مثير للإعجاب

5 تقنيات تساعد في حل مشكلة أمان التطبيق

5 تقنيات تساعد في حل مشكلة أمان التطبيق


We are searching data for your request:

Forums and discussions:
Manuals and reference books:
Data from registers:
Wait the end of the search in all databases.
Upon completion, a link will appear to access the found materials.

مشكلة أمان التطبيق ليست جديدة ، في الواقع ، منذ عام 1965 ، كان لدى Multics CTSS (محرر نصوص) على IBM 7094 ثغرة أمنية - إذا تم فتح مثيلات متعددة لمحرر النظام ، فسيكون من الممكن لأي مستخدم اقرأ ملف كلمة المرور.

ومع ذلك ، أصبحت مشكلة أمان التطبيقات اليوم أكبر وأكثر أهمية من أي وقت مضى ، حيث يستخدم المزيد والمزيد من الأشخاص مجموعة متنوعة من التطبيقات التي أصبحت أكثر تعقيدًا كل يوم. غالبًا ما تحتاج التطبيقات إلى الوصول إلى البيانات الحساسة مثل معلومات الشركة أو المعلومات الشخصية ، والتي في حالة فقدها أو سرقتها ، تصبح مسؤولية الفرد أو المؤسسة.

في الواقع ، كمية المعلومات المسروقة من التطبيقات مذهلة. على سبيل المثال ، تم الكشف عن 5 مليارات سجل في عام 2018 ، وتضمنت هذه البيانات بيانات حساسة مثل عناوين البريد الإلكتروني والحسابات المصرفية ومعلومات جواز السفر وما إلى ذلك ، ولهذا السبب أصبح تأمين التطبيقات أكثر أهمية من أي وقت مضى ، وبالتالي الحاجة إلى أمان التطبيق.

أمان التطبيق هو عملية اكتشاف الأخطاء وإصلاحها وتحسين أمان التطبيقات. على الرغم من أنه يحدث في الغالب أثناء مرحلة التطوير ، إلا أنه يتضمن تقنيات نشر ما بعد التطوير أيضًا لأن بيئة وقت التشغيل يمكن أن تعزز أمان التطبيق أو تعيقه.

هذا هو السبب في وجود العديد من التقنيات والأدوات لتأمين التطبيقات ، من تقييم تهديدات الترميز إلى تقييم التشفير وتقييم تهديدات وقت التشغيل وتدقيق أذونات المستخدم.

تحليل تكوين البرمجيات (SCA)

يشمل تحليل تكوين البرمجيات (SCA) مجموعة من الأدوات التي تحلل مكونات المصدر المفتوح للتطبيق. إنه ضروري لأنه لا يمكنك تأمين تطبيقك إذا كنت لا تعرف مكوناته. نظرًا لأن التطبيقات الحديثة تحتوي على غالبية التطبيقات مفتوحة المصدر ، فقد أثبتت SCA أنها تقنية أمان مهمة.

بصرف النظر عن تحديد المكونات ، توفر أدوات SCA معلومات متنوعة حول تلك المكتبات ، مثل تراخيصها ، وأي ثغرات أمنية مباشرة ، وما إلى ذلك. وهذا يعني أنها تخبرك عن الأخطاء حتى تتمكن من إصلاحها في تطبيقاتك.

بالإضافة إلى ذلك ، تقدم بعض الأدوات المتقدمة المزيد من الميزات - معظمها للمؤسسات. على سبيل المثال ، يمكنهم عرض "تطبيق تلقائي للسياسة" من خلال الرجوع إلى كل مكون بسياسات مؤسستك واتخاذ الإجراءات المهيأة ، مثل إرسال طلب موافقة إلى خبير أو فشل عملية الإنشاء.

تقنية حاوية البرمجيات

تقنية حاويات البرامج ، أو تقنية الحاوية ، هي مجموعة من التقنيات لتوحيد عبوة أحد التطبيقات جنبًا إلى جنب مع تبعياتها. من بين العديد من تقنيات الحاويات الشائعة ، Docker و Kubernetes وما إلى ذلك.

وفقًا لـ Google Cloud ، "تقدم الحاويات آلية تجميع منطقية يمكن من خلالها استخراج التطبيقات من البيئة التي تعمل فيها بالفعل. يسمح هذا الفصل بنشر التطبيقات المستندة إلى الحاويات بسهولة وثبات ، بغض النظر عما إذا كانت البيئة المستهدفة هي مركز بيانات خاص ، أو السحابة العامة ، أو حتى كمبيوتر محمول شخصي للمطور ".

على الرغم من أن الميزة الأساسية لتقنية الحاوية هي قابلية نقل التطبيق ، إلا أنها تساعد في حل مشكلة أمان التطبيق أيضًا. في الحاوية ، يتم عزل التطبيق أو وضع الحماية له عن التطبيقات الأخرى التي تعمل على نفس الجهاز. لذلك ، إذا تم اختراق تطبيق آخر ، فلن يتمكن المهاجم من استخدامه للوصول إلى تطبيق مضمن أو مهاجمته.

ومع ذلك ، فإن حاويات البرامج ليست حدودًا أمنية صريحة ، على عكس الأجهزة الافتراضية. هذا يعني أنه قد يتم اختراق الحاوية من الخارج ، على سبيل المثال إذا تم تقويض البرنامج الخفي للحاوية أو برنامج Hypervisor. الحل هو تأمين الحاويات عن طريق تقوية أمن عامل الميناء وأمن الحاويات بشكل عام.

