Master Security Framework: můj vícevrstvý bezpečnostní rámec pro moderní aplikace

Master Security Framework: můj vícevrstvý bezpečnostní rámec pro moderní aplikace

18.05.2026

MSF

Shrnutí

Master Security Framework (MSF) je komplexní, vícejazyčný, vícevrstvý bezpečnostní rámec určený k ochraně moderních aplikací na všech úrovních technologického zásobníku. MSF implementováno v Pythonu a TypeScriptu nabízí více než 350 funkcí distribuovaných do 28 modulů, které pokrývají vše od autentizace a šifrování po detekci webových útoků, síťovou analýzu, cloudové zabezpečení, ochranu umělé inteligence, adaptivní honeypoty, aktivní obranu a podnikovou shodu. Tento článek představuje podrobnou technickou analýzu každého modulu, funkce, návrhového vzoru a bezpečnostního mechanismu implementovaného v rámci.

1. Úvod

1.1. Problém

Moderní aplikace čelí stále sofistikovanějšímu spektru hrozeb. Jediný systém může být zacílen útoky na více vrstvách současně: vkládání výzev do jazykových modelů, zneužívání webových zranitelností (XSS, SQLi, SSRF), skenování portů, útoky DDoS, chybné konfigurace cloudu, kompromitované kontejnery, zranitelné závislosti v dodavatelském řetězci softwaru a porušování předpisů.

Tradiční přístup k bezpečnosti – řešení každého problému pomocí izolovaných nástrojů – vytváří sila obrany, která zanechávají mezery mezi vrstvami. Lékaři bez hranic byli navrženi tak, aby tento problém vyřešili nabídkou jednotné bezpečnostní platformy, která funguje napříč všemi vrstvami aplikace.

1.2. Co je hlavní bezpečnostní rámec

MSF je open-source bezpečnostní rámec implementovaný ve dvou jazycích: Python a TypeScript. Každý modul existuje v obou jazycích se stejnou sémantikou, což umožňuje vícejazyčným týmům používat stejnou sadu bezpečnostních funkcí bez ohledu na technologický stack.

Rámec je strukturován na čtyřech pilířích:

  1. Prevence: Ověření vstupu, dezinfekce, šifrování, zpevnění konfigurace
  2. Detekce: Analýza vzorců útoků, statistických anomálií, signatur malwaru, podezřelého chování
  3. Odpověď: Autonomní výstrahy, karanténa, omezení, samoléčení
  4. Soulad: Automatické ověření LGPD, GDPR, HIPAA, PCI-DSS

1.3. Metriky projektu

  • 243 úspěšných automatických testů (77 Python + 166 TypeScript)
  • 14 modulů Pythonu s více než 180 funkcemi
  • 14 modulů TypeScript s více než 170 funkcemi
  • Telemetrie OpenTelemetry integrovaná do všech funkcí
  • Strukturované protokolování (pin v TypeScript, loguru v Pythonu)
  • Mezipaměť s automatickým zrušením platnosti
  • Policy Engine pro konfigurovatelná bezpečnostní pravidla
  • Event Bus pro asynchronní komunikaci mezi moduly

2. Rámcová architektura

2.1. Vrstva infrastruktury (jádro)

Základ Lékařů bez hranic tvoří šest komponent infrastruktury, které sdílejí všechny ostatní moduly:

Globální konfigurace: Centralizovaný konfigurační objekt, který ukládá parametry zabezpečení, prahové hodnoty, seznamy povolených/blokovaných položek a kryptografické klíče. Konfiguraci lze znovu načíst v reálném čase z proměnných prostředí bez restartování aplikace.

Policy Engine: Systém vyhodnocování pravidel, který vám umožňuje definovat zásady zabezpečení jako strukturované příkazy. Engine podporuje logické operátory, složené podmínky a vynucovací akce (povolit, zakázat, varovat, protokolovat).

Event Bus: Asynchronní pub/sub systém, který umožňuje modulům publikovat bezpečnostní události a dalším modulům se přihlásit k reakci. Sběrnice událostí obsahuje historii událostí a frontu nedoručených zpráv pro události, které se nepodařilo zpracovat.

Registr metrik: Systém metrik, který podporuje počítadla (pro kumulativní počty), měřidla (pro okamžité hodnoty) a histogramy (pro distribuce). Všechny funkce zjišťování automaticky publikují metriky.

Správce mezipaměti: Mezipaměť LRU (nejméně nedávno použitá) s konfigurovatelným TTL (Time-To-Live), která se používá k ukládání drahých výsledků ověření, seznamů blokovaných IP adres, otisků relací a zrušených tokenů.

OpenTelemetry: Kompletní integrace se standardem OpenTelemetry, generování distribuovaných rozsahů trasování pro každou bezpečnostní operaci. To umožňuje barvuspojovat bezpečnostní události s požadavky na trasování v architektuře mikroslužeb.

Structured Logger: Strukturované protokolování ve formátu JSON s pinem (TypeScript) a loguru (Python), včetně automatického kontextu, jako je ID trasování, závažnost, modul a metadata zabezpečení.

Ošetření výjimek: Hierarchie bezpečnostních výjimek (SecurityError, ValidationError, AuthenticationError, EncryptionError), která umožňuje granulární zpracování bezpečnostních chyb.

2.2. Ochranná vrstva

Pokud jde o infrastrukturu, Lékaři bez hranic organizují své bezpečnostní moduly do tří funkčních vrstev:

Vstupní vrstva: Web, API, Auth – chrání vstupní body aplikace Vrstva infrastruktury: Síť, cloud, soubor – chrání základní infrastrukturu Inteligentní vrstva: Umělá inteligence, Monitorování, Obranná, Honeypot – chraňte pomocí inteligence a adaptace

3. Modul ověřování (Authentication Module)

Autentizační modul je nejrozsáhlejší v rámci, s 30 funkcemi v Pythonu a 7 v TypeScriptu. Pokrývá celý životní cyklus autentizace: generování a ověřování tokenů, správu relací, detekci útoků a pokročilé metody ověřování identity.

3.1. JWT (webové tokeny JSON)

Lékaři bez hranic implementují kompletní systém JWT, který jde nad rámec jednoduchého generování a ověřování:

  • generate_jwt vytváří tokeny s předmětem, vlastními nároky, konfigurovatelným vypršením platnosti a vydavatelem. Podporuje algoritmy HS256, HS384, HS512, RS256, ES256.
  • validate_jwt zkontroluje podpis, expiraci, povinné nároky a vrátí dekódovaný obsah. Parametr verify_exp umožňuje zakázat kontrolu expirace pro konkrétní případy.
  • revoke_jwt přidá JTI (JWT ID) tokenu na černou listinu odvolání. To je nezbytné pro odhlášení před přirozeným vypršením platnosti tokenu.
  • rotate_jwt ověří starý token a vydá nový se stejnou identitou, což umožňuje tichou rotaci tokenu bez přerušení uživatelské relace.
  • validate_refresh_token ověřuje obnovovací tokeny s ověřením příslušnosti ke konkrétnímu uživateli, čímž zabraňuje použití ukradeného obnovovacího tokenu jiným uživatelem.

3.2. Správa relace

Systém relací Lékařů bez hranic obsahuje ochranu proti zneužití relace:

  • secure_session vytvoří relaci propojující user_id, IP, user agent a otisk zařízení. To vám umožní odhalit podezřelé změny v kontextu relace.
  • validate_session kontroluje, zda session_id patří uživateli a zda se aktuální IP shoduje s IP registrovanou při vytváření relace.
  • detect_session_hijack porovnává aktuální IP a uživatelského agenta s historickými daty relace. Pokud se IP přesunula do jiné podsítě nebo se výrazně změnil uživatelský agent, funkce vrátí hodnotu true, což znamená možné únos.
  • detect_token_replay uchovává záznam již použitých tokenů. Pokud je token předložen více než jednou, funkce detekuje útok opakovaného přehrávání.

3.3. Authentication Attack Detection

Lékaři bez hranic detekují tři hlavní typy útoků na autentizační systémy:

  • detect_credential_stuffing monitoruje pokusy o přihlášení z jedné IP vůči více uživatelským účtům. Pokud IP zkouší mnoho různých uživatelských jmen v určitém časovém okně, je označena jako vycpávání pověření.
  • detect_bruteforce monitoruje pokusy o přihlášení k jednomu účtu. Pokud počet pokusů překročí práh v časovém okně, je to označeno jako hrubá síla.
  • detect_impossível_travel vypočítá vzdálenost mezi dvěma po sobě jdoucími místy přihlášení a porovná ji s uplynulým časem. Pokud rychlost potřebná k cestování mezi body překročí rozumné fyzické limity (např. 900 km/h), funkce detekuje nemožné cestování.
  • geo_velocity_check rozšiřuje detekci nemožného cestování na více míst a vypočítává geografickou rychlost mezi všemi po sobě jdoucími body přihlášení.

