Cách Akamai tăng cường hoạt động bảo mật bạn để giảm thiểu 10 rủi ro hàng đầu theo OWASP Giới thiệu 10 lỗ hổng hàng đầu theo OWASP cung cấp danh sách loại lỗ hổng thường gặp ứng dụng web Để nhận thức sai lầm phổ biến mà nhà cung cấp dịch vụ bảo mật thường lưu truyền, 10 lỗ hổng hàng đầu theo OWASP không cung cấp danh sách kiểm tra vectơ cơng bị chặn tường lửa ứng dụng web (WAF) Thay vào đó, mục tiêu danh sách nhằm nâng cao nhận thức lỗ hổng bảo mật phổ biến mà nhân viên phát triển ứng dụng nên xem xét, vận dụng nhận thức hàng loạt hoạt động phát triển ứng dụng giúp thấm nhuần văn hóa hoạt động phát triển ứng dụng an tồn Việc giải 10 lỗ hổng hàng đầu theo OWASP đòi hỏi am hiểu vai trò nhà cung cấp dịch vụ bảo mật tổ chức bạn việc bảo mật ứng dụng web bạn Chỉ nhân viên phát triển ứng dụng giải triệt để số khía cạnh rủi ro Nhiều nhà cung cấp dịch vụ bảo mật trợ giúp số khía cạnh, thường cung cấp phạm vi bảo vệ đầy đủ tốt lỗ hổng bảo mật Các giải pháp tốt cho phép kết hợp nhân sự, quy trình cơng nghệ nhằm giảm thiểu rủi ro liên quan đến 10 lỗ hổng hàng đầu Để tận dụng tối đa 10 lỗ hổng hàng đầu theo OWASP đòi hỏi bạn phải am hiểu khía cạnh cách thức - mức độ - mà nhà cung cấp dịch vụ bảo mật giúp tăng cường cải thiện hoạt động phát triển ứng dụng bạn Phần sau mơ tả vai trị Akamai việc hỗ trợ nỗ lực bạn với giải pháp bảo mật biên,1 dịch vụ quản lý2 HÌNH ẢNH CÓ THỂ CHỈNH SỬA E PIM TP www www SaaS IaaS API DD oS P ro le xic P h â n tí c h S cri p t g Ed DNS e D AP I Akamai Intelligent Edge PlatformTM S Đám mây công cộng N Đám mây riêng tư eb W KSD EAA SaaS W AP t Bo ềm ại ch ộ đ Bối cảnh mối đ e dọ a t ậ b m iên Bảo Bot Ma na g er Ph ần m tảng biên thông minh bảo mật chúng tôi.3 Cách Akamai tăng cường hoạt động bảo mật bạn để giảm thiểu 10 rủi ro hàng đầu theo OWASP A1: Chèn mã độc Ảnh hưởng: Nghiêm trọng Mức độ phổ biến: Thường gặp Khả khai thác: Dễ dàng Các lỗ hổng chèn mã độc, chẳng hạn chèn SQL, NoSQL, OS LDAP, xảy liệu không đáng tin cậy gửi đến trình thơng dịch phần lệnh truy vấn Dữ liệu độc hại kẻ cơng đánh lừa trình thơng dịch thực lệnh dự kiến truy cập liệu mà khơng có thẩm quyền thích hợp Cách Akamai trợ giúp Các tổ chức sử dụng giải pháp bảo mật WAF để bảo vệ ứng dụng web API chống lại lỗ hổng chèn mã độc Tuy nhiên, tổ chức phải vá lỗi cho ứng dụng web để giải lỗ hổng phát dựa vòng đời phát triển chúng • Akamai WAF4 cung cấp khả bảo vệ sâu rộng chống lại công chèn mã độc quy tắc có, sẵn dùng • Bản vá ảo với quy tắc tùy chỉnh giúp nhanh chóng giải lỗ hổng chèn mã độc lỗ hổng xuất thay đổi ứng dụng, vá lỗi cho ứng dụng Bản vá ảo tự động hóa tích hợp vào quy trình DevSecOps, cách tận dụng tính API mở Akamai • Tính Client Reputation5 cung cấp điểm số rủi ro cho máy khách độc hại hoạt động tích cực danh mục Kẻ cơng web để giúp xác định chặn cơng chèn mã độc • WAF phân tích chi tiết cơng chèn mã độc với Chế độ cảnh báo vùng phạt A2: Xác thực bị lỗi Ảnh hưởng: Nghiêm trọng Mức độ phổ biến: Thường gặp Khả khai thác: Dễ dàng Các chức ứng dụng liên quan đến xác thực quản lý phiên thường triển khai khơng xác, cho phép kẻ công xâm nhập vào mật khẩu, khóa mã thơng báo phiên khai thác lỗ hổng triển khai khác để giả mạo danh tính người dùng khác tạm thời vĩnh viễn Cách Akamai trợ giúp Mặc dù tổ chức phải khắc phục quy trình xác thực bị lỗi để giải triệt để lỗ hổng này, Akamai giúp phát bảo vệ chống lại nhiều vectơ cơng tìm cách khai thác lỗ hổng đó: • Akamai WAF cung cấp tính kiểm sốt tỷ lệ, xử lý cơng brute-force • Giải pháp quản lý bot6 phát quản lý quy trình tự động hóa sử dụng công nhồi nhét thông tin xác thực • Cookie HTTP mã hóa tảng Akamai7 nhằm ngăn chặn việc can thiệp sửa đổi cookie, qua tăng cường quy trình xác thực • Enterprise Application Access (EAA)8 truy cập proxy vào ứng dụng thông qua “mô hình truy cập với đặc quyền tối thiểu”, giảm bề mặt công ứng dụng tăng cường quyền truy cập với tính xác thực hai yếu tố (2FA) xác thực đa yếu tố (MFA) Cách Akamai tăng cường hoạt động bảo mật bạn để giảm thiểu 10 rủi ro hàng đầu theo OWASP A3: Tiết lộ liệu nhạy cảm Ảnh hưởng: Nghiêm trọng Mức độ phổ biến: Phổ biến rộng rãi Khả khai thác: Trung bình Nhiều ứng dụng web API không bảo vệ cách liệu nhạy cảm thơng tin tài chính, y tế PII Kẻ cơng đánh cắp sửa đổi liệu bảo vệ lỏng lẻo để thực hành vi gian lận thẻ tín dụng, đánh cắp danh tính tội ác khác Dữ liệu nhạy cảm bị xâm phạm khơng có biện pháp bảo vệ bổ sung, chẳng hạn mã hóa trạng thái nghỉ trình truyền tải cần có biện pháp phịng ngừa đặc biệt trao đổi với trình duyệt Cách Akamai trợ giúp Tiết lộ liệu nhạy cảm bao gồm nhiều khía cạnh việc truyền, lưu trữ chia sẻ liệu - chẳng hạn vơ tình tiết lộ liệu từ trang web không bảo vệ - giải triệt để giải pháp bảo mật đơn lẻ Tuy nhiên, giải pháp khác giúp giải số khía cạnh lỗ hổng Ví dụ: • Akamai mã hóa bảo vệ liệu nhạy cảm trình truyền tải giúp trì tuân thủ PCI cách phân phát độc quyền từ CDN an tồn có tủ mạng phân tầng, hỗ trợ chứng SSL thuộc thương hiệu bảo vệ khóa riêng tư khách hàng • Enterprise Application Access bảo vệ quyền truy cập từ xa cách mã hóa thơng tin giao tiếp ẩn liệu mật khỏi ánh mắt tò mị mạng • Enterprise Application Access tích hợp với giải pháp ngăn liệu (DLP) cách sử dụng ICAP để tăng cường bảo vệ liệu nhạy cảm khỏi bị lộ • Enterprise Threat Protector (ETP)9 giúp chống tiết lộ liệu nhạy cảm A4: Thực thể bên XML (XXE) Ảnh hưởng: Nghiêm trọng Mức độ phổ biến: Thường gặp Khả khai thác: Trung bình Nhiều xử lý XML cũ cấu hình đánh giá tham chiếu thực thể bên tài liệu XML Các thực thể bên ngồi bị lợi dụng để tiết lộ tệp nội cách sử dụng xử lý tệp URI, tính chia sẻ tệp nội bộ, quét cổng nội bộ, thực thi mã từ xa công từ chối dịch vụ Cách Akamai trợ giúp • Akamai WAF bao gồm quy tắc phát ngăn chặn cơng XXE trước trình phân tích cú pháp XML xử lý thực thể bên nguy hiểm • Akamai WAF bao gồm tính bảo vệ API với ràng buộc yêu cầu API, vốn dùng để xác thực XML JSON so với định dạng xác định trước để chặn công XXE Cách Akamai tăng cường hoạt động bảo mật bạn để giảm thiểu 10 rủi ro hàng đầu theo OWASP A5: Kiểm soát truy cập bị lỗi Ảnh hưởng: Nghiêm trọng Mức độ phổ biến: Thường gặp Khả khai thác: Trung bình Hạn chế việc mà người dùng xác thực phép làm thường không thực thi cách Kẻ cơng khai thác lỗ hổng để truy cập vào chức và/hoặc liệu trái phép - truy cập