Защита веб-приложений

В наше время, когда все больше пользователей переходят в онлайн-режим, защита веб-приложений становится одним из самых важных и сложных вопросов в области информационной безопасности. Уже невозможно назвать ни одной структуры или компании где нет какого-либо веб-приложения.

За последние годы активно началось развиваться направление облачных решений, не требующих от заказчика приобретения собственных производственных мощностей и содержания своих специалистов. Использование веб-сервисов и облачных решений позволяет хранить огромные массивы данных, а также иметь быстрый и легкий доступ к ним. Такая популярность означает повышенное внимание со стороны киберпреступников. Многие организации хранят конфиденциальную информацию в облаке, такую как данные клиентов, финансовые отчеты, патенты и т.д. Это делает их особенно уязвимыми для кибератак и утечек данных. Кроме того, облачные решения зачастую предоставляют доступ к веб-приложениям через интернет, что может повысить вероятность взлома или атаки. Из примеров крупнейших атак на веб-сервисы можно привести случаи утечки данных более 25 миллионов пользователей почтового сервиса Mail.ru в 2020 году, а также кибератака на Одноклассники.ru в 2019, приведшей к утечке личных данных более 42 миллионов пользователей.

Подобный рост угроз безопасности веб-приложений привел к повышенному спросу на инструменты и услуги, которые могут защитить приложения от кибератак и утечек данных.

Уязвимые сферы

За последний год количество кибератак на веб-приложения значительно увеличилось. По данным аналитического отчета Positive Technologies за первый квартал 2022 года – доля атак на веб-ресурсы увеличилась до 22% от общего количества по сравнению с 13%, наблюдаемыми в IV квартале 2021 года.

Веб-приложения, которые наиболее подвержены кибератакам, относятся к секторам, которые работают с личной информацией и предоставляют важные услуги. В частности, это касается финансовых, медицинских, образовательных, правительственных и других подобных секторов. Такие приложения содержат большое количество ценной информации для киберпреступников, например, данные банковских счетов, личные медицинские записи, налоговые декларации, паспортные данные, данные кредитных карт и многое другое.

Кроме того, веб-приложения, которые предоставляют важные услуги, могут стать мишенью для кибератак в целях шантажа, вымогательства или вредоносного воздействия на общественные процессы. Например, кибератака на систему здравоохранения может привести к блокировке доступа к медицинской информации, что может привести к серьезным последствиям для пациентов.

В качестве примера можно привести мощную DDoS-атаку на портал “Госуслуги” в феврале прошлого года. Атакам подвергались не только портал и мобильное приложение, но и другие ресурсы системы жизнеобеспечения инфраструктуры электронного правительства. По данным Минцифры зафиксировано более 50 DDoS-атак мощностью более 1 Тбайт, а также ряд профессиональных целевых атак на портал Госуслуг.

Основные решения

В настоящее время существует множество различных средств защиты веб-приложений, таких как веб-файрволы (WAF), средства анализа уязвимостей, инструменты мониторинга безопасности, средства защиты от DDoS-атак, системы обнаружения вторжений и т.д. Многие из этих средств интенсивно развиваются и улучшают свои возможности для более эффективной защиты веб-приложений.

Ниже представлены самые распространенные средства и методы защиты веб-приложений:

• WAF. Веб-приложениям часто угрожают атаки в форме SQL-инъекций и кросс-сайт-скриптинга (XSS). Для предотвращения таких атак часто используют веб-брандмауэры (WAF). WAF является сложной системой, которая может фильтровать трафик, контролировать доступ и анализировать трафик в режиме реального времени. Он может блокировать запросы, содержащие подозрительные данные, например, запросы, содержащие SQL-код, скрипты или другие вредоносные данные.
• Anti-DDoS. Кибератаки типа DDoS могут отключить веб-приложение или снизить его производительность. Для защиты от таких атак используются anti-DDoS системы. Они могут обнаруживать и блокировать атаки DDoS, перенаправляя трафик на специальные серверы или фильтруя трафик до того, как он достигнет приложения.
• Защита от ботов. Боты могут использоваться для автоматического сканирования приложения, атак DDoS или для получения конфиденциальной информации. Для защиты от ботов используются различные инструменты, такие как CAPTCHA, системы распознавания рукописного ввода, анализ поведения пользователя и многие другие.
• Отслеживание уязвимостей. Инструменты для сканирования уязвимостей могут использоваться для обнаружения уязвимых мест в приложении, которые могут быть использованы киберпреступниками. Системы мониторинга безопасности также могут использоваться для отслеживания активности пользователей и обнаружения подозрительных действий.
• Пентест. Тестирование на проникновение поможет выявить потенциальные уязвимости, которые могут быть использованы злоумышленниками для атаки на приложение. Пентесты следует проводить регулярно, чтобы обеспечить надежность защиты.
• SAST, DAST, IAST. Использование решений для безопасной разработки, таких как SAST (статический анализ исходного кода), DAST (динамический анализ безопасности), и IAST (интерактивный анализ безопасности), также может быть полезным для обеспечения безопасности веб-приложений. Эти решения позволяют обнаруживать уязвимости на этапе разработки, что может существенно сократить затраты на их исправление.

