Зростаюча популярність і складність архітектури веб-додатків може стати основним джерелом бізнес-ризиків, якщо власник ресурсу не подбає про якісної системи протидії хакерським атакам. За статистикою більше 80% випадків компрометації сайтів припадає на уразливості веб-додатків, що може виражатися як у блокуванні ресурсу, так і в доступі зловмисників до конфіденційної базі даних і фінансових транзакцій. Якісна захист веб-додатків – один з головних пунктів при формуванні результативної системи безпеки сайту, тому в цій статті ми розглянемо основні уразливості інтернет-ресурсів та ефективні рішення для боротьби з веб-атаками.

Сучасні web-додатки істотно відрізняються від стандартних інформаційних ресурсів завдяки різноманітності, акценту на взаємодію з користувачем і високого ступеня інтерактивності. При цьому до цих пір не існує єдиного еталонного стандарту в розробці ПЗ для веб-додатків, що може призвести до помилок при програмуванні і відкриття потенційних можливостей для проникнення шкідливих програм на сайт. Залишається сподіватися тільки на професіоналізм служб ІБ, своєчасне виявлення загроз та внесення латочок, часто вже скомпрометовану систему безпеки веб-додатки.

Ситуацію погіршує також той факт, що стали вже звичними ефективні засоби для захисту сайту (IPS і міжмережеві екрани нового покоління) не забезпечують належний рівень безпеки в контексті веб-технологій. Специфіка роботи додатків і передача трафіку через порти 443 (HTTPS) і 80 (HTTP) передбачає, що доступ до веб-ресурсу повинен бути необмежений, тому стандартна практика блокування трафіку на рівні порту не буде діяти у випадку з додатками.

Види атак і основні уразливості веб-додатків

Різноманітна архітектура, висока ступінь поширення та інтеграція web-додатків в мережеву інфраструктуру робить їх головною мішенню для хакерів. У своїй основі методи зловмисників залишилися практично незмінними і спрямовані на наступні уразливості:

  • SQL ін’єкції;
  • Межстайтовая підробка запитів;
  • Відсутність функції контролю доступу;
  • Міжсайтовий скриптінг;
  • Чутлива експозиція даних;
  • Автоматизований перебір паролів (brute-force атаки);
  • Межсайтовая підробка запитів;
  • Віддалений і локальний инклуд;
  • Неперевірений перехід і редирект.

Якщо на стадії розробки програми не були виявлені аномалії в роботі, то навіть низькокваліфікований хакер без використання спеціалізованих засобів може скомпрометувати систему безпеки мережі. Часто одного браузера достатньо для здійснення зловмисних цілей і злому web-додатки.

Комбінований аналіз на основі сигнатур і машинного навчання дозволяє «Nemesida WAF» забезпечувати цілодобову захист інтернет-магазинів, порталів, API та інших веб-додатків від хакерських атак, в тому числі від атак нульового дня.

Окремо варто сказати про так звані уразливість нульового дня. Вони специфічні для кожного окремого додатка і про їх існування стає відомо ще до моменту розробки захисних механізмів. Завдяки уразливість нульового дня зловмисники можуть протягом кількох місяців експлуатувати пролом у захисті програми, так як на виявлення, локалізацію та усунення проблеми службам інтернет безпеки доводиться витрачати забагато часу.

Із завданням результативного протидії 0day-погроз не зможе впоратися стандартний метод сигнатурного аналізу даних. Класичні системи захисту не в змозі виявити заздалегідь не сконфігуровані патерни і сигнатури, тому рекомендується віддати перевагу машинного навчання і проактивним технологій (аналіз поведінки, емуляція коду, евристичний аналіз), які працюють на запобігання зараження шкідливим ПЗ.

Міжмережевий екран для веб-додатків

Як можна здогадатися з назви, пристрої WAF (Web Application Firewall) розроблені для усунення вразливостей тільки в рамках веб-додатків. В цьому їх слабкість, але в тому числі і перевага, так як WAF рішення (віртуальні або апаратні) справляються з завданням усунення несправностей у веб-застосунках на порядок краще IPS і NGFW. З основними відмінностями міжмережевих екранів для веб-додатків від застарілих захисних систем ви можете ознайомитися на зображенні нижче.

Основные преимущества Web Application Firewall

WAF функціонує як проксі-сервер і, аналізуючи протоколи HTTP/HTTPS, пропускає тільки безпечні запити від користувачів. Виявлення аномалій в роботі додатків проводиться як за допомогою класичного сигнатурного аналізу з постійно оновлюваною бібліотекою шкідливих сигнатур, так і, що важливо, з допомогою машинного навчання. Інтелектуальна система виявлення атак працює в автоматизованому режимі і завдяки тонкій настройці під кожне окреме застосування може без участі програмістів випустити пакет виправлень для системи і захистити сайт навіть від атак нульового дня.

Установка Web Application Firewall – це ефективне рішення для протидії атакам хакерів на веб-додатки. Але не варто забувати, що при значній кількості переваг пристрою WAF являють собою робочий інструмент, результативність якого багато в чому залежить від якісного адміністрування і розробника.

Проаналізувавши кілька відомих рішень в російському сегменті WAF розробок, команда вирішила скористатися послугами Nemesida WAF від компанії Pentestit.

Чому вибрала Nemesida WAF

На власному прикладі випробувавши труднощі з захистом web-додатки, ми почали пошук відповідного WAF рішення за трьома критеріями:

  • Позитивна репутація;
  • Можливість «розвантажити» технічний персонал і передати частину повноважень з інтернет безпеки перевіреним фахівцям;
  • Адекватне ціноутворення.

Ми зупинили свій вибір на Nemesida WAF, що володіє всіма зазначеними у статті перевагами міжмережевих екранів веб-додатків і робить ставку не стільки на сигнатурний аналіз, скільки на машинне навчання. Модуль Nemesida AI втілив у собі елементи індуктивного навчання в реальному часі і дедуктивного, який заснований на перенесенні в базу даних програми знань експертів щодо захисту веб-технологій. Інтелектуальний підхід до системи безпеки дозволив значно знизити кількість помилкових спрацьовувань і виявити уразливість нульового дня, блокувати розподілені та інші види brute-force атак, а також виявити інші критичні загрози з OWASP Топ 10.

Найкраще ефективність роботи Nemesida WAF демонструє звіт з атак на за останній тиждень 2018 року. Тільки за 31 грудня WAF виявив 7006 шкідливих спроб проникнення на сайт, велика частина з яких здійснювалася за допомогою brute-force атак, XSS (міжсайтовий скриптинг) і SQLi ін’єкцій.

Nemesida WAF - лучшее решение для защиты сайтов и web-приложений

На основі результативного співробітництва з Nemesida WAF ми можемо рекомендувати російську розробку як оптимальний засіб для захисту веб-додатків. Також відзначимо, що Nemesida WAF доступна у вигляді інсталяційного дистрибутива або хмарного сервісу.

Джерело: http://webcom.dn.ua/

СТАТТІ ПО ТЕМІБІЛЬШЕ ВІД АВТОРА