At RSA, Akamai put focus on fake sites, API vulnerabilities

सुरक्षा कंपनी अकामाई ने अपनी नई स्टेट ऑफ इंटरनेट रिपोर्ट में कहा है कि पिछले साल एप्लिकेशन और एप्लिकेशन प्रोटोकॉल इंटरफेस में भेद्यता का उपयोग करते हुए हमले रिकॉर्ड ऊंचाई पर पहुंच गए थे। फर्म ने कहा कि कई सामान्य भेद्यताएं और CVE – सामान्य भेद्यताएं – पिछले साल प्रसिद्ध Log4Shell, ProxyNotShell, Spring4Shell और Atlassian Confluence रिमोट कोड निष्पादन की ऊँची एड़ी के जूते पर बनी रहीं। कंपनी ने बताया कि ओपन वेब एप्लिकेशन सिक्योरिटी प्रोजेक्ट की आगामी एपीआई सिक्योरिटी टॉप 10 रिलीज में एपीआई कमजोरियों को शामिल करना एपीआई सुरक्षा जोखिमों के बारे में बढ़ती जागरूकता को दर्शाता है।

सामग्री वितरण नेटवर्क और क्लाउड सेवा प्रदाता अकामाई, जिसने हाल ही में अगले दो सप्ताह में बंद होने की उम्मीद में एक सौदे में एपीआई सुरक्षा फर्म नियोसेक का अधिग्रहण किया था, एपीआई सुरक्षा पारिस्थितिकी तंत्र में शामिल हो रही है। रणनीति एक है कि अकामाई में आवेदन सुरक्षा के वरिष्ठ उपाध्यक्ष और महाप्रबंधक रूपेश चोकसी ने कहा कि कंपनी को एक अति-प्रतिस्पर्धी और अति-खंडित कार्यक्षेत्र में रखा गया है।

सैन फ्रांसिस्को में आरएसए सम्मेलन में अकामाई के बूथ पर चोकसी ने टेकरिपब्लिक को बताया, “इस जगह में बहुत सारे खिलाड़ी हैं और हर कोई एक अलग कोण ले रहा है।” “एक उद्योग के रूप में हमें जो करने की आवश्यकता है वह शिक्षा का अधिक केंद्रीकरण है: खतरे के वैक्टर क्या हैं, हमले की सतहें, विरोधी कैसे हमला कर रहे हैं। ग्राहकों के ढेर सारे सवाल खोज और दृश्यता के इर्द-गिर्द रहे हैं।”

करने के लिए कूद:

दृश्यता और गहराई प्रमुख हैं

चोकसी ने कहा, “ग्राहक के लिए यात्रा आसान है।” “यात्रा ‘मुझे दृश्यता, खोज, अलर्ट दें और क्या आप मेरे आवेदन प्रकारों में गहराई से जा सकते हैं, और अधिक इनलाइन सुरक्षा प्रदान कर सकते हैं: क्या आप मुझे हमले से लड़ने में मदद कर सकते हैं, इसे बंद कर सकते हैं और इसे सुरक्षित रख सकते हैं?’ मुझे जो दिलचस्प लगता है वह यह है कि जब मैं ग्राहकों से बात करता हूं, सामान्य तौर पर, एपीआई प्रबंधन, कर्षण, टूलींग और सुरक्षा एक विशाल स्थान का गठन करती है जहां ग्राहक देख रहे हैं कि कैसे मेरी सूची को बनाए रखना है और मेरे अनुप्रयोगों को समझना है। मुझे कैसे पता चलेगा कि कौन से मेरे डेटा सेंटर के भीतर भी हैं, क्योंकि संपूर्ण आर्किटेक्चर मॉड्यूलर है, माइक्रोसर्विसेज के साथ, बहुत सारे क्लाउड नेटिव ऐप। डिजिटल परिवर्तन के साथ, हम और भी अधिक जुड़ी हुई अर्थव्यवस्था में बने हुए हैं और पूरी आपूर्ति श्रृंखला भारी डिजिटलीकृत है और एपीआई पर निर्भर है।