3.4. Adaptivní a na riziku založená autentizace

  • adaptive_auth upravuje požadavky na autentizaci na základě skóre rizika kontextu. Přihlášení ze známého zařízení na známém místě může vyžadovat pouze heslo, zatímco přihlášení z nového zařízení v jiné zemi může vyžadovat další MFA.
  • behavioral_auth využívá behaviorální biometrii (vzor psaní, pohyb myši, rytmus procházení) k ověření identity uživatele oproti registrované základní linii chování.
  • risk_based_auth vypočítá složené rizikové skóre z vícepodle faktorů: umístění, zařízení, čas, chování, reputace IP a vrátí rozhodnutí o ověření s určitou úrovní spolehlivosti.

3.5. TOTP a záložní kódy

  • generate_totp generuje časové kódy jednorázových hesel podle RFC 6238 s konfigurovatelnými číslicemi a tečkou.
  • validate_totp ověřuje tokeny TOTP s tolerancí hodinového driftu (parametr drift), kompenzuje desynchronizaci mezi serverem a zařízením uživatele.
  • verify_backup_code ověřuje a spotřebovává kódy zálohování/obnovy a po použití je odstraňuje z platného seznamu, aby se zabránilo opětovnému použití.

3.6. WebAuthn a přístupové klíče

  • passkey_auth ověřuje ověřování FIDO2/WebAuthn kontrolou kryptografického podpisu ověřovatele, dat ověřovatele a dat klienta JSON.
  • webauthn_verify provádí úplnou kontrolu tvrzení WebAuthn, včetně ověření původu, RP ID (ID předávající strany) a kryptografického podpisu proti registrovanému veřejnému klíči.
  • phishing_resistant_auth kontroluje, zda je metoda ověřování odolná vůči phishingu, vyžaduje FIDO2 úrovně 2 nebo vyšší s ověřenou atestací.

3.7. Zabezpečení heslem

  • password_entropy vypočítá Shannonovu entropii hesla a měří jeho informační složitost v bitech. Hesla s entropií nižší než 40 bitů jsou považována za slabá.
  • detect_weak_password kombinuje entropickou analýzu s kontrolou podle seznamů běžných hesel (rockyou, top 10000 atd.).
  • password_breach_check kontroluje, zda se v databázi známých porušení (Have I Been Pwned a podobně) objevuje hash hesla.
  • secure_password_hash vytváří hodnoty hash hesel s kryptografickou solí a roztahováním klíčů (iteracemi), přičemž podporuje algoritmy jako PBKDF2, bcrypt, scrypt a Argon2.
  • verify_password_hash porovnává heslo s uloženým hashem pomocí zabezpečeného porovnání v konstantním čase.

3.8. Fingerprinting zařízení a prohlížeče

  • device_fingerprint generuje jedinečný identifikátor zařízení z atributů, jako je uživatelský agent, rozlišení obrazovky, časové pásmo, jazyky a platforma.
  • browser_fingerprint využívá pokročilé techniky snímání otisků prstů založené na charakteristikách vykreslování: 2D canvas hash, WebGL hash, audio kontextu hash a seznam nainstalovaných písem.
  • biometric_validation porovnává biometrická data (otisk prstu, rozpoznání obličeje, duhovka) s uloženou šablonou s konfigurovatelným prahem podobnosti.

4. Modul kryptografie (Crypto)

Šifrovací modul implementuje moderní symetrické, asymetrické a postkvantové šifrovací algoritmy se zaměřením na autentizaci a integritu.

4.1. Ověřené šifrování

  • encrypt_data používá ověřené šifrování s přidruženými daty (AEAD), podporující AES-256-GCM a ChaCha20-Poly1305. Přidružená data (AAD) umožňují propojit nezašifrovaná metadata se šifrovaným textem ověřeným způsobem.
  • decrypt_data provádí ověřené dešifrování, přičemž před vrácením prostého textu zkontroluje autentizační značku. Pokud se značka neshoduje, dešifrování se nezdaří, což zabraňuje útokům oracle padding a manipulaci s šifrovaným textem.
  • encrypt_file a decrypt_file rozšiřují ověřené šifrování na soubory na disku a bezpečně spravují nonce, salt a metadata.

4.2. Hybridní kryptografie

  • hybrid_encrypt kombinuje asymetrické šifrování (pro výměnu klíčů) se symetrickým šifrováním (pro užitečné zatížení). Symetrický klíč je náhodně vygenerován, použit k zašifrování užitečného obsahu a poté zašifrován veřejným klíčem příjemce.
  • hybrid_decrypt obrátí proces: dešifruje symetrický klíč soukromým klíčem a poté dešifruje užitečné zatížení.

4.3. Postkvantová kryptografie

Lékaři bez hranic implementují postkvantové algoritmy standardizované NIST:

  • pqc_encrypt a pqc_decrypt používají ML-KEM (dříve Kyber) pro kvantové počítačově odolné šifrování.
  • kyber_key_exchange implementuje protokol Kyber key exchange pro post-kvantové zřízení sdíleného klíče.
  • dilithium_sign používá ML-DSA (dříve Dilithium) pro postkvantové digitální podpisy.
  • sphincs_sign používá SPHINCS+, podpisové schéma založené na hashovacích funkcích, jako bezstavovou postkvantovou alternativu.
  • falcon_sign používá Falcon, schéma podpisu založené na mřížce s kompaktními podpisy.

4.4. HMAC a ověření podpisu

  • generate_hmac vytvoří hash-based Message Authentication Code pomocí HMAC-SHA256, HMAC-SHA384, HMAC-SHA512 nebo HMAC-SHA3-256.
  • verify_hmac porovnává vypočítaný HMAC s očekávaným HMAC pomocí srovnání v konstantním čase.
  • verify_signature ověřuje digitální podpisy (Ed25519, ECDSA, RSA-PSS) proti zprávě a veřejnému klíči.

4.5. Kryptografické nástroje

  • secure_random generuje kryptograficky zabezpečené bajty pomocí os.urandom() (Python) nebo crypto.getRandomValues() (TypeScript).
  • secure_memory_erase přepíše oblasti paměti obsahující citlivá data nulami, čímž zabrání tomu, aby data po použití zůstala v paměti.
  • anti_timing_compare porovnává dvě sekvence bajtů v konstantním čase, iteruje přes všechny bajty bez ohledu na to, kde dojde k prvnímu rozdílu, což zabraňuje útokům na časování.

5. Webový modul

Webový modul je z hlediska detekce útoků nejrozsáhlejší, má 30 funkcí v Pythonu a 35 v TypeScriptu. Pokrývá všechny kategorie zranitelnosti webu uvedené v Top 10 OWASP a dále.

5.1. Cross-Site Scripting (XSS)

  • detect_xss analyzuje vstup pro vzory XSS včetně: značek <script>, obslužných rutin událostí (onload, onclick, onerror), URI javascript:, DOM XSS (innerHTML, document.write) a XSS prostřednictvím SVG/MathML. Funkce vezme sadu vzorů regulárních výrazů a vypočítá skóre spolehlivosti na základě počtu odpovídajících vzorů. severity_threshold umožňuje upravit citlivost detekce.
  • sanitize_html odstraňuje z HTML nepovolené značky a atributy pomocí seznamu povolených bezpečných značek (<p>, <br>, <strong>, <em> atd.) a bezpečných atributů (href, src, alt, title atd.). Nepovolené značky jsou zcela odstraněny a nebezpečné atributy jako on* jsou odfiltrovány.
  • sanitize_svg dezinfikuje SVG odstraněním nebezpečných prvků, jako jsou <script>, <foreignObject>, <animate> a atributy událostí.
  • sanitize_markdown dezinfikuje markdown odstraněním vloženého nebezpečného HTML při zachování nativního markdown formátování.
  • sanitize_css odstraňuje nebezpečné vlastnosti CSS jako expression(), url(javascript:), behavior a -moz-binding.
  • sanitize_js odstraňuje nebezpečné vzory JavaScriptu včetně eval(), Function(), setTimeout/setInterval s řetězcem, document.write, document.cookie, nebezpečnou manipulaci s DOM a metody spouštění kódu.

5.2. SQL a NoSQL Injection

  • detect_sqli detekuje vzory vkládání SQL, včetně: UNION (UNION SELECT), slepých (AND 1=1, OR '1'='1'), časových (SLEEP(), WAITFOR DELAY), chybových a skládaných dotazů. Funkce také detekuje únikové techniky, jako je hexadecimální kódování, komentáře (--, /* */) a zřetězení řetězců.
  • detect_nósqli detekuje vkládání do databází NoSQL (hlavně MongoDB) a identifikuje nebezpečné operátory ve vstupu: $gt, $gte, $lt, $lte, $ne, $in, $nin, $regex, $exist, $exist.

