最新資訊
你的網路遭受到無窮無盡的攻擊事件,該如何抵禦?

OWASP 公布最新十大資安風險

科技趨勢

OWASP 公布最新十大資安風險 你的網路遭受到無窮無盡的攻擊事件,該如何抵禦?

Web應用軟體是企業拓展業務的核心,網站的功能、技術上架構以及code編碼正在受到網路攻擊迫害。透過了解以下攻擊類型將有助於防止網路詐欺、資料竊取和線上自動化的濫用問題,同時能獲得解決方式加以防護資料安全,而我們不該只專注於其中某幾個網路攻擊方式,而是做好全面性的防護措施。Web應用軟體正遭受到各式各樣的攻擊和威脅,本文擷取包含OWASP 彙整十大資安問題(分別針對代碼上弱點和API Security )、DDoS 攻擊以及Automated bot attacks,可大致歸類為四大類別:

1.     OWASP條列出針對代碼安全上的十大風險

OWASP (Open Web Application Security Project) 收集各種網頁安全漏洞,列舉網路上最常見的web應用軟體上將面臨的風險,主要發生在攻擊者針對軟體上任何安全的漏洞,利用code代碼上的弱點來嘗試損害企業,並歸納出容易產生的攻擊風險(如下)

OWASP TOP 10 WEB APPLICATION SECURITY RISKS

  1. Injection
  2. Broken authentication
  3. Sensitive data exposure
  4. XML external entities (XXE)
  5. Broken access control
  6. Security misconfiguration
  7. Cross-site scripting (XSS)
  8. Insecure deserialization
  9. Using components with known vulnerabilities
  10. Insufficient logging & monitoring

2.     OWASP API Security 十大風險

API是當今軟體程式創新的基礎以及Web應用軟體的要素之一,API Endpoint 也難逃駭客與惡意爬蟲的魔掌,企業將面臨不同的威脅像是個人身份資料、帳號等敏感資料外洩的風險,隨著API越來越普及和資料不被保護的漏洞,越來越多攻擊者將目標鎖定在API上。OWASP 公布API Security 十大風險清單(如下),能幫助組織、開發人員和資安團隊更深入了解可能面臨的風險。

OWASP API SECURITY TOP 10

  1. Broken object level authorization
  2. Broken user authentication
  3. Excessive data exposure
  4. Lack of resources & rate limiting
  5. Broken function level authorization
  6. Mass assignment
  7. Security misconfiguration
  8. Injection
  9. Improper assets
  10. Insufficient logging & monitoring

3.     DDoS 攻擊

DDoS攻擊的發生幾乎可以等同於對企業經濟上的損失,主要目標在於瓦解企業正常運作,任何成功的攻擊將使企業服務中斷能夠帶來巨量的經濟影響。更曾有競爭對手使用DDoS攻擊來競爭同業,促使網站關閉,進而搶得業績獲得更高的市佔率。

 

4.     Automated bot attacks(又稱惡意機器人攻擊)

OWASP對於Automated bot attacks分為21種(如下圖),普遍認為對企業能造成大量的影響和經濟損失。高達四分之一的網路流量都是來自惡意機器人攻擊,這類型被普遍認為是最難防禦,因為它們行為設計看起來人性化且極其複雜。

OWASP API SECURITY TOP 10

  1. OAT-001 Carding
  2. OAT-002 Token Cracking
  3. OAT-003 Ad Fraud
  4. OAT-004 Fingerprinting
  5. OAT-005 Scalping
  6. OAT-006 Expediting
  7. OAT-007 Credential Cracking
  8. OAT-008 Credential Stuffing
  9. OAT-009 CAPTCHA Defeat
  10. OAT-010 Card Cracking
  11. OAT-011 Scraping
  12. OAT-012 Cashing Out
  13. OAT-013 Sniping
  14. OAT-014 Vulnerability Scanning
  15. OAT-015 Denial of Service
  16. OAT-016 Skewing
  17. OAT-017 Spamming
  18. OAT-018 Footprinting
  19. OAT-019 Account Creation
  20. OAT-020 Account Aggregation
  21. OAT-021 Denial of Inventory

IMPERVA皆能有效能解決四大類型攻擊

im1.png

IMPERVA WAF可用來防止已知和未知的攻擊事件,擁有容易佈署特性能隨開隨用,並能夠保持長期開啟狀態,IMPERVA WAF已廣泛地受全球數千家企業重用,為全球唯一連續七年獲選為Gartner領導者象限第一品牌。IMPERVA的API安全性防護使用自動化的模組來保護API,自動偵測應用軟體中的漏洞,免其受到攻擊者的利用。IMPERVA的DDoS保護機制能抵制任何DDoS攻擊, 擁有領先其他競爭對手的優勢──3秒即刻防禦的服務級別協定,有效阻止任何規模攻擊,同時可確保近乎百分百機率運行不間斷,抵禦當今的任何DDoS攻擊。IMPERVA Advanced Bot Protection,可用於檢測所有OWASP列舉的自動化威脅,有助於減少欺詐行為,並最大程度地降低攻擊事件對於企業造成的影響。

 

除了可針對上述的四大類型攻擊,IMPERVA Application Security提供多層保護,以確保應用軟體和網站正常運行,不只是安全而已,對於使用者來說也非常友善。而IMPERVA旗艦級Web Application & API Protection (WAAP)有效解決任何的高級網絡安全威脅,擁有豐富的網路攻擊解決方案,IMPERVA幫助您對抗惡意的資安鬥爭。

 

蓋亞資訊從2015年創立以來,累積豐富經驗服務過的大大小小的客戶涵蓋各種領域,擁有擁有國際認證技術團隊,提供專業且高效的網路雲端整體規劃服務,高客製化的解決方案與24*7無間斷中英雙語客服,致力於提供每一位用戶最佳的雲端系統,更在2020年晉升IMPERVA白金級合作夥伴(Platinum Partner),台灣唯一獲此殊榮,IMPERVA系統能確保網站瀏覽流暢並守護安全,彈性的收費方式與合理的價格,陪伴企業實現永續經營的理念。

BACK