الأجهزة الظاهرية

الآلة الافتراضية هي محاكاة تُعرف باسم تقنية المحاكاة الافتراضية التي تحاكي نظام كمبيوتر داخل جهاز فعلي. هذا يعني أنه يمكنك تشغيل أجهزة كمبيوتر أخرى أو عدة أجهزة كمبيوتر داخل جهاز كمبيوتر واحد فعلي. على سبيل المثال ، يمكنك تشغيل Windows OS و Ubuntu (توزيعة Linux شائعة) على جهاز كمبيوتر يعمل بنظام Windows.

وفقًا لـ Microsoft Azure ، فإنه يمنح "المستخدمين نفس التجربة على جهاز افتراضي كما لو كانوا على نظام التشغيل المضيف نفسه. يتم وضع الحماية للجهاز الظاهري من بقية النظام ، مما يعني أن البرنامج الموجود داخل جهاز افتراضي لا يمكنه الهروب أو العبث بالكمبيوتر نفسه ".

من بين مزاياها المختلفة ، توفر الآلة الافتراضية بيئة معزولة لتطبيق ما ، مثل حاوية البرامج. وهذا يعني أنه إذا تم اختراق نظام التشغيل المضيف أو أحد تطبيقاته ، فلن يتمكن المهاجم من إصابة نظام التشغيل أو التطبيق داخل الجهاز الظاهري.

علاوة على ذلك ، تعد الأجهزة الافتراضية أكثر أمانًا من حاويات البرامج. يوضح Google Cloud أن "المفهوم الخاطئ الأكثر شيوعًا حول أمان الحاويات هو أن الحاويات يجب أن تعمل كحدود أمنية تمامًا مثل الأجهزة الافتراضية ، ولأنها غير قادرة على تقديم مثل هذا الضمان ، فهي خيار نشر أقل أمانًا."

اختبار أمان التطبيق التفاعلي (IAST)

اختبار أمان التطبيق التفاعلي (IAST) عبارة عن مجموعة من أدوات الأمان التي تركز على الكشف في الوقت الفعلي عن مشكلات الأمان في كود التطبيق. يقومون بتحليل تدفق التنفيذ وحركة المرور الواردة أثناء مراقبة التطبيق نفسه.

نظرًا لأن أدوات IAST تقوم بالتحليل من داخل التطبيق ، فإنها تتمتع بإمكانية الوصول إلى التعليمات البرمجية المصدر ، والتحكم في تدفق البيانات ووقت التشغيل ، ومعلومات تتبع الذاكرة والمكدس ، وطلبات الويب ، ومكونات التطبيق. لهذا السبب يمكنهم تحديد المشكلة ، وبالتالي السماح لمطوري التطبيقات بالتحقق من الثغرة الأمنية وإصلاحها بسرعة.

هذه هي ميزة أدوات IAST على أدوات DAST (اختبار أمان التطبيق الديناميكي). لا تقدم أدوات DAST ، أثناء الإبلاغ عن المشكلات ، أي معلومات حول شفرة المصدر المسؤولة عن المشكلة. ومع ذلك ، تحدد أدوات IAST مشكلة الأمان في التعليمات البرمجية المصدر ، وبالتالي تسهل عمل التصحيح.

الحماية الذاتية للتطبيق في وقت التشغيل (RASP)

Runtime Application Self-Protection (RASP) هي تقنية تساعد التطبيقات على حماية نفسها في الوقت الفعلي عن طريق تحديد التهديدات وحظرها. إنه يعمل كما لو أن جدار حماية تطبيق الويب مدمج مباشرة مع وقت تشغيل التطبيق.

يحمي RASP التطبيق من خلال اعتراض المكالمات والتحقق من صحتها وطلبات البيانات المصاحبة من التطبيق إلى النظام. إذا اكتشف هجومًا ، فإنه يحظر المكالمات ذات الصلة ، وبالتالي حماية التطبيق. على سبيل المثال ، يوقف المكالمات من تطبيق إلى قاعدة بيانات إذا فسرت المكالمات على أنها هجوم حقن SQL.

راجع أيضًا: هذه الحلول التقنية تتصدى لثقب مشكلات الإنترنت

في الواقع ، يمكن لـ RASP اتخاذ إجراءات أخرى أيضًا عند اكتشاف تهديد مثل إنهاء جلسة المستخدم أو إيقاف تشغيل التطبيق أو تنبيه خبير الأمان.

من الممارسات الجيدة استخدام مزيج من التقنيات لحل مشكلة أمان التطبيق. تساعد IAST و SCA في تأمين التطبيق أثناء مرحلة التطوير ، ويساعد الآخرون في تأمينه أثناء مرحلة النشر. يُقترح أنه يجب عليك تنفيذ الإجراءات والأدوات الأمنية الأساسية في كلتا المرحلتين.

في الواقع ، يعمل RASP جنبًا إلى جنب مع الأجهزة الافتراضية بشكل جيد في تأمين تطبيقاتك من مجموعة من الهجمات. ومع ذلك ، يمكن للحاويات ذات الإجراءات الأمنية الموصى بها أن تحل محل الأجهزة الافتراضية وتساعد في تأمين تطبيقاتك جنبًا إلى جنب مع RASP.


شاهد الفيديو: كيف يمكن للشرطة ان تستخرج جميع بيانات الهاتف حتى وإن حذفت وجرب بنفسك! (قد 2022).


تعليقات:

  1. Dosho

    Very good and helpful post.لقد بحثت نفسي مؤخرًا على الإنترنت عن هذا الموضوع وجميع المناقشات المتعلقة به.

  2. Lumumba

    هذه الجملة ببساطة لا تضاهى)

  3. Akinojora

    يجب أن تكون هذه الفكرة الجيدة جدًا عن قصد

  4. Westcot

    بشكل ملحوظ ، الجواب القيم للغاية



اكتب رسالة