5.3. Padělání požadavku na straně serveru (SSRF)

  • detect_ssrf kontroluje adresy URL se seznamem povolených domén a blokovaných IP adres. Tato funkce detekuje techniky obcházení SSRF, včetně: přesměrování na localhost, použití převázání DNS, adresy URL s kódováním (%00, %0d%0a) a přístup ke koncovým bodům metadat v cloudu (169.254.169.254, metadata.google.internal).

5.4. Vzdálené spouštění kódu (RCE) a vkládání příkazů

  • detect_rce identifikuje vzory vzdáleného spouštění kódu včetně volání eval(), exec(), system(), passthru(), popen(), backticks a operátorů rour.
  • detect_command_injection detekuje vkládání příkazů OS pomocí operátorů shellu: ;, |, ||, &&, backticks, $() a přesměrování (>, >>).

5.5. Začlenění souboru a procházení cesty

  • detect_lfi detekuje zahrnutí místního souboru identifikací sekvencí procházení cesty (../, ..\), kódovaného průchodu (%2e%2e%2f) a nebezpečných protokolů (php://filter, php://input, data://, expect://).
  • detect_rfi detekuje zahrnutí vzdáleného souboru, když jsou externí adresy URL předány jako parametry include/require.
  • detect_path_traversal kontroluje, zda se cesta rozlišuje v rámci povolené base_path a detekuje absolutní a relativní průchod.

5.6. Vstřikování šablony

  • detect_template_injection detekuje Server-Side Template Injection (SSTI) pro Jinja2 ({{ 7*7 }}, {% for %}), EJS (<%= %>), řídítka ({{#each}}), Pug, Twig, režim generování syntézy, a režim generování syntézy.

5.7. Deserializace aOtevřete přesměrování

  • detect_deserialization_attack identifikuje nezabezpečenou deserializaci kontrolou povolených tříd a známých vzorů gadgetů (serializace Java, Python pickle, PHP unserialize, YAML deseralizace).
  • detect_open_redirect kontroluje, zda adresa URL přesměrování odkazuje na hostitele na seznamu povolených, čímž zabraňuje přesměrování na škodlivé domény.

5.8. Ochrana CSRF, CORS a CSP

  • csrf_protect a validate_csrf zkontrolují CSRF tokeny požadavků s tokeny relace pomocí bezpečného porovnání.
  • validate_cors ověřuje požadavky CORS kontrolou původu, metod a záhlaví proti povoleným seznamům.
  • generate_csp generuje hlavičky Content-Security-Policy z konfigurace direktivy (script-src, style-src, img-src, connect-src, frame-ancestors atd.).
  • validate_csp ověřuje existující hlavičku CSP podle definované bezpečnostní politiky.
  • secure_headers generuje kompletní sadu bezpečnostních hlaviček: Strict-Transport-Security, X-Frame-Options, X-Content-Type-Options, X-XSS-Protection, Referrer-Policy, Permissions-Policy a Content-Security-Policy.

5.9. Bezpečné cookies a Clickjacking

  • secure_cookie generuje hlavičky Set-Cookie s příznaky Secure, HttpOnly, SameSite (Strict nebo Lax), rozsah domény, cesta a maximální věk.
  • detect_clickjacking kontroluje přítomnost hlaviček X-Frame-Options a předchůdců rámců CSP, aby zjistil zranitelnost clickjackingu.
  • validate_origin a validate_referer ověřují hlavičky Origin a Referer proti očekávaným doménám.

5.10. Webhooky

  • webhook_signature generuje podpisy HMAC pro užitečné zatížení webhooku, včetně časového razítka pro prevenci opakovaného přehrávání.
  • webhook_replay_protection kontroluje podpis webhooku a časové razítko a odmítá požadavky mimo nakonfigurované časové okno.

6. Modul API

Modul API chrání koncové body API proti široké škále útoků a zneužití.

6.1. Ověření vstupu a dezinfekce

  • validate_json_schema ověřuje data podle definic schématu JSON s volitelným přísným režimem, který odmítá další pole, která nejsou ve schématu definována.
  • validate_input ověřuje vstup API podle pravidel typu (řetězec, číslo, boolean, pole, objekt), minimální/maximální velikost, vzor regulárního výrazu, výčet povolených hodnot a maximální hloubku vnoření (výchozí: 5 úrovní).
  • sanitize_json dezinfikuje data JSON odstraněním nepovolených typů a zkrácením řetězců, které přesahují nakonfigurovanou maximální délku (výchozí: 10 000 znaků).

6.2. Omezení sazby

  • api_rate_limit implementuje omezení rychlosti pomocí algoritmu posuvného okna a uchovává záznam časových razítek požadavků na klienta a koncový bod. Když počet požadavků v okně překročí limit, požadavek je zamítnut.
  • adaptive_rate_limit dynamicky upravuje limity sazeb na základě chování klienta. Zákazníci s čistým záznamem dostávají štědřejší limity, zatímco zákazníci s podezřelými vzory dostávají restriktivnější limity.

6.3. API Abuse Detection

  • detect_api_abuse analyzuje vzory požadavků a zjišťuje: scraping (sekvenční požadavky na mnoho zdrojů), enumeraci (sekvenční pokusy o ID), fuzzing (požadavky s různými poškozenými daty) a zákeřnou automatizaci (vysoká frekvence s pravidelnými vzory).
  • detect_shadow_api identifikuje nezdokumentované koncové body, které přijímají provoz, porovnáním koncových bodů, ke kterým se přistupuje, se seznamem zdokumentovaných rozhraní API.

6.4. Oprávnění na úrovni poškozeného objektu (BOLA/IDOR)

  • detect_bola kontroluje, zda je uživatel oprávněn přistupovat k požadovanému zdroji, a porovnává resource_id s ownership_map, která mapuje zdroje na jejich vlastníky. Pokud uživatel není vlastníkem a nemá delegovaná oprávnění, funkce vrátí hodnotu true.

6.5. Poškozená autentizace a hromadné přiřazení

  • detect_broken_auth kontroluje přítomnost a platnost ověřovacího tokenu, rozsahy požadované koncovým bodem a shodu mezi tokenem a požadovaným uživatelem.
  • detect_mass_assignment kontroluje, zda vstup rozhraní API obsahuje pole, která nejsou v modelu (model_fields) nebo která jsou v seznamu polí pouze pro čtení (readonly_fields), čímž brání útočníkům upravovat chráněná pole, jako je is_admin, role nebo balance.

6.6. Zabezpečení GraphQL

  • graphql_depth_limit analyzuje hloubku dotazů GraphQL a odmítá dotazy, které překračují nakonfigurovaný limit (výchozí: 10 úrovní). Tím se zabrání útokůmrekurzivní ries, které mohou způsobit odmítnutí služby.
  • graphql_cost_analysis vypočítá výpočetní náklady dotazu GraphQL na základě složitosti každého pole (konfigurovatelného pomocí complexity_map) a úrovně vnoření. Dotazy s cenou nad limit (výchozí: 1000) jsou odmítnuty.
  • graphql_abuse_detection analyzuje více dotazů v časovém okně, aby zjistil zahlcení dotazů, zneužití introspekce (dotazy, které využívají schéma k mapování API) a opakující se vzorce zneužití.

6.7. gRPC a zabezpečení WebSocket

  • grpc_security_validation ověřuje zabezpečení požadavků gRPC kontrolou metadat, povinných hlaviček a informací TLS (šifrovací sada, protokol, partnerský certifikát).
  • secure_websocket konfiguruje zabezpečená připojení WebSocket s ověřením původu a povolenými podprotokoly.
  • websocket_origin_validation a websocket_flood_protection chrání před škodlivými připojeními WebSocket a zahlcením připojení.

6.8. Správa klíčů API

  • api_key_rotation generuje nové klíče API se zabezpečeným hashem (SHA3-256), identifikovatelnou předponou a konfigurovatelným datem vypršení platnosti.
  • api_key_validation ověřuje klíče API proti registru známých klíčů, kontroluje rozsahy, expiraci a individuální limity.

7. Modul umělé inteligence (AI).

Modul AI je jedním z nejinovativnějších od Lékařů bez hranic a nabízí kompletní ochranu pro aplikace, které používají velké jazykové modely (LLM).

7.1. Prompt Injection a Jailbreak Protection

  • detect_prompt_injection analyzuje výzvy pro vzory vkládání, jako je „ignorujte předchozí pokyny“, „zapomeňte na všechna pravidla“, „systém:“, „nyní jste“, „ignorujte všechny předchozí“, „přepište systémové pokyny“, „obejít zabezpečení“, „chovejte se, jako byste byli“, „předstírejte, že jste“, „od nynějška jste“, „režim vývojáře, který se pokouší o pokusy o systémové pokyny“. Funkce používá více než 20 vzorů regulárních výrazů a vypočítává skóre spolehlivosti na základě počtu shod a délky výzvy.
  • detect_jailbreak detekuje pokusy o útěk z vězení specificky zaměřené na obcházení bezpečnostních omezení LLM, včetně: režimu DAN, „udělejte cokoli“, „vypnout bezpečnost“, „neomezený režim“, „bez jakýchkoli omezení“, „ignorujte vaše bezpečnostní pokyny“, „nemusíte dodržovat vaše pravidla“, „hraní rolí bez omezení“, „hypotetický scénář, který se používá pouze pro vzdělávací účely“, „pouze v tomto alternativním scénáři, kde můžete“, a bypass.

