2016/10/11 12:55:18

Как обеспечить безопасность
веб-приложений?

TADетали

Согласно отчету Verizon DBIR, большинство успешных взломов 2015 года связаны с уязвимостями веб-приложений. Какие решения позволяют защититься от интернет-вторжений, какими особенностями они обладают и что предлагают отечественные поставщики в этой сфере? Расскажем об этом в рубрике TADетали.

Для чего нужны межсетевые экраны уровня приложений (WAF, Web Application Firewall)?

Более 20 лет назад стало понятно, что системы IDS/IPS уже не подходят для защиты от вторжений через интернет. Благодаря многообразию и интерактивности веб-приложений появилось множество возможностей для незаметных и разрушительных кибератак. Большинство проникновений во внутренние корпоративные сети осуществляется через веб-приложения, невзирая на использование традиционных защитных средств. Поэтому на смену IDS/IPS и классическим межсетевым экранам пришли межсетевые экраны уровня приложений (Web Application Firewall), использующие ряд принципиально новых технологий.

В чём отличия WAF от IDS/IPS?

Первые специализированные средства для защиты веб-приложений имели два ключевых отличия от IDS/IPS. Они могли оперировать атрибутами протокола HTTP (метод, адрес, параметры) и выполнять преобразования данных перед анализом (urlencode, base64). Такие решения использовали сигнатурный подход и были ориентированы на защиту от атак на сервер (RCE, Path Traversal, SQL injection).

Второе поколение защитных экранов уровня приложений стало ответом на развитие стека технологий Web 2.0 (AJAX и пр.) и существенный рост числа критичных веб-приложений. Результатом взрывного роста количества и сложности веб-приложений стала практическая бесполезность классических сигнатурных подходов из-за существенного числа ложных срабатываний.Как зародилась масштабная коррупционная схема при внедрении ИТ в ПФР при участии «Техносерва» и «Редсис». Подробности 38.8 т

Для решения этой проблемы применялись методы динамичского профилирования. Оптимизация списков сигнатур осуществлялась посредством алгоритмов машинного обучения с учителем, однако подобное обучения требовало высокой квалификации экспертов.

Во втором поколении начали использовать также методы защиты от атак на пользователей (XSS и CSRF).

Какими особенностями обладают современные Web Application Firewall?

Злоумышленники все чаще использовали уязвимости нулевого дня, которые не отслеживались сигнатурными методами анализа. Для снижения числа ложных срабатываний и выявления аномалий требовалось создание модели нормального функционирования приложения. Полностью автоматические методы также давали сбои из-за отсутствия «белого» трафика, который недоступен в процессе реальной эксплуатации приложения. А реальный (серый) трафик содержит не только легитимные запросы, поэтому большинство WAF не могут обучаться на нём.

Модели поведения пользователей, формируемые с помощью алгоритмов машинного обучения без учителя (Hidden Markov Models – скрытые модели Маркова), позволяют современным инструментам использовать для обучения «серый» трафик, защищая от атак нулевого дня и техник обхода. Такой подход реализован, например, в PT Application Firewall (PT AF) компании Positive Technologies. Но это далеко не все.

Крупные современные бизнес-приложения построены по принципу множественного клиент-серверного взаимодействия, интегрируя в рамках «единого окна» множество различных систем. В этом случае недостаточно обеспечить безопасность витрины приложения: серьезной проблемой становится и безопасность внутрисистемных связей. В сервисах межведомственного обмена, госуслуг, ДБО, АБС, АСУ ТП такая коммуникация часто реализована на базе XML или JSON. Современный WAF должен выявлять несанкционированные и вредоносные включения в XML-сообщениях, валидировать и профилировать SOA-вызовы.

Безопасность приложения можно значительно повысить ещё до того, как началась атака, если защитная система способна сама выявить и оценить уязвимости этого приложения. Однако традиционные межсетевые экраны на основе заданного набора сигнатур не обладают таким функционалом. Большой опыт тестов на проникновение и других исследований защищенности позволил экспертам Positive Technologies реализовать в PT Application Firewall сразу два эффективных механизма работы с уязвимостями: динамический сканнер для верификации успешности атак в режиме реального времени, а также автоматизированный виртуальный патчинг на основе эксплойтов, которые генерирует анализатор исходного кода приложений PT Application Inspector.

В системах WAF третьего поколения был сделан акцент на защиту от атак на бизнес-логику (фрод и DDoS прикладного уровня) и появился функционал отслеживания пользователей (User tracking), позволяющий независимо анализировать поток событий в рамках отдельной сессии пользователя.

Что такое WAF 3600?

Большинство WAF разрабатываются для защиты веб-приложений от внешних атак. Однако в современном мире распределенных инфраструктур важнейшее значение имеет комплексный подход.

Такие системы позволяют защищать пользователей и внутрисистемные коммуникации, а также сократить объем ручной работы ИБ-экспертов за счет интеллектуальных технологий анализа данных. Продукты класса WAF могут продлить SSDL-цикл, закрывая уязвимости, которые могут быть внесены средой эксплуатации — к примеру, после обновления веб-сервера. Поддержка систем оркестрации для управления большим количеством WAF (например, Cisco ACI) и универсальных API снижает трудозатраты на обслуживание дата-центров и облачных сервисов. Интеграция с системами антифрода для защиты от утечек и мошенничества на стороне пользователей позволяет государственным порталам или интернет-магазинам контролировать риски, возникающие на стороне их клиентов, без внесения изменений в код веб-приложений.

В случае с PT Application Firewall эти технологии безопасности позволяют учесть все «слабые звенья» современных информационных систем и сделать защиту приложений по-настоящему многосторонней.

В 2015 и 2016 годах международное аналитическое агентство Gartner назвало компанию Positive Technologies «визионером» в рейтинге Gartner Magic Quadrant for Web Application Firewalls за уникальные и передовые технологии защиты и реализацию сфокусированного на безопасности продуктового плана. С помощью межсетевого экрана PT AF обеспечивается безопасность веб-сервисов крупнейших банков и ведущих телекомов, розничных торговых сетей, предприятий нефтегазовой сферы и энергетики, медицинских учреждений и СМИ.

Текст подготовлен при поддержке Positive Technologies

81