tài khoản người dùng khác, xem tệp nhạy cảm, sửa đổi liệu người dùng khác, thay đổi quyền truy cập, v.v Cách Akamai trợ giúp Mặc dù tổ chức phải khắc phục mơ hình kiểm sốt truy cập bị lỗi để giải triệt để lỗ hổng này, Akamai giúp phát bảo vệ chống lại số vectơ cơng tìm cách khai thác lỗ hổng đó: • Enterprise Application Access cung cấp mơ hình truy cập với đặc quyền tối thiểu cho người dùng doanh nghiệp, cho phép người dùng xác thực nhìn thấy truy cập vào ứng dụng ủy quyền, điều hỗ trợ mơ hình bảo mật Zero Trust • Cổng API10 thực thi trình xác thực cho API để tăng cường kiểm sốt truy cập • Akamai WAF giúp chặn công forceful browsing cách kiểm tra trường giới thiệu • Cookie HTTP mã hóa tảng Akamai, giúp tăng cường kiểm sốt truy cập A6: Cấu hình bảo mật sai Ảnh hưởng: Trung bình Mức độ phổ biến: Phổ biến rộng rãi Khả khai thác: Dễ dàng Cấu hình bảo mật sai vấn đề thường gặp Đây thường kết cấu hình mặc định khơng bảo mật, cấu hình khơng đầy đủ khơng theo thể thức, lưu trữ đám mây mở, tiêu đề HTTP cấu hình sai thơng báo lỗi dài dịng chứa thơng tin nhạy cảm Tất hệ điều hành, khuôn khổ, thư viện ứng dụng không cần cấu hình bảo mật mà cịn phải vá lỗi nâng cấp kịp thời Cách Akamai trợ giúp Theo định nghĩa, Cấu hình bảo mật sai (a.) bao gồm nhiều khía cạnh việc bảo mật ứng dụng (b.) đòi hỏi tổ chức phải cấu hình biện pháp kiểm sốt bảo mật cách Mặc dù thay cho việc cấu hình cách, Akamai giúp bảo vệ chống rị rỉ liệu: • Akamai WAF bao gồm nhóm xử lý cơng bất thường chiều sẵn dùng ngay, giúp nắm bắt tình trạng rị rỉ thông tin mã lỗi, mã nguồn cấu hình bảo mật sai • Bản vá ảo với quy tắc tùy chỉnh giúp nhanh chóng giải tình trạng rị rỉ liệu phát vá lỗi cho ứng dụng • Tính kiểm sốt tỷ lệ bảo vệ chống công brute-force cách sử dụng thơng tin xác thực mặc định • Có thể tăng cường cấu hình bảo mật yếu tiêu đề Chính sách bảo mật nội dung tảng Akamai Cách Akamai tăng cường hoạt động bảo mật bạn để giảm thiểu 10 rủi ro hàng đầu theo OWASP A7: Kịch chéo trang (XSS) Ảnh hưởng: Trung bình Mức độ phổ biến: Phổ biến rộng rãi Khả khai thác: Dễ dàng Lỗ hổng XSS xảy ứng dụng (a.) bao gồm liệu không đáng tin cậy vào trang web mà khơng xác thực cách (b.) cập nhật trang web có liệu người dùng cung cấp cách sử dụng API trình duyệt vốn tạo HTML JavaScript XSS cho phép kẻ công thực thi tập lệnh trình duyệt nạn nhân, vốn chiếm quyền điều khiển phiên người dùng, thay đổi giao diện trang web chuyển hướng người dùng đến trang web độc hại Cách Akamai trợ giúp Các tổ chức sử dụng giải pháp bảo mật WAF để bảo vệ ứng dụng web chống lại lỗ hổng XSS Tuy nhiên, tổ chức phải vá lỗi cho ứng dụng web để giải lỗ hổng phát dựa vòng đời phát triển chúng • Sản phẩm Akamai WAF có quy tắc XSS WAF sẵn dùng ngay, giúp xác định ngăn chặn công XSS • Bản vá ảo với quy tắc tùy chỉnh giúp nhanh chóng giải lỗ hổng XSS lỗ hổng xuất thay đổi ứng dụng, vá lỗi cho ứng dụng • Tính Client Reputation cung cấp điểm số rủi ro cho máy khách độc hại danh mục Kẻ công web để giúp chặn cơng XSS • Nền tảng Akamai đặt tiêu đề sách phản hồi bảo mật nhanh chóng để bảo vệ chống cơng XSS A8: Giải hóa khơng bảo mật Ảnh hưởng: Nghiêm trọng Mức độ phổ biến: Thường