Число компаний, применяющих веб-технологии для повышения продуктивности работы и привлечения новых клиентов, растет с каждым годом. Несомненно, интернет-сервисы несут с собой множество преимуществ, но есть и обратная сторона медали — с ростом числа приложений увеличивается и количество киберугроз. Так, компания Symantec в своем отчете Global Internet Security Threat Report (ISTR) указывает, что киберпреступники при взломе веб-сайтов обычно используют уязвимости веб-приложений, работающих на сервере, либо эксплуатируют некоторые уязвимости операционной системы, на которой работают эти приложения. Например, с помощью атак типа XSS хакер может перенаправить запросы пользователей на зловредные веб-страницы, а при помощи SQL-инъекций — извлекать из баз данных сайта различную конфиденциальную информацию.
В ответ на массовые взломы систем безопасности был создан консорциум OWASP — Open Web Application Security Project, это открытый проект обеспечения безопасности веб-приложений. Однако и злоумышленники, и специалисты в области кибербезопасности продолжают находить уязвимости в веб-приложениях, которые могут привести к серьезным потерям со стороны бизнеса. Основной причиной большинства брешей в Web-приложениях является написанный разработчиками программный код. Разработчики могут допускать ошибки при написании кода или не осознавать всю важность использования приемов безопасного программирования – все это приводит к появлению уязвимостей в приложениях.
Несомненно, защита веб-инфраструктуры нужна для любой компании. Однако из множества категорий защитных решений — Firewall, IPS/IDS, NGFW (Next Generation Firewall), WAF (Web-Application Firewall) только Web Application Firewall способны обеспечить комплексную защиту веб-приложений от известных и неизвестных угроз, а также обеспечить соответствие требованиям регуляторов, например, стандартам PCI DSS. Не классический Firewall, не IPS/IDS не смогут обеспечить адекватной защиты веб-приложений.
Эволюция брандмауэров
По своей сути файрволы (также применяется термин брандмауэр и межсетевой экран) — это сетевой фильтр между внутренней (корпоративной) и внешней сетью (то есть, Интернет-средой). Первые брандмауэры были способны лишь блокировать подозрительные сетевые пакеты на сетевом и канальном уровнях исходя из IP-адреса источника и назначения, флага фрагментации и номера портов.
Более продвинутые системы — такие как IPS/IDS (Intrusion Prevention System/Intrusion Prevention System) — способны анализировать содержимое сетевых пакетов и сравнивать его с сигнатурами известных атак. Кроме того, эти системы обнаруживают и блокируют отклонения в протоколах прикладного уровня.
Однако сегодня свыше 80% атак эксплуатируют уязвимости приложений, а не сетевой архитектуры. Потому вышеописанная система защиты оказывается малоэффективной против современных киберугроз. К тому же, сегодня существует огромное количество веб-приложений (каждое из которых потенциально может обладать какими-либо уязвимостями), то есть, общее число уязвимостей намного больше, чем количество сигнатур в базах современных IPS- систем. По оценкам экспертов, именно проникновение через веб-приложения в последнее время становятся основным вектором атак на корпоративные сети, причем традиционные системы безопасности, такие как файрвол и антивирусная система, никак не предотвращали подобные атаки.
Для надежной защиты необходим кардинально иной подход: с глубоким анализом содержания пакетов и хорошим знанием структуры веб-приложений, включая URL-параметры, cookie, формы ввода данных и др. Таким условиям удовлетворяет Web Application Firewall — брандмауэр для приложений, осуществляющих передачу данных через HTTP и HTTPS.
WAF на страже интернет-приложений
Стоит акцентировать, что WAF — это узкоспециализированная система, которая анализирует
только протоколы HTTP/HTTPS. С другой стороны, число способов обмена данными поверх протокола HTTP настолько велико, что обработать их способно только действительно специализированное средство. Кроме того, многие файрволы для веб-приложений поддерживают работу с SSL-трафиком. Кстати, именно возможность проверки зашифрованного трафика является одним из важнейших отличий WAF от обычных межсетевых экранов и IPS, утверждают аналитики Gartner.
Для обнаружения атак WAF применяет как сигнатурный, так и поведенческий подходы. Второй метод также очень важен, поскольку для атак на веб-приложения киберпреступники могут применять уязвимости нулевого дня (zero-day), что сводит к нулю эффективность сигнатурного анализа. В то же время WAF способен определять модель нормального функционирования приложения на основе анализа сетевого трафика и системных журналов и ее базе детектировать отклонения в поведение программной системы. В частности, WAF может выявлять атаки с использованием автоматических средств.
Классический файрвол генерирует огромные объемы ложных срабатываний на всяческие подозрительные события. Чтобы детектировать уровень угрозы, в этих уведомлениях надо разбираться вручную. В то же время WAF способен анализировать тысячи событий и строить цепочку развития атаки — от первого этапа до последнего.
Кто под прицелом?
По данным ежегодного исследования корпоративных рисков «Барометр рисков Allianz 2016», которое было составлено на основе опроса более 820 риск-менеджеров и страховых экспертов из 44 стран, впервые в ТОП-3 корпоративных рисков вошли киберпреступления. Они же указываются как наиболее значительный риск для предприятий в долгосрочной перспективе следующих 10 лет. Согласно прогнозам исследовательской компании Cybersecurity Ventures, к 2021 году ущерб от кибермошенничества увеличится вдвое по сравнению с 2015 годом и достигнет $6 трлн.