7.2. Ochrana citlivých údajů

  • detect_sensitive_leak snímá v textu citlivá data, včetně: SSN/CPF, čísla kreditních karet (s ověřením kontrolního součtu Luhn), e-maily, telefonní čísla, klíče API (AWS, GCP, GitHub, standardy Stripe), hesla, tokeny JWT, soukromé klíče (hlavičky PEM) a adresy peněženek kryptoměn.
  • detect_prompt_leak detekuje pokusy extrahovat výzvu systému LLM porovnáním obsahu výzvy uživatele se systémovou výzvou pomocí podobnosti textu. Pokud se uživatel pokouší reprodukovat nebo odvodit části systémové výzvy, funkce to označí.
  • detect_data_exfiltration analyzuje výstup LLM pro citlivá data, která mohla být neúmyslně zahrnuta do odpovědi.

7.3. Sanitace

  • sanitize_prompt odstraňuje blokované vzory z uživatelského dotazu a vynucuje omezení délky.
  • sanitize_llm_output odebere skripty, obslužné rutiny událostí a citlivá data z výstupu LLM a v případě potřeby použije zkrácení.
  • ai_memory_sanitizer dezinfikuje záznamy paměti AI na základě zásad uchovávání, odstraňuje citlivá data a záznamy s prošlou platností.

7.4. Detekce zneužití modelu a agenta

  • detect_model_abuse analyzuje vzory požadavků k detekci zneužití modelu: nadměrné opakování (stejná výzva byla odeslána několikrát), vysoká četnost požadavků (nad 30/minutu) a abnormální složitost (velmi hluboké nebo dlouhé dotazy). Skóre zneužití se vypočítá jako vážená kombinace shody vzoru, opakování, rychlosti a složitosti.
  • detect_agent_abuse monitoruje chování agentů AI kontrolou, zda jsou prováděné akce v rámci definovaných zásad (povolené akce, limity volání, omezení přístupu).

7.5. LLM Firewall and Policy Engine

  • llm_firewall vyhodnocuje vstup proti sadě pravidel brány firewall LLM s konfigurovatelnými akcemi (blokovat, varovat, protokolovat). Každé pravidlo určuje vzor, ​​podmínku a akci.
  • ai_policy_engine vyhodnotíjak výzva LLM, tak výstup proti sadě bezpečnostních zásad, včetně: zákazu generování škodlivého kódu, zákazu prozrazení osobních informací, požadavku na zdroje pro faktická tvrzení a omezení specifických pro doménu.

7.6. RAG a halucinace

  • rag_source_validation ověřuje důvěryhodnost zdrojů používaných v systémech RAG (Retrieval-Augmented Generation), kontroluje, zda jsou zdrojové domény na seznamu důvěryhodných, a aplikuje ověřovací pravidla, jako je kontrola data, autora a reputace.
  • halucination_risk posuzuje riziko halucinací ve výstupu LLM analýzou: nízkého skóre spolehlivosti, neověřených prohlášení, faktických nekonzistencí a jazykových vzorců svědčících o nejistotě.

7.7. Zábradlí a ověření přivolání nástroje

  • ai_output_guard aplikuje ochranné zábradlí a pravidla redakce na výstup LLM, odstraňuje zakázaný obsah a rediguje citlivá data.
  • tool_call_validation ověřuje volání nástroje (volání funkce) kontrolou, zda je nástroj na seznamu povolených a zda argumenty odpovídají očekávanému schématu.
  • multi_agent_isolation ověřuje zásady izolace a komunikace mezi více agenty AI a zabraňuje jednomu agentovi kompromitovat druhého.

7.8. Sledování

  • ai_token_monitor monitoruje používání tokenů LLM oproti definovaným limitům (na žádost, za minutu, za den, za cenu) a generuje upozornění, když se limity přiblíží nebo překročí.
  • ai_behavior_monitor monitoruje chování umělé inteligence z hlediska odchylek od stanovené základní linie, zjišťuje změny ve vzorcích odpovědí, zvýšené chyby nebo neočekávané chování.

8. Síťový modul

Síťový modul poskytuje detekci hrozeb na úrovni sítě a pokrývá vše od skenování portů až po komunikaci příkazů a řízení.

8.1. Detekce skenování

  • detect_port_scan analyzuje připojení ze zdrojové IP a zjišťuje skenování portů. Funkce počítá jedinečné porty, ke kterým se přistupuje, vypočítává rychlost připojení (spojení za sekundu) a analyzuje vzory příznaků TCP (SYN flood, SYN-RST vzory). Mezi detekované typy skenování patří: sken SYN, sken FIN, sken XMAS, sken NULL a sken UDP. Konfigurovatelný práh umožňuje upravit citlivost (výchozí: 20 jednotlivých portů za 60 sekund).
  • detect_dns_tunneling analyzuje dotazy DNS pro detekci tunelování, vypočítává Shannonovu entropii subdomén (data kódovaná v dotazech DNS mají vysokou entropii), měří průměrnou velikost subdomén a počítá frekvenci dotazů pro konkrétní doménu.

8.2. Detekce dopravních anomálií

  • detect_traffic_anomaly porovnává aktuální metriky provozu (bajty za sekundu, pakety za sekundu, připojení za sekundu, distribuce protokolu) s historickou základní linií pomocí statického z-skóre. Odchylky nad prahovou hodnotou (výchozí: 2,0 standardní odchylky) jsou označeny jako anomálie.
  • detect_ddos detekuje útoky typu Distributed Denial of Service analýzou špiček v bytech/paketech za sekundu oproti základní linii, s konfigurovatelným prahem a časovým oknem.

8.3. Proxy, VPN a Tor Detection

  • detect_proxy kontroluje HTTP hlavičky indikující proxy (X-Forwarded-For, Via, X-Real-IP, Forwarded) a analyzuje vzorce chování proxy připojení.
  • detect_vpn kontroluje zdrojovou IP oproti databázi známých IP adres poskytovatelů VPN.
  • detect_tor kontroluje, zda IP patří do sítě Tor porovnáním se seznamy uzlů a výstupních uzlů ze sítě Tor.

8.4. Ověření IP a domény

  • validate_ip ověřuje adresy IPv4 vůči povoleným rozsahům a blokům pomocí shody CIDR. Podporuje notaci CIDR (např. 192.168.1.0/24) a jednotlivé rozsahy.
  • validate_domain ověřuje domény tak, že porovná TLD se seznamem povolených (např. pouze .com, .org, .br) a celou doménu se seznamem blokovaných.

8.5. Detekce spoofingu a otrava ARP

  • detect_spoofing analyzuje paketová data proti očekávaným zdrojům a topologii sítě, aby detekoval falšování IP a kontroluje, zda je zdrojová IP konzistentní s očekávanou cestou.
  • detect_arp_poisoning porovnává aktuální tabulku ARP s očekávaným mapováním IP-na-MAC a zjišťuje, kdy MAC adresa odpovídá na více IP adres nebo kdy se mapování neočekávaně změní.

8.6. TLS otisky prstů

  • tls_fingerprint generuje TLS otisk prstu z handshake (šifrové sady, rozšíření, eliptické křivky, tečkové formáty) a porovnává sdo databáze známých otisků prstů k identifikaci klienta.
  • ja3_fingerprint generuje TLS-specifický hash JA3 ClientHello, což je průmyslový standard pro identifikaci klientů TLS na základě parametrů vyjednávání.

8.7. Beaconing a C2 Detection

  • beaconing_detection detekuje chování majáku (periodická komunikace s příkazem a řízením) analýzou pravidelnosti intervalů mezi připojeními. Spojení s velmi pravidelnými intervaly (nízký jitter) a vysokou intervalovou korelací svědčí pro signalizaci.
  • command_and_control_detection analyzuje vzorce provozu proti známým indikátorům C2: komunikace s doménami DGA (Domain Generation Algorithm), provoz na nestandardních portech, vzory signalizace a použití protokolů tunelování (DNS, ICMP, HTTP).

8.8. Analýza bočního pohybu a sítě

  • lateral_movement_detection detekuje boční pohyb analýzou přístupových vzorů mezi hostiteli v síti: přístupy k hostitelům, ke kterým uživatel normálně nepřistupuje, použití protokolů vzdálené správy (RDP, SSH, WMI) pro neobvyklé hostitele a šíření přístupu v grafu.
  • network_entropy_analysis analyzuje entropii síťových paketů k detekci šifrovaného nebo kódovaného provozu (vysoká entropie označuje náhodná nebo šifrovaná data).
  • traffic_behavior_analysis analyzuje chování provozu vůči základním liniím stanoveným v časovém okně a zjišťuje změny v komunikačním vzoru.
  • protocol_anomaly_detection detekuje anomálie v protokolech porovnáním dat protokolu s očekávanou specifikací (povinná pole, platné hodnoty, sekvence zpráv).