gặp Khả khai thác: Khó Giải hóa khơng bảo mật thường dẫn đến tình trạng thực thi mã từ xa Ngay lỗ hổng giải hóa khơng dẫn đến tình trạng thực thi mã từ xa lỗ hổng bị lợi dụng để thực công, bao gồm công phát lại, công chèn mã độc cơng leo thang đặc quyền Cách Akamai trợ giúp Các tổ chức sử dụng giải pháp bảo mật WAF để bảo vệ ứng dụng web API chống lại lỗ hổng giải hóa không bảo mật Tuy nhiên, tổ chức phải vá lỗi cho ứng dụng web để giải lỗ hổng phát dựa vòng đời phát triển chúng • Các quy tắc Akamai WAF phát cơng giải hóa • Bản vá ảo với quy tắc tùy chỉnh giúp nhanh chóng giải lỗ hổng giải hóa vá lỗi cho ứng dụng • Akamai WAF bao gồm tính bảo vệ API với mơ hình bảo mật tích cực, xác định định dạng đối tượng XML JSON chấp nhận để lọc XML JSON độc hại Cách Akamai tăng cường hoạt động bảo mật bạn để giảm thiểu 10 rủi ro hàng đầu theo OWASP A9: Sử dụng thành phần có lỗ hổng biết Ảnh hưởng: Trung bình Mức độ phổ biến: Phổ biến rộng rãi Khả khai thác: Trung bình Các thành phần thư viện, khn khổ mô-đun phần mềm khác chạy với đặc quyền giống ứng dụng Ngoài ra, tập lệnh hoạt động tài nguyên ứng dụng tin cậy với toàn quyền truy cập vào liệu ứng dụng Nếu thành phần sơ hở bị khai thác, công dẫn đến liệu nghiêm trọng chiếm quyền máy chủ Các ứng dụng API sử dụng thành phần có lỗ hổng bảo mật biết làm suy yếu hàng rào phịng thủ ứng dụng tạo điều kiện cho công nhiều mức độ ảnh hưởng khác Cách Akamai trợ giúp Mặc dù phổ biến sử dụng rộng rãi để giảm thời gian chi phí phát triển, thành phần bên thứ ba điểm xâm nhập lỗ hổng thường gặp với ứng dụng độc quyền bạn Có nhiều rủi ro Các tổ chức thường khả theo dõi - đội ngũ bảo mật thường hồn tồn khơng biết - thành phần bên thứ ba sử dụng ứng dụng họ Ngồi ra, tổ chức khơng kiểm soát tốc độ thời điểm thực thể bên thứ ba giải lỗ hổng bảo mật phát Do đó, khó khơng thể vá lỗi trực tiếp cho ứng dụng kịp thời, đòi hỏi phải sử dụng giải pháp bảo mật WAF bảo vệ tập lệnh: • Akamai WAF bao gồm nhiều quy tắc thiết kế để giải lỗ hổng biết - lỗ hổng nằm riêng ứng dụng bạn hay thành phần bên thứ ba • Bản vá ảo với quy tắc tùy chỉnh giúp nhanh chóng giải lỗ hổng xuất thay đổi ứng dụng, vá lỗi cho ứng dụng • Akamai WAF cung cấp tính bảo vệ API để bảo vệ API cho thành phần bên thứ ba chống lại công khai thác lỗ hổng biết • Tính Client Reputation cung cấp điểm số rủi ro máy khách độc hại danh mục Quét web để giúp bảo vệ chống khai thác lỗ hổng • Page Integrity Manager bảo vệ ứng dụng web chống mối đe dọa - chẳng hạn công web skimming, formjacking Magecart - cách phát hành vi tập lệnh khả nghi cung cấp thông tin chi tiết thiết thực để chặn hoạt động độc hại • Page Integrity Manager chặn việc trích rút liệu từ tập lệnh bên thứ bên thứ ba tới URL có lỗ hổng bảo mật biết cách sử dụng sở liệu Các lỗ hổng phổ biến mức độ phơi nhiễm (CVE) cập nhật liên tục A10: Ghi nhật ký giám sát khơng đầy đủ Ảnh hưởng: Trung bình Mức độ phổ biến: Phổ biến rộng rãi Khả khai thác: Trung bình Tình trạng ghi nhật ký giám sát không đầy đủ, kết hợp với việc thiếu khả tích hợp tích hợp khơng hiệu với q trình ứng phó xử lý cố, cho phép kẻ cơng cơng hệ thống sâu rộng hơn, lâu dài hơn, chuyển hướng