Основной целью киберпреступников традиционно являются различные финансовые организации, в первую очередь — банки, а также площадки электронной коммерции. При этом, согласно данным отчета Trend Micro Incorporated за первое полугодие 2016 года, одной из наиболее значимых угроз в финансовой отрасли по-прежнему остаются банковские трояны. Украденная троянами информация используется правонарушителями для проведения мошеннических транзакций или продается на подпольных сайтах. Более того, в результате подобных вредоносных действий финансовые организации вынуждены нести расходы на компенсацию убытков, которые понесли их клиенты в результате кибератак.
Очень часто основной точкой взлома организации становится именно веб-приложение. Угроза взлома веб-приложений остаётся одной из самых серьёзных проблем для веб-ресурсов любой направленности. Почувствовать себя хакером сегодня может даже человек, слабо подготовленный технически – методы взлома и необходимые инструменты доступны в открытом виде и легко могут быть найдены с помощью обычных поисковиков.
Какой продукт выбрать?
Несмотря на то, что решения Web Application Firewall в мире уже успели набрать достаточную популярность, и такие компании как Amazon предоставляют защищенные сервисы на базе продуктов данного класса, на рынке Украины для многих использование WAF еще в новинку. Сильными игроками на рынке являются Fortinet с решением FortiWeb и Imperva с SecureSphere Web Application Firewall.
Межсетевые экраны для веб-приложений FortiWeb от Fortinet ориентированы на использование в компаниях среднего и крупного бизнеса, а также сервис-провайдеров. В продукте применяется система двусторонней защиты от внедрения кода (SQL injection) и межсайтового скриптинга (cross-site scripting) и сходных угроз, благодаря чему FortiWeb позволяет предотвратить кражу персональных данных, финансовые махинации и промышленный шпионаж. FortiWeb предоставляет инструменты, необходимые для мониторинга и приведения корпоративной политики безопасности в соответствие с требованиями регуляторов. Кроме того, продукт существенно ускоряет работу веб-приложений за счет балансировки нагрузки на сеть и оптимизации использования сетевых ресурсов.
Важным преимуществом FortiWeb является его стоимость, которая не зависит от количества пользователей. Компаниям достаточно купить один раз устройство с небольшим запасом по мощности и далее не придется тратиться на закупку оборудования при увеличении количества сотрудников.
Также среди достоинств FortiWeb необходимо отметить тот факт, что в своих аппаратных и программных решениях компания Fortinet использует собственные технологии. Так, для ускорения обработки и шифрования данных применяются специализированные процессоры FortiASIC. Кроме того, разработана своя операционная система FortiOS, оптимизированная под задачи безопасности.
Fortinet качественно сопровождает свою продукцию, постоянно выполняя работы по выявлению новых угроз в собственном аналитическом центре FortiGuard Security Center. В результате обновления сигнатур, черных списков сайтов и баз репутаций происходит несколько раз в день.
Важно также надо отметить тесную интеграция всех устройств Fortinet за счет полной совместимости друг с другом, что позволяют быстро и просто масштабировать систему. Существенным преимуществом систем защиты на базе Fortinet является высокая степень автоматизации операций и простота их сопровождения. Это позволяет сократить число ошибок, вызванных человеческим фактором и уменьшить число сотрудников обслуживающего персонала.
Imperva SecureSphere Web Application Firewall – один из лидеров в области отражения атак на веб-приложения. Решения от Imperva обеспечивают надежную защиту за счет одновременного применения нескольких технологий в сфере ИБ: сигнатурный анализ, проверка протоколов на аномалии, отслеживание сессий, динамическое профилирование.
Семейство продуктов Secure-Sphere WAF успешно противодействуют как всем атакам из OWASP-TOP10, так и другим менее известным, но более изощренным атакам. Устройства обладают возможностями по инспектированию зашифрованных данных, пересылаемых по протоколу SSL (HTTPS).
Решение состоит из следующих модулей:
• SecureSphere Web Application Firewall – защита веб-приложений от кибератак;
• ThreatRadar – репутационная база данных.
Secure-Sphere WAF способен глубоко анализировать логику работы легального веб-приложения, выполнять интеллектуальное исследование попыток проникновения и атак; противодействовать HTTP-атакам, включая атаки на переполнение буфера, действия зловредных программ и злоумышленников. Решение оснащено механизмом защиты от червей и других вредоносных атак на веб-серверы и приложения, основу которого составляют механизмы на основе сигнатур популярной системы Snort и собственных SQL-сигнатур, разрабатываемых исследовательским центром ADC (Application Defense Center) компании Imperva. Встроенный межсетевой экран осуществляет надежную защиту от неавторизованных пользовательских запросов и атак на сетевом уровне.
Предустановленные в системе отчеты полностью удовлетворяют требованиям стандартов информационной безопасности. Возможно создание пользовательских отчетов (в том числе по расписанию) и экспорт в различные форматы. Дополнительные облачные сервисы позволяют упростить безопасность и справится с DDoS-атаками.
Важное преимущество устройств SecureSphere WAF: наличие уникального сервиса ThreatRadar, обеспечивающего защиту от автоматизированных атак. Благодаря быстрому получению достоверной информации об источниках атак, ThreatRadar позволяет немедленно блокировать трафик, идущий от подозрительных источников, еще до момента осуществления какого-либо разрушительного действия. Решения Imperva отличаются прозрачной поддержкой и простым развертыванием.
Web Penetration Test
Важный организационный момент при построении системы защиты веб-приложений – тест на проникновение, то есть, Penetration test. Именно он станет оптимальным способом проверки защищенности информационной системы посредством имитации направленных атак. Penetration test дает возможность оценить защищенность информационной системы от несанкционированного воздействия, используя различные модели вторжений.
Тест на проникновение для веб-приложений фокусируется только на оценке уровня защиты веб-приложений. Процесс состоит из активного анализа приложений и поиска в них уязвимостей, технических ошибок или других проблем. Информация обо всех слабых местах отображается в итоговом отчете.