Кроме того, необходимо убедиться, что приложение всегда обновляется до последней версии и использует последние обновления безопасности, чтобы снизить риск атак на уязвимости, которые уже были исправлены разработчиками.

Наконец, важно проводить регулярные обучения и тренинги для сотрудников, чтобы повысить осведомленность и общее понимание о безопасности веб-приложений. Кроме того, следует убедиться, что сотрудники понимают процедуры реагирования на инциденты, чтобы в случае атаки на приложение можно было быстро и эффективно реагировать.

Стоит также учесть, что существует два вида распространения программного обеспечения для защиты веб-приложений: Cloud-based и On-Premise software.

Cloud-based (облачное решение) — решение, при котором компания-клиент арендует сервер у другой компании, у которой имеется большие серверные мощности и готовый софт. Клиент может легко масштабировать мощности и не нуждается в каких-либо специальных знаниях и ИТ-инженерах для обслуживания.

On-Premise software (серверное решение) — решение, при котором компания покупает сервер и контролирует его сама. Это означает, что компания отвечает за технологии безопасности, насколько регулярно обслуживается, обновляется и стабильно работает оборудование. Кроме того, при внедрении нового программного обеспечения компания должна обеспечить наличие мощных локальных серверов, к которым нельзя получить доступ извне.

Оба вида моделей распространения ПО имеют свои преимущества и недостатки. Облачные решения обычно требуют меньше начальных затрат и не требуют специальных знаний и ИТ-инженеров для обслуживания, так как сервера находятся у провайдера облачных услуг. Кроме того, облачные решения легко масштабируются и могут быстро реагировать на изменение потребностей клиента. Использование облачных решений также имеет свои недостатки. Компания-клиент не контролирует физические серверы и данные, которые хранятся на этих серверах. Также клиент не может полностью контролировать системы безопасности, так как провайдер облачных услуг может использовать свои собственные методы и инструменты безопасности.

Серверные решения On-Premise предоставляют компаниям полный контроль над серверами и данными. Это означает, что компания-клиент отвечает за технологии безопасности, регулярное обслуживание и обновление оборудования. Клиент также может полностью настроить систему безопасности в соответствии с требованиями и потребностями. Кроме того, серверные решения обычно предлагают больше гибкости в планировании и развертывании. Однако, использование серверных решений требует больших начальных затрат и специальных знаний и ИТ-инженеров для управления оборудованием и системой безопасности. Также решения On-Premise не могут быть масштабированы так легко, как облачные, и они могут быть более подвержены отказам из-за физических проблем с оборудованием.

Отечественные решения

Сегодня использование зарубежных средств для защиты веб-приложений не является наиболее рациональным решением, в связи с возможными ограничениями в использовании таких средств, вызванными санкциями и другими политическими рисками. Вдобавок, следует учитывать риски и потенциальные проблемы, связанные с конфиденциальностью данных, которые могут возникнуть при использовании зарубежных средств. Например, при работе с конфиденциальной информацией компания может столкнуться с проблемой хранения данных на серверах, которые расположены вне юрисдикции ее страны и не соответствуют законодательству и требованиям безопасности. В таких случаях может возникнуть необходимость в использовании отечественных средств защиты, которые обеспечивают не только эффективность защиты, но и соответствие требованиям законодательства и нормам безопасности.