9. Cloudový modul

Cloudový modul chrání cloudové infrastruktury na AWS, GCP a Azure a pokrývá kontejnery, Kubernetes, úložiště, IAM, IaC a dodavatelský řetězec.

9.1. Zabezpečení kontejnerů

  • validate_dockerfile ověřuje Dockerfile podle osvědčených bezpečnostních postupů: nepoužívejte značku latest, nespouštějte jako root, zahrňte HEALTHCHECK, nezahrnujte pevně zakódovaná tajemství, používejte minimální základní obrazy (alpine, distroless) a nevystavujte zbytečné porty.
  • detect_container_escape detekuje potenciální únikové vektory kontejneru kontrolou: privilegovaného režimu, nebezpečných schopností (SYS_ADMIN, SYS_PTRACE, NET_ADMIN), citlivého připojení hostitelské cesty (/, /etc, /proc, /sys), chybějících profilů seccomp/AppArmor a jmenného prostoru hostitele.
  • runtime_container_protection analyzuje události kontejneru za běhu proti pravidlům hrozeb a provádí automatické akce (blokování, upozornění, izolace, ukončení, protokolování).
  • container_image_scan prohledá vrstvy obrázků kontejneru na známé zranitelnosti (CVE) a zkontroluje podpisy obrázků (Cosign, Notary).

9.2. Zabezpečení Kubernetes

  • validate_k8s_rbac ověřuje konfigurace Kubernetes RBAC podle principů nejmenších oprávnění: detekce ClusterRoles se zástupným znakem (*), ServiceAccounts s nadměrnými oprávněními, vazby, které udělují přístup k tajným klíčům, a role, které umožňují exec v podech.
  • validate_kubernetes_manifest ověřuje manifesty Kubernetes vůči zásadám zabezpečení podů a síťovým zásadám: detekuje pody spuštěné jako root, bez omezení zdrojů, s hostNetwork/hostPID/hostIPC, bez readOnlyRootFilesystem a bez securityContextu.
  • runtime_k8s_anomaly detekuje anomální chování v běhových událostech Kubernetes: vytváření podů v neobvyklých jmenných prostorech, změny RBAC, přístup k nestandardním tajným informacím a komunikaci mezi pody, které normálně nekomunikují.

9.3. Úložiště a IAM

  • detect_public_bucket detekuje veřejně přístupné bloky cloudového úložiště kontrolou: zásad segmentu s ,,Primární: "*"`, veřejných ACL, deaktivovaného blokování veřejného přístupu a konfigurací webových stránek, které odhalují segment.
  • validate_s3_permissions ověřuje oprávnění bloku S3 podle bezpečnostních požadavků: kontroluje, zda neexistují žádná veřejná oprávnění k zápisu, zda je povoleno šifrování, zda je aktivní vytváření verzí a zda je nakonfigurováno protokolování.
  • validate_iam_policy ověřuje zásady IAM podle seznamů povolených a zakázaných akcí, zjišťuje nadměrná oprávnění: akce se zástupným znakem (s3:*, *), přístup ke zdrojům všech služeb a absenci podmínek omezení.

9.4. Infrastruktura jako kód

  • validate_terraform ověřuje plány Terraform podle zásad zabezpečení: detekce zdrojů s vypnutým šifrováním, skupiny zabezpečení s pravidly otevřeného vstupu (0.0.0.0/0), veřejné segmenty, nezálohované databáze a zdroje bez identifikačních značek.
  • detect_cloud_misconfig detekuje nesprávné konfigurace cloudové infrastruktury porovnáním aktuální konfigurace se základní úrovní zabezpečení na poskytovatele (AWS, GCP, Azure).

9.5. Tajemství a dodavatelský řetězec

  • validate_secrets_manager ověřuje konfiguraci správce tajemství: povolena automatická rotace, šifrování v klidu pomocí KMS, omezující zásady přístupu a povoleno protokolování přístupu.
  • supply_chain_validation ověřuje softwarové závislosti na důvěryhodných zdrojích a databázích zranitelnosti, zjišťuje balíčky z neověřených zdrojů, verze se známými CVE a závislosti s omezujícími licencemi.
  • sbom_generator generuje kusovník softwaru ve formátech SPDX nebo CycloneDX se seznamem všech součástí s názvem, verzí, typem, licencemi a hash.
  • dependency_audit kontroluje závislosti na databázi zranitelnosti s filtrem závažnosti.
  • detect_typósquatting detekuje útoky typu squatting porovnáním jmen balíčků se známými balíčky pomocí podobnosti řetězců (Levenshtein, char swap, dělení slov).

9.6. Skóre a identita

  • cloud_security_score vypočítá celkové skóre zabezpečení cloudu na základě srovnávacích testů CIS a konfigurovatelných vah podle kategorií (IAM, úložiště, síť, protokolování, šifrování).
  • workload_identity_validation ověřuje konfiguraci identity zátěže (IRSA na AWS, Workload Identity na GKE, Managed Identity na Azure).
  • důvěrné_výpočetní_validace ověřuje důvěrné výpočetní atestace pro TEE (Intel SGX/TDX, AMD SEV-SNP, AWS Nitro Enclaves, Azure CVM).

10. Monitorovací modul

Monitorovací modul nabízí pokročilé funkce detekce, korelace a reakce na incidenty.

10.1. Protokolování odolné proti neoprávněné manipulaci

  • secure_log vytváří zabezpečené záznamy protokolu s kryptografickou integritou pomocí řetězce hash: každý záznam obsahuje hash předchozího záznamu, takže není možné změnit minulé záznamy, aniž by byl celý řetězec zneplatněn.
  • tamperproof_logs kontroluje integritu řetězce protokolů ověřením, že každý hash správně ukazuje na předchozí záznam.

10.2. Statistické bodování

  • skóre_anomálií vypočítá skóre anomálií pomocí statistického z-skóre: pro každou metriku vypočítá, o kolik standardních odchylek je aktuální hodnota od historického průměru. Jednotlivá skóre jsou kombinována s konfigurovatelnými vahami, aby se vytvořilo složené skóre.
  • threat_score počítá skóre hrozeb složené z bezpečnostních a zpravodajských událostí hrozeb, vážených podle závažnosti, kritičnosti cíle a důvěry ve zpravodajský zdroj.
  • risk_score vypočítává skóre rizika pro konkrétního uživatele na základě nedávných událostí, aktuálního kontextu a historie (předchozí průměr rizika, počet incidentů, dny od posledního incidentu).

10.3. Korelace a upozornění

  • correlate_events koreluje bezpečnostní události v rámci časového okna pomocí uživatelem definovaných korelačních pravidel. Například: "pokud existují 3 neúspěšné události přihlášení ze stejné IP, po kterých následuje událost úspěchu, korelujte co možná hrubou silou".
  • realtime_alert vyhodnocuje události podle pravidel výstrah a generuje výstrahy v reálném čase s konfigurovatelnými oznámeními (e-mail, Slack, PagerDuty, webhook).
  • adaptive_alerting implementuje adaptivní výstrahy s prevencí únavy z výstrah: pokud počet výstrah za hodinu překročí základní linii, systém seskupí podobné výstrahy a sníží frekvenci oznámení.

10.4. Analýza útoku

  • attack_path_analysis analyzuje potenciální cesty útoku přes síť na základě bezpečnostních událostí a topologie sítě a identifikuje sekvence akcí, které by útočník mohl použít k dosažení kritického cíle.
  • threat_graph vytváří graf znalostí o hrozbách z událostí, entit (uživatelů, hostitelů, aplikací) a vztahů (přístup, kompromitace, komunikace s nimi).
  • attack_chain_mapping mapuje bezpečnostní události do rámce MITER ATT&CK (techniky a taktiky) a do Cyber ​​​​Kill Chain (průzkum, zbrojení, dodávka, využívání, instalace, C2, akce na cíle).

10.5. Behaviorální analýza a UEBA

  • behaviorální_analýza analyzuje chování uživatelů vůči zavedeným základním liniím: typické časy přihlášení, běžná místa, objem událostí za hodinu a typické typy akcí.
  • Provede se ueba_analysisAnalýza chování uživatelů a entit porovnává chování uživatelů se skupinou rovnocenných uživatelů (skupina uživatelů s podobným profilem) a zjišťuje statistické odchylky.
  • detect_account_takeover detekuje pokusy o převzetí účtu na základě indikátorů chování: neznámé přihlášení k zařízení, neobvyklé umístění, atypický čas, změna hesla s následným přenosem dat a přístup k nestandardním zdrojům.