एपीआई खतरे एपीआई वॉल्यूम के साथ बढ़ते हैं

अकामाई नामी कंपनियाँ औसतन 1,061 ऐप का उपयोग करती हैं और, हमलों के दायरे की भावना देने के लिए, नोट किया कि 8 अक्टूबर, 2022 को 161 मिलियन एपीआई हमले हुए और 9 अक्टूबर को चरम पर थे। अकामाई की रिपोर्ट ने हमलों में वृद्धि को तेजी से बढ़ने का श्रेय दिया ऐप विकास जीवनचक्र और उत्पादन चक्र। दरअसल, जैसा कि अकामाई ने कहा, एक एंटरप्राइज स्ट्रैटेजी ग्रुप सर्वे ने बताया कि लगभग आधे संगठनों ने कहा कि वे समय की कमी के कारण कमजोर ऐप्स को उत्पादन में जारी करते हैं।

कंपनी ने इंटरनेट-फेसिंग एप्लिकेशन में पाए जाने वाले उच्च या महत्वपूर्ण श्रेणी में 10 भेद्यताओं में से एक के साथ भेद्यता के आकस्मिक रिलीज में वृद्धि की सूचना दी। इसके अलावा, 2018 और 2020 के बीच Log4Shell जैसी ओपन-सोर्स भेद्यता की संख्या दोगुनी हो गई, कई मामलों में भेद्यता जारी होने के 24 घंटे के भीतर हमले शुरू हो गए।

2023 में वैक्टर पर हमला

अकामाई की रिपोर्ट में दावा किया गया है कि स्थानीय फ़ाइल समावेशन, या LFI, प्रोग्रामर त्रुटि के कारण भेद्यता, वेब एप्लिकेशन और एपीआई हमलों में सबसे अधिक वृद्धि करने वाला वेक्टर है, क्योंकि इसका उपयोग विरोधियों द्वारा मुख्य रूप से टोह लेने या कमजोर लक्ष्यों के लिए स्कैन करने के लिए किया जाता है। रिपोर्ट में कहा गया है कि LFI भेद्यता कभी-कभी हमलावरों को लॉग फ़ाइल डेटा प्राप्त करने देती है जो उन्हें नेटवर्क के गहरे हिस्सों को भेदने में मदद कर सकता है।

रिपोर्ट के अनुसार, ये प्रमुख API जोखिम थे:

• पिछले साल ग्राहक वेब एप्लिकेशन और एपीआई के खिलाफ प्रतिदिन 14 मिलियन सर्वर-साइड अनुरोध जालसाजी या एसएसआरएफ के प्रयास हुए थे।
• Log4Shell जैसे ओपन-सोर्स कमजोरियों के कारण, अकामाई सर्वर-साइड टेम्प्लेट इंजेक्शन, या SSTI में वृद्धि की भविष्यवाणी करता है, ऐसी तकनीकें जो कोड को टेम्प्लेट में इंजेक्ट करके रिमोट कोड निष्पादन की अनुमति देती हैं।
• चिकित्सा IoT उपकरणों पर हमले पिछले साल 82% बढ़ गए, और अकामाई ने कहा कि यह प्रवृत्ति जारी रहने की उम्मीद है।

“जैसा कि हम और भी अधिक जुड़ी हुई अर्थव्यवस्था में बने हुए हैं, एपीआई वह कड़ी है जिस पर बहुत अधिक ध्यान देने की आवश्यकता है। इनमें से बहुत से लेन-देन उच्च वेग वाले हैं। उच्च गति से, आप चाहते हैं कि बुनियादी ढांचा काम करे,” चोकसी ने कहा।

