志,則意味著有問題的值是可利用的。這也意味著安全漏洞的風險很高。
那么是否被積極利用?如果發(fā)現(xiàn)了一個與上述類似的安全漏洞。系統(tǒng)中是否已經(jīng)存在黑客?
企業(yè)可以做什么?可以做一些類似于上面所做的事情,并添加一個具有類似條件和一些“調(diào)整”的快照:快照包含很多內(nèi)容。
為什么是快照而不是日志?
日志很適合查看是否發(fā)生了什么事,其速度很快,并且處理量大。但是,如果有人希望獲得所有可用信息;甚至可能是人們沒有想到的事情。人們想知道網(wǎng)絡(luò)攻擊的向量,這意味著可以知道調(diào)用堆棧等。因此快照是一個理想的安全工具。
(1)定位標簽
需要注意,“代理”入口指向“生產(chǎn)”。可以基于標簽將快照應(yīng)用到一組機器。在這種情況下,可以鎖定所有可能存在漏洞的機器。
(2)最大命中率
與日志不同,快照會填滿用戶界面(UI)和存儲空間,因此在快照過期之前可以有默認限制。通常默認為1個。在這里把它提高到20,如果愿意可以更高。
需要注意的是,如果看到這種情況發(fā)生并且正在發(fā)生漏洞攻擊,可以切換到日志。
(3)忽略配額
此選項可能不可用,因為它需要特殊權(quán)限。如果遇到這種情況,需要向IT經(jīng)理申請許可。
這是一個有風險的功能,這就是它受到保護的原因,但是對于可利用的黑客攻擊安全中心無法驗證調(diào)用程序,它可能是值得冒險的。
配額限制條件或表達式表示在每個操作中可以占用的CPU數(shù)量。這里的風險是可能會發(fā)生漏洞,并且由于CPU使用率,某些信息會被“丟棄”。這意味著快照不會在任何時候暫停,也不會“錯過”潛在的漏洞利用。
不過,這可能會影響服務(wù)器性能,因此并非沒有風險。
(4)到期
操作的默認過期時間為一小時。希望讓服務(wù)器保持快速和靈活,以便終止不需要的操作。在這種情況下,希望在修復(fù)完成之前執(zhí)行該操作,因此將到期值設(shè)置為60小時。
有了這些,將會獲得遇到的任何漏洞的可操作信息。
(5)驗證修復(fù)
驗證修復(fù)非常相似。可以在代碼的問題區(qū)域放置一個日志或快照,并查看該代碼是否到達有問題的值。
還可以添加額外的日志記錄,以驗證嘗試的攻擊是否達到了預(yù)期的范圍,并按照預(yù)期進行了處理。
安全
易受攻擊的安全工具無法實現(xiàn)其目的。了解中的安全措施是本文的重要部分。以下是中使其如此安全的高級功能。
(1)架構(gòu)
做出了幾個顯著減少網(wǎng)絡(luò)攻擊向量的架構(gòu)決策。
代理僅連接到服務(wù)器以獲取操作,而不是相反。這意味著它們對最終用戶甚至對企業(yè)完全隱藏。
如果服務(wù)器出現(xiàn)故障,代理將什么也不做。這意味著即使是會導(dǎo)致癱瘓的DDoS攻擊也不會影響其服務(wù)器。企業(yè)將無法使用,但服務(wù)器可以正常工作。
(2)證書固定和OIDC
服務(wù)器的代理和客戶端使用證書固定來防止復(fù)雜的中間人攻擊。
使用OpenI (OIDC)在其工具中提供經(jīng)過驗證的安全授權(quán)。
服務(wù)器根據(jù)分配的角色限制用戶權(quán)限。最重要的是,每個操作都會寫入管理日志。
(3)沙盒
代理中的所有操作都經(jīng)過沙盒處理,并且訪問權(quán)限有限。正如以上所述,所有操作都是“只讀的”,并且不能使用太多的CPU。
這些規(guī)則也有例外,但它們需要更高的特權(quán)才能規(guī)避。
(4)阻止列表
企業(yè)中的惡意開發(fā)人員可以使用快照或日志從正在運行的應(yīng)用程序中獲取信息。例如,可以在授權(quán)邏輯中放置快照,以便在編碼之前竊取用戶數(shù)據(jù)。
阻止列表可以定義在代理中被阻止的文件。這些文件不會讓開發(fā)人員在其中執(zhí)行操作。
(5)PII減少
可以有意或無意地記錄個人身份信息,例如信用卡號。個人身份信息 (PII)減少能夠定義有風險的模式,并且這些模式將從日志中隱式刪除。因此,無需清除此類日志,也不會讓自己面臨潛在的監(jiān)管責任。
結(jié)語
沒有將設(shè)計為安全工具,它不應(yīng)該取代現(xiàn)有的安全工具。但是,它是現(xiàn)有工具的完美搭檔,將發(fā)揮自己的優(yōu)勢,并推動了對漏洞/黑客的快速響應(yīng)。
的低級深度代碼可觀察性使人們能夠更快地響應(yīng)潛在威脅,并更快地緩解漏洞。
此外,還可以為提出更多驚人的與安全相關(guān)的用例,這些用例令人興奮。
原文標題:, , and Fixes for and Zero-Day Using ,作者:Shai Almog返回搜狐,查看更多