10.6. Autonomní odezva a forenzní analýza

  • autonomous_response provádí autonomní reakci na incidenty na základě závažnosti hrozby a pravidel odezvy: blokovat IP, deaktivovat účet, izolovat hostitele, zrušit tokeny a eskalovat bezpečnostnímu týmu.
  • forensic_snapshot vytváří forenzní snímek stavu systému s řetězem úschovy důkazů, včetně kryptografického hashe všech shromážděných artefaktů.
  • incident_timeline vytváří chronologickou časovou osu incidentů z bezpečnostních událostí, seřazených podle časového razítka a seskupení podle fáze útoku.
  • autonomous_triage provádí autonomní třídění výstrah pomocí pravidel třídění a obohacených dat (informace o hrozbách, uživatelský kontext, falešně pozitivní historie).

11. Modul aktivní obrany (obranný)

Obranný modul implementuje aktivní obranné mechanismy, které chrání samotný rámec a běh aplikace.

11.1. Anti-debugging a Anti-Tampering

  • runtime_self_protection umožňuje mechanismy vlastní ochrany za běhu: periodické kontroly integrity, detekci ladění a nepřetržité monitorování stavu procesu.
  • anti_debugging_detection detekuje aktivní pokusy o ladění kontrolou: stavu ptrace (pokud je proces sledován), signálů ladicího programu v prostředí (proměnné prostředí, ladicí soubory) a anomálie za běhu (neočekávané pauzy označují body přerušení).
  • anti_tampering kontroluje binární integritu porovnáním kryptografických hashů (SHA-256, SHA3-256) s očekávanými hodnotami. Pokud se hash změnil, binární soubor byl upraven.
  • memory_integrity_check kontroluje integritu oblastí paměti porovnáním aktuálního stavu s očekávaným stavem a kontrolou signatur kritických oblastí.
  • process_integrity_check kontroluje integritu procesu včetně: načtených modulů (detekce neautorizovaných knihoven DLL), země řetězce procesů (zjišťování, zda proces nespustil neočekávaný rodič) a oprávnění procesu.

11.2. Binární a bootovací validace

  • code_signing_validation ověřuje certifikát pro podepisování binárního kódu proti úložišti důvěryhodných certifikátů a kontroluje, zda certifikát nebyl odvolán.
  • binary_integrity_validation ověřuje integritu binárního souboru na sekci (.text, .data, .rsrc, .reloc) výpočtem jednotlivých hashů pro každou sekci a porovnáním s očekávanými hashemi.
  • secure_boot_validation ověřuje bezpečný bootovací řetězec kontrolou měření TPM (Trusted Platform Module) a hodnot PCR (Platform Configuration Registers), které zaznamenávají každou fázi spouštění.
  • secure_update_validation ověřuje aktualizační balíčky kontrolou: kryptografického podpisu balíčku, integrity obsahu, verze (zabraňující útokům na nižší verzi) a distribučního kanálu.

11.3. Pokročilé detekční techniky

  • anti_hook_detection detekuje zaháknutí funkcí v paměti kontrolou: zaháknutí IAT (úprava tabulky adres pro import), zaháknutí v řádku (úprava prvních instrukcí funkce) a zaháknutí SSDT (úprava tabulky deskriptorů systémových služeb v jádře).
  • anti_injection_detection detekuje vkládání kódu do paměťového prostoru procesu kontrolou: modulů načtených bez podpisu, knihoven načtených z podezřelých cest a podpisů známých technik vkládání (process hollowing, vkládání DLL, reflektivní načítání DLL).
  • anti_rootkit_detection detekuje indikátory rootkitů analýzou: systémová volání, která vracejí nekonzistentní výsledky, nepodepsané moduly jádra a skryté procesy (procesy, které se objevují v seznamu procesů jádra, ale ne v seznamu operačního systému).
  • anti_vm_detection detekuje provádění ve virtuálním prostředí kontrolou: hardwarových informací indikujících VM (výrobce BIOSu, model procesoru, MAC adresa), kontroly časování (instrukce, které se ve virtuálních počítačích spouštějí pomaleji) a artefakty VM (soubory, služby, ovladače specifické pro VMware, VirtualBox, Hyper-V).
  • anti_emulation_detectiondetekuje emulační prostředí kontrolou: dostupnosti API, které emulátory často neimplementují, načasování operací (emulátory jsou pomalejší) a kontrol prostředí (počet procesů, místo na disku, paměť RAM).

11.4. Pohybující se cíl a sebeléčení

  • moving_target_runtime implementuje obranu proti pohyblivému cíli rotací koncových bodů služby, náhodným rozložením paměti a různou dobou odezvy, aby bylo zneužití zranitelnosti obtížnější.
  • dynamic_attack_surface dynamicky upravuje plochu útoku na základě úrovně hrozby: na nízké úrovni jsou k dispozici všechny koncové body; na střední úrovni jsou zakázány nepodstatné koncové body; na vysoké úrovni zůstávají aktivní pouze kritické koncové body.
  • runtime_policy_engine vyhodnocuje a aplikuje bezpečnostní zásady za běhu s konfigurovatelným režimem vynucení (audit, varování, vynucení).
  • self_healing_security automaticky detekuje a obnovuje bezpečnostní incidenty: pokud je služba kompromitována, systém může službu restartovat, obnovit původní konfiguraci a upozornit zaměstnance.
  • adaptive_threat_response provádí adaptivní reakci na hrozby na základě charakteristik hrozeb a předdefinovaných příruček odezvy.
  • autonomous_containment obsahuje autonomně aktivní hrozby pomocí pravidel omezení a topologie sítě: izolujte ohrožené hostitele, blokujte komunikaci C2 a segmentujte síť, abyste omezili šíření.

12. Modul Honeypot

Modul honeypot implementuje techniky klamání k přilákání, detekci a analýze útočníků.

12.1. Falešné služby

  • fake_admin_panel nasazuje realistický falešný administrátorský panel s přihlašovacími cestami, řídicím panelem, správou uživatelů a nastavením systému. Všechny interakce jsou protokolovány pro analýzu.
  • fake_database vytváří falešnou databázi s realistickým schématem (uživatel, objednávka, tabulky plateb) a příklady záznamů, které vypadají legitimně, ale jsou zcela fiktivní.
  • fake_api nasazuje falešné REST API s realistickými koncovými body (/api/users, /api/orders, /api/payments), které vracejí přesvědčivé, ale fiktivní užitečné zatížení.
  • fake_filesystem vytváří falešný souborový systém s věrohodnou adresářovou strukturou (/etc, /var/log, /home/user, /opt/app) a soubory s realistickým obsahem.
  • fake_ssh_service nasazuje falešnou službu SSH, která přijímá připojení, zobrazuje realistický banner a zaznamenává všechny pokusy o ověření a provedené příkazy.
  • fake_rdp_service nasazuje falešnou službu RDP k detekci a sledování útoků na vzdálenou plochu.
  • fake_kubernetes_cluster nasazuje falešné rozhraní API Kubernetes clusteru, aby přilákalo útočníky zaměřené na kontejnery tím, že odpovídá na dotazy na moduly, služby, nasazení a tajemství.
  • fake_s3_bucket vytváří falešný bucket S3 s realistickými objekty (dokumenty, konfigurace, zálohy) a přístupovými politikami, které vypadají legitimně.
  • fake_login_page nasazuje přesvědčivou přihlašovací stránku s přizpůsobitelným brandingem pro zachycení pokusů o odeslání pověření.
  • fake_debug_panel nasadí falešný panel pro ladění/vývoj, který zdánlivě odhaluje vnitřní systémové informace (proměnné prostředí, nastavení databáze, protokoly).

12.2. Honeytokens a podvod

  • fake_secrets generuje a spravuje falešná tajemství (klíče API, databázové tokeny, pověření SSH), která upozorní při použití mimo autorizovaný kontext.
  • honeytoken_generation generuje sledovatelné tokeny různých typů (adresy URL, klíče API, pověření, soubory), které při přístupu spouštějí výstrahy.
  • honeycredential_detection kontroluje odeslaná pověření s databází známých honeytokenů a zjišťuje, kdy útočník používá falešné přihlašovací údaje.
  • deceptive_routes zaznamenává klamavé trasy, které vypadají jako legitimní koncové body API, ale při přístupu spouštějí výstrahy.
  • decoy_endpoints generuje seznam koncových bodů návnady API, které napodobují koncové body skutečné služby.
  • deceptive_responses generuje kontextově vhodné klamavé odpovědi na základě požadavku a profilu útočníka a udržuje útočníka v záběru při shromažďování informací.