कंसल्टेंसी गार्टनर की नवंबर 2022 की रिपोर्ट में कहा गया है कि एपीआई की विस्फोटक वृद्धि उस हमले की सतह का विस्तार कर रही है, जिससे दुर्भावनापूर्ण अभिनेताओं को नए उल्लंघन और डेटा एक्सफ़िल्टरेशन के अवसर मिल रहे हैं। यह नोट किया गया कि एपीआई का व्यापक फैलाव और उनकी एकरूपता की कमी सुरक्षा के प्रति रक्षा-गहन दृष्टिकोण को चुनौती देती है। “यह आधुनिक अनुप्रयोग वास्तुकला, विकास, परिनियोजन और एकीकरण पैटर्न द्वारा संचालित किया जा रहा है,” रिपोर्ट में कहा गया है।

रिपोर्ट ने यह भी सुझाव दिया कि कम परिपक्व संगठनों की एपीआई सतहों में कम दृश्यता होती है क्योंकि वे एपीआई सुरक्षा को सामान्य वेब एप्लिकेशन सुरक्षा में जोड़ते हैं और इसलिए फ़ायरवॉल, डीडीओएस सुरक्षा और अन्य प्रकार की सामान्य परिधि सुरक्षा में निवेश करते हैं। रिपोर्ट में कहा गया है, “यह सरल दृष्टिकोण उन्हें अपने एपीआई परिदृश्य को पूरी तरह से समझने और सुरक्षित करने से रोकता है।”

चोकसी ने कहा कि एपीआई में डेटा की भारी मात्रा में यात्रा के कारण, सुरक्षा के लिए एआई-संचालित एनालिटिक्स के आवेदन की आवश्यकता होती है।

“यह जानना मुश्किल है कि उस ट्रैफ़िक में कितना खतरा है, और यहीं पर डिटेक्शन सीक्रेट सॉस काम आता है, मशीन लर्निंग, एआई मॉडल और व्यवहार विश्लेषण का संयोजन। आपके लिए आवश्यक प्रसंस्करण शक्ति महत्वपूर्ण है क्योंकि आप अरबों लेन-देन करना चाहते हैं, इसके माध्यम से झारना और मुद्दों की पहचान करना और ग्राहकों को जल्दी से सचेत करना चाहते हैं। यहीं से उद्योग विकसित हुआ है और नवाचार पर ध्यान केंद्रित किया है,” उन्होंने कहा।

गार्टनर ने एपीआई सुरक्षा से निपटने पर अपनी रिपोर्ट में निम्नलिखित की सिफारिश की है:

• एक उचित जोखिम मूल्यांकन सूचित करने और एपीआई मालिकों और वितरण टीमों के साथ जुड़ाव को सक्षम करने के लिए, आंतरिक और बाहरी दोनों एपीआई को सूचीबद्ध और वर्गीकृत करें।
• डेटा संवेदनशीलता, व्यवसाय की गंभीरता और ग्राहक प्रभाव सहित विभिन्न एपीआई विशेषताओं के आधार पर जोखिम का आकलन करें।
• एपीआई सुरक्षा में सुधार के लिए वेब एप्लिकेशन और एपीआई सुरक्षा में अंतराल भरें।
• निरंतर दृश्यता सुनिश्चित करने के लिए एपीआई की निरंतर खोज को लागू करें और एपीआई प्रबंधन प्लेटफॉर्म के साथ एकीकृत करें।
• सुरक्षा-सचेत संस्कृति और प्रक्रियाओं को बनाने के लिए सॉफ्टवेयर विकास जीवन चक्र में एपीआई सुरक्षा को एकीकृत करें।
• इसके लिए, स्व-सेवा एपीआई विनिर्देश सत्यापन, एपीआई सुरक्षा परीक्षण और कैटलॉग पंजीकरण को सक्षम करने के लिए सॉफ्टवेयर इंजीनियरिंग टीमों के साथ काम करें।
• पूरे एपीआई जीवन चक्र में सुरक्षा के लिए जागरूकता पैदा करने और साझा जिम्मेदारी और जवाबदेही स्थापित करने में मदद करने के लिए अभ्यास के एक समुदाय की स्थापना करें।