sang nhiều hệ thống khác; can thiệp, trích xuất tiêu hủy liệu Hầu hết nghiên cứu xâm phạm cho thấy thời gian phát hành vi xâm phạm thường 200 ngày thường bên ngồi phát khơng phải quy trình trình giám sát nội Cách Akamai tăng cường hoạt động bảo mật bạn để giảm thiểu 10 rủi ro hàng đầu theo OWASP Cách Akamai trợ giúp Bản thân việc ghi nhật ký giám sát không đầy đủ lỗ hổng, mà sơ hở khả giải lỗ hổng tổ chức thủ thuật khai thác lỗ hổng Akamai cung cấp nhiều tính để giúp tổ chức có khả quan sát cơng tốt hơn, bao gồm: • Akamai cung cấp bảng điều khiển công cụ báo cáo giao diện người dùng đồ hoạ Luna Control Center11 Akamai • Akamai tích hợp với sở hạ tầng SIEM có tổ chức để liên kết tương quan kiện Akamai phát với kiện từ nhà cung cấp dịch vụ bảo mật khác • Các dịch vụ bảo mật Akamai quản lý cung cấp tính phân tích phản hồi 24/7 • Akamai WAF bao gồm tính Vùng phạt cho phép tăng cường ghi nhật ký phiên khả nghi để phân tích sâu • Akamai Enterprise Application Access cung cấp giải pháp quản lý danh tính tích hợp để xác thực kiểm soát quyền truy cập vào tất ứng dụng doanh nghiệp Khi kết hợp với tính proxy nhận dạng danh tính, tổ chức có khả quan sát hành động người dùng chi tiết đến mức quan sát hành động GET/POST • Akamai Enterprise Threat Protector cho phép quan sát đầy đủ tất yêu cầu DNS bên từ doanh nghiệp - độc hại không độc hại Kết luận Có thể đạt mức độ bảo vệ tốt chống lại 10 lỗ hổng hàng đầu theo OWASP tổ chức nhà cung cấp dịch vụ bảo mật hợp tác để kết hợp nhân sự, quy trình cơng nghệ họ Akamai cung cấp công nghệ dẫn đầu ngành chuyên gia dày dặn kinh nghiệm để phù hợp với quy trình bạn Để tìm hiểu thêm danh mục giải pháp bảo mật biên Akamai, vui lịng xem thơng tin chi tiết trang web Nếu bạn muốn thảo luận khám phá chi tiết cách chúng tơi hợp tác để xây dựng hàng rào bảo vệ tốt cho doanh nghiệp bạn, vui lòng liên hệ với đại diện bán hàng Akamai Nguồn Bảo mật biên CDN bảo mật Dịch vụ & hỗ trợ Enterprise Application Access Akamai Intelligent Edge Platform™ Enterprise Threat Protector Kona Site Defender (KSD) Web Application Protector (WAP) 10 Cổng API Client Reputation 11 Luna Control Center Bot Manager Akamai tự hào mang đến trải nghiệm kỹ thuật số an tồn cho cơng ty hàng đầu giới Nền tảng Intelligent Edge Platform Akamai bao gồm tất thứ, từ doanh nghiệp đến điện toán đám mây, đảm bảo khách hàng hoạt động kinh doanh trải nghiệm dịch vụ cách nhanh chóng, thơng minh an tồn Akamai lựa chọn tin tưởng thương hiệu quốc tế hàng đầu họ muốn đạt lợi cạnh tranh thông qua giải pháp linh hoạt, khai phá tối đa sức mạnh kiến trúc đa đám mây Akamai đưa người dùng đến gần với định, ứng dụng trải nghiệm, điều mà không cơng ty làm được, đồng thời tránh xa khỏi công mối đe dọa Danh mục sản phẩm bảo mật biên, trang web hiệu suất di động, quyền truy cập dành cho doanh nghiệp giải pháp cung cấp video Akamai hỗ trợ dịch vụ chăm sóc khách hàng vượt trội, phân tích giám sát 24/7/365 Để tìm hiểu lý thương hiệu hàng đầu giới tin tưởng Akamai, truy cập www.akamai.com, blogs.akamai.com @Akamai Twitter Bạn tìm thấy thơng tin liên hệ tồn cầu chúng tơi địa www.akamai.com/locations Xuất vào tháng 05 năm 2020