25 Oct 2016

Захист веб-додатків: чому це важливо?

Число компаній, які застосовують веб-технології для підвищення продуктивності роботи і залучення нових клієнтів, зростає з кожним роком. Безсумнівно, інтернет-сервіси несуть з собою безліч переваг, але є й зворотна сторона медалі – з ростом числа додатків збільшується і кількість кіберзагроз. Так, компанія Symantec в своєму звіті Global Internet Security Threat Report (ISTR) вказує, що кіберзлочинці при зломі веб-сайтів зазвичай використовують вразливості веб-додатків, що працюють на сервері, або експлуатують деякі вразливості операційної системи, на якій працюють ці додатки. Наприклад, за допомогою атак типу XSS хакер може перенаправити запити користувачів на шкідливі веб-сторінки, а за допомогою SQL-ін’єкцій – витягувати з баз даних сайту різну конфіденційну інформацію. У відповідь на масові зломи систем безпеки був створений консорціум OWASP – Open Web Application Security Project, це відкритий проект забезпечення безпеки веб-додатків. Однак і зловмисники, і фахівці в області кібербезпеки продовжують знаходити вразливості в веб-додатках, які можуть привести до серйозних втрат з боку бізнесу. Основною причиною більшості взломів в веб-додатках є написаний розробниками програмний код. Розробники можуть допускати помилки при написанні коду або не усвідомлювати всю важливість використання прийомів безпечного програмування – все це призводить до появи вразливостей в додатках.

Безсумнівно, захист веб-інфраструктури потрібний для будь-якої компанії. Однак з безлічі категорій захисних рішень – Firewall, IPS / IDS, NGFW (Next Generation Firewall), WAF (Web-Application Firewall) тільки Web Application Firewall здатні забезпечити комплексний захист веб-додатків від відомих і невідомих загроз, а також забезпечити відповідність вимогам регуляторів , наприклад, PCI DSS. Ні класичний Firewall, ні IPS / IDS не зможуть забезпечити адекватного захисту веб-додатків.

Еволюція брандмауерів

За своєї суті файрволи (також застосовується термін і міжмережевий брандмауер екран) – це мережевий фільтр (між внутрішньої корпоративної) і зовнішньою мережею (тобто, Інтернет-середовищем). Перші брандмауери були здатні лише блокувати підозрілі мережеві пакети на мережевому і канальному рівнях виходячи з IP-адреси джерела і призначення, міток фрагментації і номери портів.

Більш сучасні системи – такі як IPS / IDS (система запобігання вторгнень / система виявлення вторгнень) – здатні аналізувати вміст мережевих пакетів і порівнювати його з сигнатурами відомих атак. Крім того, ці системи виявляють і блокують відхилення в протоколах прикладного рівня. Однак сьогодні понад 80% атак експлуатують уразливості додатків, а не мережевий архітектури. Тому вищеописана система захисту виявляється малоефективною проти сучасних кіберзагроз. До того ж, сьогодні існує величезна кількість веб-додатків (кожне з яких потенційно може мати які-небудь уразливими), тобто, загальне число вразливостей набагато більше, ніж кількість сигнатур в базах сучасних IPS – систем. За оцінками експертів, саме проникнення через веб-додатки останнім часом стають основним вектором атак на корпоративні мережі, причому традиційні системи безпеки, такі як файрвол і антивірусна система, неможливо запобігали подібні атаки. Для надійного захисту необхідний кардинально інший підхід: з глибоким аналізом змісту пакетів і хорошим знанням структури веб-додатків, включаючи URL-параметри, печиво, форми введення даних і ін. Таким умовам задовольняє Web Firewall Application – брандмауер для додатків, які здійснюють передачу даних через HTTP і HTTPS.