На российском рынке существует несколько аналогов зарубежных средств для защиты веб-приложений:

• Positive Technologies Application Firewall (PT AF). Решение от компании Positive Technologies, предназначено для защиты веб-приложений от различных атак, включая DDoS, SQL-инъекции, сканирование и другие.
• ЦФТ Безопасность (Система защиты веб-приложений ЦФТ Безопасность). Средство защиты веб-приложений от различных угроз, включая DDoS-атаки, сканирование, SQL-инъекции и другие. Оно может использоваться как облачный сервис, так и устанавливаться на серверы заказчика.
• Крипто Про WAF. Это решение, также предназначено для защиты веб-приложений от различных видов атак, включая DDoS, XSS, SQL-инъекции и другие. Решение может быть установлено на сервера заказчика.
• SolidWall WAF. Точный инструмент нового поколения, позволяющий предотвращать широкий спектр угроз для веб-приложений в процессе их эксплуатации.SolidWall WAF сочетает различные механизмы защиты. Эффективные инструменты раннего подавления ложных срабатываний наряду с применением алгоритмов машинного обучения, дают возможность максимально быстро вводить WAF в эксплуатацию.
• Nemesida WAF. Комплексное средство для защиты интернет-магазинов, личных кабинетов, порталов, API и прочих веб-приложений от хакерских атак, в том числе от атак нулевого дня и распределенных атак методом перебора (brute-force) без повышения времени отклика веб-приложения.
• Континент WAF. Обеспечивает защиту веб-приложений за счет фильтрации трафика на прикладном уровне. За счет понимания контекста работы приложения, Континент WAF обеспечивает более высокую эффективность защиты веб-приложений по сравнению с традиционными средствами защиты ИТ-инфраструктурами – межсетевыми экранами и средствами обнаружения вторжений.

Как правильно выбрать СЗИ

При выборе поставщиков услуг/продуктов для защиты веб-приложений следует учитывать следующие критерии:

1. Функциональность: необходимо убедиться, что выбранное средство защиты обеспечивает все необходимые функции для защиты веб-приложения, включая обнаружение и блокирование атак, мониторинг и анализ трафика, и т.д.
2. Надежность: важно выбрать поставщика, который обеспечивает высокий уровень надежности и защиты от вредоносных атак.
3. Совместимость: для более эффективной защиты веб-приложений, важно убедиться в том, что выбранное средство защиты может интегрироваться с другими СЗИ, такими как SIEM, потоковый антивирус и другие.
4. Сложность развертывания и обучения: следует выбирать поставщика, который предлагает простую и понятную систему управления, а также обеспечивает достаточное количество обучающих материалов и поддержку для быстрого развертывания и настройки.
5. Модель защиты: стоит учитывать, что некоторые поставщики могут предлагать облачные решения, а другие – локальные. Облачные решения обычно более гибкие и легко масштабируемые, но могут быть менее безопасными, чем локальные.
6. Режимы работы: средство защиты может работать в различных режимах, таких как reverse proxy, sniffer и т.д. Некоторые режимы могут быть более подходящими для конкретных веб-приложений, в зависимости от их архитектуры и особенностей.

Выбор поставщика услуг/продуктов для защиты веб-приложений зависит от конкретных требований и характеристик веб-приложения, а также от бюджета и доступных ресурсов для развертывания и поддержки системы защиты.

При ориентировке по ценам стоит помнить, что на ценовую политику услуг и средств защиты могут влиять такие факторы как уровень сложности продукта, стоимость его разработки, функциональность продукта, уровень защиты, поддержка различных платформ, а также другие технические характеристики продукта. Более опытные и квалифицированные поставщики могут предложить более дорогие, но более эффективные решения. Помимо этого, имеют значение расходы на инфраструктуру: если решение облачное, то на цену влияют затраты на содержание инфраструктуры, включая аренду серверов, обслуживание баз данных, поддержку сетей и т.д. Цена также может зависеть от степени персонализации продукта, например, если поставщик предлагает настройку продукта под конкретные нужды и требования клиента. Это может повысить стоимость продукта, но также обеспечить более высокую степень эффективности защиты веб-приложений.

Заключение

Защита веб-приложений требует профессионального подхода, правильного выбора средств защиты и постоянной бдительности. При выборе оптимального средства необходимо учитывать специфику бизнеса и его потребностей в защите данных. Важно также обратить внимание на наличие возможностей интеграции с другими СЗИ, а также на механизмы обновления и поддержки средства защиты. Только с комплексным подходом к защите можно обеспечить надежную безопасность веб-приложений.

Автор: Михайлов Владислав, Начальник отдела внедрения “Астрал.Безопасность”.

Актуальные вакансии по ИБ: https://cisoclub.ru/vacancy/. Отправить резюме во все популярные IT-компании: https://cisoclub.ru/jobmail/

Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.