12.3. Analýza a adaptace

  • adaptive_honeypot dynamicky upravuje konfiguraci honeypotu na základě pozorovaného provozu a úrovně ohrožení: pokud útočník využívá zranitelnosti webu, honeypot zvětší plochu webových služeb; pokud skenuje dveře, otevře další falešné dveře.
  • attacker_behavior_tracKing sleduje a analyzuje vzorce chování útočníků v rámci relace honeypotu: provedené příkazy, přístup k souborům, pokusy o pověření a čas strávený každou službou.
  • adaptive_deception dynamicky upravuje taktiku klamání na základě profilu útočníka (skript dítě, automatický útočník, APT) a metrik efektivity (jak dlouho se útočník zdržel, kolik akcí provedl).
  • moving_target_defense implementuje obranu proti pohyblivému cíli v kontextu honeypotů, rotující konfigurace služeb (porty, bannery, odpovědi), aby bylo snímání otisků prstů obtížnější.

13. Modul souboru (Soubor)

Souborový modul chrání před hrozbami přenášenými soubory: škodlivými uploady, dokumenty s makry, PDF s JavaScriptem, polyglot soubory, zip bomby a malware.

13.1. Ověření nahrání

  • secure_upload bezpečně ověřuje a zpracovává nahrávání souborů na více vrstvách: kontroluje příponu proti seznamu povolených, ověřuje typ MIME pomocí magických bajtů, kontroluje maximální velikost a kontroluje obsah na přítomnost malwaru.
  • validate_extension zkontroluje, zda je přípona souboru v seznamu povolených přípon.
  • validate_mime ověřuje typ MIME souboru pomocí detekce magických bajtů (podpisy formátu souboru v prvních bajtech), čímž zabraňuje falšování přípon (např. soubor .jpg, který je ve skutečnosti spustitelný soubor).

13.2. Detekce hrozeb v souborech

  • detect_polyglot_file detekuje, zda soubor obsahuje více podpisů ve formátu souboru, což naznačuje útok na soubor polyglot (soubor, který je platný ve dvou nebo více formátech současně, jako je GIF, který je také platným JavaScriptem).
  • detect_zip_bomb detekuje zip bomby pomocí analýzy kompresního poměru a deklarované nekomprimované velikosti. Poměr nad 100:1 nebo nekomprimovaná velikost nad 1 GB je označena jako potenciální zipová bomba.
  • detect_office_macro detekuje makra VBA v dokumentech Office (Word .doc/.docx, Excel .xls/.xlsx, PowerPoint .ppt/.pptx), která mohou při otevírání dokumentu spustit škodlivý kód.
  • detect_pdf_javascript detekuje JavaScript vložený do souborů PDF, který může provádět škodlivé akce, jako je stahování malwaru nebo phishing.
  • detect_executable_payload detekuje spustitelné datové části vložené do nespustitelných souborů (např. PDF, které obsahuje spustitelnou PE hlavičku Windows).
  • detect_embedded_script detekuje skripty vložené do souborů: JavaScript v PDF, VBScript v dokumentech Office, PowerShell v textových souborech a skripty Python v datových souborech.

13.3. Skenování malwaru

  • malware_scan skenuje soubory na malware pomocí porovnávání signatur (porovnání se známými signaturami malwaru) a pravidel YARA (pokročilé porovnávání vzorů se složitými podmínkami).
  • yara_scan kontroluje soubory pomocí pravidel YARA s podporou jmenného prostoru pro uspořádání pravidel podle kategorií (malware, exploit, podezřelé atd.).
  • heuristic_scan provádí heuristickou analýzu k odhalení podezřelého chování v souborech, které neodpovídají známým signaturám, ale mají vlastnosti svědčící o malwaru (obfuskace, anti-debug, packing).

13.4. Pokročilá analýza

  • entropy_analysis vypočítá Shannonovu entropii dat blokového souboru pro detekci šifrování nebo komprese. Soubory s entropií vyšší než 7,5 bitů na bajt jsou považovány za vysoce náhodné (indikující šifrování nebo sbalení).
  • detect_steganography detekuje steganografii v obrazových souborech pomocí několika technik: analýza LSB (nejméně významný bit), detekce připojených dat, analýza blokové entropie a analýza histogramu barev.
  • detect_obfuscation detekuje zatemněný obsah v souborech pomocí několika technik: detekce řetězců base64, hex kódování, zřetězení řetězců, vysoká entropie ve specifických sekcích a zmatené vzory toku řízení.

13.5. Sanitace a karanténa

  • sanitize_filename dezinfikuje názvy souborů odstraněním nebezpečných znaků (/, \, .., :, *, ?, ", <, >, |) a sekvencí procházení cesty.
  • quarantine_file přesune škodlivé soubory do karanténního adresáře se sledováním metadat (důvod karantény, časové razítko, hash souboru, uploader).
  • sandbox_execute spouští soubory v izolovaném prostředí pro analýzu chování, monitorování: systémová volání, síťový přístup, úpravy souborů a vytváření podřízených procesů.
  • secure_tempfile vytváří bezpečné dočasné soubory s omezenými oprávněními (pouze čtení/zápis vlastníkem) a volitelným samomazáním při zavření.
  • immutable_storage_check kontroluje integritu souborů na neměnném úložišti porovnáním aktuálního hashe s očekávaným hashem.

14. Podnikový modul

Podnikový modul kontroluje dodržování předpisů o ochraně dat a bezpečnosti informací.

14.1. Soulad s předpisy

  • lgpd_check ověřuje soulad s obecným zákonem o ochraně údajů (LGPD, zákon 13,709/2018) Brazílie: souhlas držitele, jmenování DPO (Data Officer), práva držitelů (přístup, oprava, vymazání, přenositelnost), registrace operací zpracování, zpráva o dopadu na ochranu osobních údajů a oznámení incidentů úřadu ANPD.
  • gdpr_check kontroluje soulad s obecným nařízením o ochraně osobních údajů (GDPR, nařízení EU 2016/679): právní základ pro zpracování, jmenování DPO, minimalizace údajů, omezení účelu, přesnost, omezení ukládání, integrita a důvěrnost, právo být zapomenut, přenositelnost údajů a oznámení o porušení do 72 hodin.
  • hipaa_check ověřuje soulad s americkým zákonem o přenositelnosti a odpovědnosti za zdravotní pojištění (HIPAA): šifrování PHI (chráněné zdravotní informace) v klidu a při přenosu, kontroly přístupu (jedinečná identifikace uživatele, nouzový přístup, automatické odhlášení), kontroly auditu (protokoly auditu, kontroly integrity) a integrita dat PHI.
  • pci_check kontroluje shodu se standardem zabezpečení dat v odvětví platebních karet (PCI-DSS): šifrování dat na kartě při přenosu a v klidu, segmentace sítě (oddělení prostředí karty), řízení přístupu (potřeba vědět, jedinečná ID, MFA), monitorování sítě a systémů a pravidelné testování zabezpečení.

14.2. Přehledy a řídicí panel

  • compliance_report generuje komplexní zprávu o shodě z více výsledků kontrol, včetně: souhrnu, zjištěných nedostatků, doporučení k nápravě, časového harmonogramu dodržování a skóre podle kategorie.
  • realtime_security_dashboard generuje řídicí panel zabezpečení v reálném čase, který zobrazuje: metriky zabezpečení (zjištěné hrozby, bloky, falešné poplachy), aktivní výstrahy, historické trendy a celkové skóre rizik.

14.3. Audit a politika

  • audit_trail generuje neměnný auditní záznam z bezpečnostních událostí, uživatelských akcí a změn dat, včetně: kdo co udělal, kdy, odkud a jaký to mělo dopad.
  • policy_as_code vyhodnocuje a aplikuje zásady zabezpečení definované jako kód, což umožňuje vytváření verzí, kontrolu a automatické testování zásad zabezpečení.

14.4. Multi-nájemce a Multi-Region

  • tenant_isolation kontroluje a aplikuje izolaci tenantů v prostředí s více tenanty: oddělení dat, izolace sítě, řízení přístupu mezi tenanty a prevence úniku informací mezi tenanty.
  • multi_region_security vyhodnocuje bezpečnostní pozici ve více regionech a shodu s umístěním dat: ověření, že data z konkrétních regionů zůstávají v regionu, konzistentní šifrování mezi regiony a soulad s místními předpisy v každém regionu.

15. Modul integrace

Modul integrace poskytuje adaptéry pro populární rámce a platformy.

15.1. Webové rámce Python

  • fastapi_security_dependency vytváří závislost zabezpečení pro FastAPI s OAuth2, ověřením JWT, omezením rychlosti a ochranou vstupu.
  • django_security_middleware vytváří bezpečnostní middleware pro Django s CSP, CSRF, bezpečnostními hlavičkami a ochranou vstupu.
  • flask_security_extension vytváří bezpečnostní rozšíření pro Flask s bezpečnostními obaly, ochranou požadavků a ověřováním vstupu.
  • celery_security_monitor vytváří monitor zabezpečení pro úlohy Celery s ověřováním argumentů, omezením rychlosti na úlohu a protokolováním auditu.
  • sqlalchemy_query_protection aplikuje ochranu na dotazy SQLAlchemy se zabezpečením na úrovni řádků, filtrováním oprávnění a prevencí vkládání dotazů.