WAF на сторожі інтернет-додатків

wafВарто акцентувати, що WAF – це вузькоспеціалізована система, яка аналізує тільки протоколи HTTP / HTTPS. З іншого боку, число способів обміну даними поверх протоколу HTTP настільки велике, що обробити їх здатне тільки дійсно спеціалізоване засіб. Крім того, багато файрволи для веб-додатків підтримують роботу з SSL-трафіком. До речі, саме можливість перевірки зашифрованого трафіку є одним з найважливіших відмінностей WAF від звичайних міжмережевих екранів і IPS, стверджують аналітики Gartner. Для виявлення атак WAF застосовує як сигнатурний, так і поведінковий підходи. Другий метод також дуже важливий, оскільки для атак на веб-додатки кіберзлочинці можуть застосовувати уразливості нульового дня (нульовий день), що зводить до нуля ефективність сигнатурного аналізу. У той же час WAF здатний визначати модель нормального функціонування програми на основі аналізу мережевого трафіку і системних журналів і її базі детектувати відхилення в поведінку програмної системи. Зокрема, WAF може виявляти атаки з використанням автоматичних засобів. Класичний файрвол генерує величезні обсяги помилкових спрацьовувань на всілякі підозрілі події. Щоб детектувати рівень загрози, в цих повідомленнях треба розбиратися вручну. У той же час WAF здатний аналізувати тисячі подій і будувати ланцюг розвитку атаки – від першого етапу до останнього.

Хто під прицілом?

За даними щорічного дослідження корпоративних ризиків «Барометр рисков Allianz 2016», яке було складено на основі опитування більш  ніж 820  ризик-менеджерів і страхових екпертів з 44 країн, вперше в ТОП-3 корпоративних ризиків увійшли кіберзлочини. Вони ж вказуються як найбільш значний ризик для підприємств в довгостроковій перспективі наступних 10 років. Згідно з прогнозами дослідницької компанії Cybersecurity Ventures, до 2021 року збиток від кібершахрайства збільшиться вдвічі у порівнянні з 2015 роком і досягне $ 6 трлн. Основною метою кіберзлочинців традиційно є різні фінансові організації, в першу чергу – банки, а також майданчики електронної комерції. При цьому, згідно з даними звіту Trend Micro Incorporated за перше півріччя 2016 року, однією з найбільш значущих загроз у фінансовій галузі як і раніше залишаються банківські трояни. Вкрадена троянами інформація використовується правопорушниками для проведення шахрайських транзакцій або продається на підпільних сайтах. Більш того, в результаті подібних шкідливих дій фінансові організації змушені нести витрати на компенсацію збитків, які понесли їх клієнти в результаті кібератак. Дуже часто основною точкою злому організації стає саме веб-додаток. Загроза злому веб-додатків залишається однією з найсерйозніших проблем для веб-ресурсів будь-якої спрямованості. Відчути себе хакером сьогодні може навіть людина, слабо підготовлений технічно – методи злому і необхідні інструменти доступні у відкритому вигляді і легко можуть бути знайдені за допомогою звичайних пошуковиків.

Який продукт вибрати?

Незважаючи на те, що рішення Web Application Firewall в світі вже встигли набрати достатню популярність, і такі компанії як Amazon надають захищені сервіси на базі продуктів даного класу, на ринку України для багатьох використання WAF ще в новинку. Сильними гравцями на ринку є Fortinet з рішенням FortiWeb і Imperva з SecureSphere Web Firewall Application.