अकामाई ने एंटी-फ़िशिंग मिरर-साइट डिटेक्टर लॉन्च किया

आरएसए में, अकामाई ने ब्रांड प्रोटेक्टर लॉन्च किया, जो चोरी की ब्रांड संपत्तियों का उपयोग करके नकली वेबसाइटों पर ट्रैफ़िक को रोकने के लिए डिज़ाइन किया गया एक नया प्लेटफ़ॉर्म है।

कंपनी ने कहा कि ब्रांड रक्षक चार-चरणीय दृष्टिकोण के साथ धोखाधड़ी प्रतिरूपण की समस्या का समाधान करता है, जिसमें शामिल हैं:

• समग्र दृश्यता के लिए अकामाई के नेटवर्क और तीसरे पक्ष के डेटा फीड दोनों से एक दिन में 600 टीबी से अधिक डेटा के विश्लेषण से इंटेलिजेंस।
• फ़िशिंग अभियान शुरू होने से पहले आदर्श रूप से लाइव ट्रैफ़िक (विलंबित फ़ीड और सूचियों के बजाय) के माध्यम से ब्रांड के दुरुपयोग का पता लगाना।
• एकल-डैशबोर्ड दृश्यता वास्तविक समय में विश्वास स्कोर, गंभीरता रेटिंग, प्रभावित उपयोगकर्ताओं की संख्या और हमले की घटनाओं की समयरेखा के साथ खतरे के स्कोर द्वारा रैंक किए गए निष्कर्षों के साथ वितरित की जाती है।
• उपयोगकर्ता इंटरफ़ेस के भीतर अपमानजनक साइट के निष्कासन अनुरोध जारी करने की क्षमता के माध्यम से शमन क्षमता, उपयोग में आसानी के लिए पहचान के साक्ष्य और सहायक विवरण संलग्न करना।

“हमारे पास जो तकनीकी टीमें हैं, हमारे तेल अवीव कार्यालय से नवाचार, वास्तव में हमें यह देखने की अनुमति देता है कि बुरे लोग वास्तव में वस्तुओं – लोगो और छवियों को खींचने के लिए वास्तविक वेबसाइटों पर जा रहे हैं – जैसा कि वेबपेज प्रस्तुत कर रहा है। हमने देखा कि ट्रैफिक इन नकली वेबसाइटों पर जा रहा है, हमने देखा है कि उन्हें बनाने के लिए जानकारी खींची जा रही है, और उपयोगकर्ता ट्रैफिक उनके पास जा रहा है,” चोकसी ने कहा।

चलते रहो या डूबो

चोकसी ने कहा कि विरोधी अक्सर ग्राहकों की घटनाओं के आसपास समयबद्ध ब्रांडों की वेबसाइटों को धोखा देने के लिए “पायलट मछली” की तरह लाइन में लग जाते हैं। “हम उन ग्राहकों को देखते हैं जिन्हें हम ट्रैफ़िक उत्पन्न करने के लिए प्रमोशन चलाते हैं, और विरोधी उस ट्रैफ़िक को खींचने के लिए फ़िशिंग वेबसाइटों को स्पिन करते हैं। यह हर समय होता है, ”उन्होंने कहा।

“हमारी सुरक्षा टीमों और शोधकर्ताओं को यह पता लगाने के लिए क्या प्रेरित करता है कि विरोधी आज क्या कर रहे हैं। ‘मेरे संकेत बिंदु क्या हैं? मैं उन डेटा बिंदुओं को कैसे जोड़ूं और आत्मविश्वास महसूस करूं कि मैं कुछ पर हूं?’ इसके लिए एक बहुत ही खास प्रतिभा और दृढ़ विश्वास की आवश्यकता होती है, और साइबर सुरक्षा उन क्षेत्रों में से एक है जहां निरंतर सीखना बहुत महत्वपूर्ण है। आपको आगे बढ़ते रहना है और आगे बढ़ते रहना है।’