15.2. Webové rámce TypeScript

  • expressSecurityMiddleware vytváří bezpečnostní middleware pro Express.js s ochranou vstupu, omezením rychlosti, CORS, CSRF a bezpečnostními hlavičkami.
  • fatifySecurityMiddleware vytváří bezpečnostní middleware pro Fastify s validačními háčky, omezením rychlosti a ochranou užitečného zatížení.
  • nestjsSecurityModule vytváří bezpečnostní modul pro NestJS s ověřovacími strážemi, ověřovacími interceptory a autorizačními dekorátory.
  • nextjsSecurityHeaders konfiguruje bezpečnostní hlavičky pro Next.js (CSP, HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy).

15.3. Edge a Runtime

  • cloudflareEdgeProtection konfiguruje ochranu okrajů na Cloudflare pomocí pravidel WAF, omezování rychlosti, správy botů a vlastních bezpečnostních pracovníků.
  • denoSecurityPlugin vytváří bezpečnostní plugin pro Deno s řízením oprávnění (čtení, zápis, net, env, spouštění) a sandboxing.
  • bunSecurityPlugin vytváří bezpečnostní plugin pro Bun s optimalizací zabezpečení a řízením přístupu k systémovým API.
  • browserRuntimeProtection konfiguruje ochranu za běhu prohlížeče s omezeními CSP, iframe sandbox a API.
  • serviceWorkerSecurity konfiguruje zabezpečení Service Workers s omezeným rozsahem, omezenými oprávněními a ověřováním původu.
  • wasmSecurityRuntime vytváří bezpečnostní runtime pro WebAssembly s limity paměti (počáteční, maximální, sdílené) a omezeními systémových volání.

15.4. Potrubí a motor

  • async_threat_pipeline vytváří asynchronní kanál detekce hrozeb s konfigurovatelnými procesory (ověření, detekce, hodnocení, výstrahy) a výstupními kanály (log, metriky, webhook).
  • yara_realtime_engine vytváří skenovací modul YARA v reálném čase se sledováním souborů (sledováním adresářů) a nepřetržitým porovnáváním pravidel.
  • ai_threat_classifier vytváří klasifikátor hrozeb AI pomocí trénovaného modelu a prahu spolehlivosti pro automatizovaná rozhodnutí.
  • secure_cli_runtime vytváří bezpečné prostředí CLI s dezinfekcí vstupu, ověřováním argumentů a časovými limity provádění.
  • python_runtime_guard vytváří ochranu běhového prostředí Pythonu s bílou listinou importu (lze importovat pouze povolené moduly) a sandboxingem (omezení přístupu k souborovému systému, síti a systému).

16. Telemetrie a pozorovatelnost

Lékaři bez hranic integrují pozorovatelnost do všech svých operací, přičemž se řídí třemi pilíři pozorovatelnosti: protokoly, metrikami a stopami.

16.1. Strukturované protokoly

Všechny moduly používají strukturované protokolování ve formátu JSON. Každá položka protokolu obsahuje:

  • "časové razítko": ISO 8601 datum a čas
  • úroveň: závažnost (ladění, informace, varování, chyba, kritické)
  • module: název modulu, který generoval protokol
  • traceId: ID trasování OpenTelemetry pro korelaci
  • kontext: metadata specifická pro operaci (např. detekováno, důvěra, závažnost, shody)

16.2. Metriky

Registr metrik podporuje tři typy metrik:

  • Počítadla: kumulativní hodnoty, které se pouze zvyšují. Příklady: jwt_validations, xss_detections, sqli_detections, port_scan_detections, ddos_detections, malware_scans.
  • Gauges: okamžité hodnoty, které se mohou zvyšovat nebo snižovat. Příklady: active_sessions, cache_hit_ratio.
  • Histogramy: rozdělení hodnot. Příklady: anomaly_scores, threat_scores, detection_latency_ms.

Každá metrika může obsahovat štítky (značky) pro další dimenzionalitu, jako je modul, závažnost, detected, cloud_provider.

16.3. Distribuované sledování

Každá role zabezpečení vytváří rozsah OpenTelemetry s:

– Název operace (např.: msf.web.detect_xss) - Atributy: vstupní parametry, výsledek, trvání - Události: významné milníky během provádění - Stav: v pořádku nebo chyba s popisem

Rozpětí se exportuje do backendů kompatibilních s OpenTelemetry (Jaeger, Zipkin, AWS X-Ray, Google Cloud Trace, Azure Application Insights).

16.4. Event Bus

Event Bus umožňuje asynchronní komunikaci mezi moduly:

  • Publikace: jakýkoli modul může publikovat události s typem, závažností, zprávou a metadaty.
  • Předplatné: moduly se mohou přihlásit k odběru konkrétních typů událostí a provádět akce, když jsou události publikovány.
  • Historie: sběrnice událostí uchovává historii posledních N událostí pro konzultaci.
  • Fronta nedoručených zpráv: události, které selžou zpracovat, jsou přesunuty do fronty nedoručených zpráv pro pozdější opětovné zpracování.

17. Návrhové vzory a inženýrské principy

17.1. Použité vzory

  • Singleton: pro komponenty infrastruktury (PolicyEngine, MetricsRegistry, EventBus, CacheManager).
  • Factory: pro vytváření standardizovaných výsledných objektů (DetectionResult, ValidationResult, ScanResult).
  • Strategie: pro zaměnitelné detekční algoritmy (různé detekční vzory pro XSS, SQLi atd.). -Pozorovatel:na Event Bus, kde moduly sledují události publikované jinými moduly.
  • Chain of Responsibility: pro ověřovací kanály, kde každý krok může projít nebo odmítnout zadání.
  • Dekorátor: přidává funkce zabezpečení ke stávajícím funkcím (protokolování, metriky, sledování).

17.2. Bezpečnostní zásady

  • Defense in Depth: více vrstev ochrany, takže pokud jedna selže, ostatní pokračují v provozu.
  • Nejmenší oprávnění: každá funkce a modul pracuje s minimálními nezbytnými oprávněními.
  • Fail Secure: v případě vnitřní chyby funkce vrátí výsledky, které zakazují přístup (fail uzavřen).
  • Bezpečné porovnávání: všechna tajná porovnávání používají porovnávání v konstantním čase, aby se zabránilo útokům na čas.
  • Input Sanitization: veškerý vstup je považován za nespolehlivý a před zpracováním dezinfikován.
  • Protokolování zabezpečení: všechny bezpečnostní operace jsou protokolovány pro účely auditu a detekce incidentů.

18. Závěr

Master Security Framework představuje komplexní, jednotný přístup k zabezpečení moderních aplikací. S více než 350 funkcemi distribuovanými do 28 modulů pokrývá MSF celé spektrum hrozeb, kterým dnes aplikace čelí: od tradičních webových útoků (XSS, SQLi, SSRF) po nově vznikající hrozby (rychlé vložení do LLM, útoky na dodavatelský řetězec, úniky z kontejnerů).

Duální implementace v Pythonu a TypeScriptu umožňuje vícejazyčným týmům využívat stejnou sadu bezpečnostních funkcí, zatímco integrace s OpenTelemetry, strukturovaným protokolováním a sběrnicí událostí zajišťuje, že všechny bezpečnostní operace jsou pozorovatelné a auditovatelné.

Moduly aktivní obrany (anti-debugging, anti-tampering, self-healing) a adaptivní honeypoty přidávají vrstvy proaktivní ochrany, které jdou nad rámec reaktivní detekce, zatímco podnikový modul compliance automatizuje LGPD, GDPR, HIPAA a skenování PCI-DSS.

Rámec je open source, rozšiřitelný pomocí Policy Engine a Event Bus a navržený tak, aby se vyvíjel s prostředím hrozeb. Každá funkce je automaticky testována (úspěšně 243 testů), dokumentována pomocí docstring a JSDoc a vybavena telemetrií pro produkční provoz.

Reference

  • OWASP Top 10: https://owasp.org/www-project-top-ten/
  • MITRE ATT&CK Framework: https://attack.mitre.org/
  • NIST Cybersecurity Framework: https://www.nist.gov/cyberframework
  • NIST Post-Quantum Cryptography: https://csrc.nist.gov/projects/post-quantum-cryptography
  • RFC 6238 - TOTP: https://datatracker.ietf.org/doc/html/rfc6238
  • RFC 7519 - JWT: https://datatracker.ietf.org/doc/html/rfc7519
  • CIS Benchmarks: https://www.cisecurity.org/cis-benchmarks – LGPD (zákon 13,709/2018): https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
  • GDPR (nařízení EU 2016/679): https://eur-lex.europa.eu/eli/reg/2016/679/oj
  • HIPAA: https://www.hhs.gov/hipaa/index.html
  • PCI-DSS: https://www.pcisecuritystandards.org/