Міжмережеві екрани для веб-додатків FortiWeb від Fortinet орієнтовані на використання в компаніях середнього і великого бізнесу, а також сервіс-провайдерів. У продукті застосовується система двосторонньої захисту від впровадження коду (SQL-ін’єкції) і міжсайтового скриптинга (Cross-Site Scripting) і східних загроз, завдяки чому FortiWeb дозволяє запобігти крадіжці персональних даних, фінансові махінації та промислове шпигунство. FortiWeb надає інструменти, необхідні для моніторингу і приведення корпоративної політики безпеки у відповідність до вимог регуляторів. Крім того, продукт істотно прискорює роботу веб-додатків за рахунок балансування навантаження на мережу і оптимізації використання мережевих ресурсів. Важливою перевагою FortiWeb є його вартість, яка не залежить від кількості користувачів. Компаніям досить купити один раз пристрій з невеликим запасом по потужності і далі не доведеться витрачатися на закупівлю обладнання при збільшенні кількості співробітників. Також серед переваг FortiWeb необхідно відзначити той факт, що в своїх апаратних і програмних рішеннях компанія Fortinet використовує власні технології. Так, для прискорення обробки і шифрування даних застосовуються спеціалізовані процесори FortiASIC. Крім того, розроблена своя операційна система FortiOS, оптимізована під завдання безпеки. Fortinet якісно супроводжує свою продукцію, постійно виконуючи роботи по виявленню нових загроз у власному центрі FortiGuard аналітичному Центр безпеки. В результаті оновлення сигнатур, чорних списків сайтів і баз репутацій відбувається кілька разів на день. Важливо також треба відзначити тісний інтеграція всіх пристроїв Fortinet за рахунок повної сумісності між собою, що дозволяють швидко і просто масштабувати систему. Істотною перевагою систем захисту на базі Fortinet є високий ступінь автоматизації операцій і простота їх супроводу. Це дозволяє скоротити число помилок, викликаних людським фактором і зменшити число співробітників обслуговуючого персоналу.

vafImperva SecureSphere Web Firewall Application – один з лідерів в області відображення атак на веб-додатки. Рішення від Imperva забезпечують надійний захист за рахунок одночасного застосування декількох технологій в сфері ІБ: сигнатурний аналіз, перевірка протоколів на аномалії, відстеження сесій, динамічне профілювання. Сімейство Secure-Продуктів Sphere WAF протидіють як Успішно всім з OWASP атакам-TOP10, так і іншим менш відомим, але більш витонченим атакам. Пристрої мають можливості по інспектування зашифрованих даних, що пересилаються по протоколу SSL (HTTPS). Рішення складається з наступних модулів: • SecureSphere Web Firewall Application – захист веб-додатків від кібератак; • ThreatRadar – репутаційна база даних.

Secure-Sphere WAF здатний глибоко аналізувати логіку роботи легального веб-додатки, виконувати інтелектуальне дослідження спроб проникнення і атак; HTTP-протидіяти атакам, включаючи атаки на переповнення буфера, дії шкідливих програм і зловмисників. Рішення оснащено механізмом захисту від черв’яків і інших шкідливих атак на веб-сервери і додатки, основу якого складають механізми на основі сигнатур популярної системи Snort і власних SQL-сигнатур, що розробляються дослідним центром ADC (Application Defense Center) компанії Imperva. Вбудований міжмережевий екран здійснює надійний захист від неавторизованих призначених для користувача запитів і атак на мережевому рівні. Попередньо в системі звіти повністю задовольняють вимогам стандартів інформаційної безпеки. Можливе створення призначених для користувача звітів (в тому числі за розкладом) та експорт в різні формати. Додаткові хмарні сервіси дозволяють спростити безпеку і впорається з DDoS-атаками. Важлива перевага пристроїв SecureSphere WAF: наявність унікального сервісу ThreatRadar, що забезпечує захист від автоматизованих атак. Завдяки швидкому отриманню достовірної інформації про джерела атак, ThreatRadar дозволяє негайно блокувати трафік, що йде від підозрілих джерел, ще до моменту здійснення будь-якого руйнівної дії. Рішення Imperva відрізняються прозорою підтримкою і простим розгортанням.

Веб-Проникнення Test

Важливий організаційний момент при побудові системи захисту веб-додатків – тест на проникнення, тобто, тест на проникнення. Саме він стане оптимальним способом перевірки захищеності інформаційної системи за допомогою імітації спрямованих атак. Тест на проникнення дає можливість оцінити захищеність інформаційної системи від несанкціонованого впливу, використовуючи різні моделі вторгнень. Тест на проникнення для веб-додатків фокусує свою увагу виключно на оцінці рівня захисту веб-додатків. Процес складається з активного аналізу додатків і пошуку в них вразливостей, технічних помилок або інших проблем. Інформацію про всі слабкі місця відображається в підсумковому звіті.


Опубликовано © Itbiz