Защита Web-приложений "по-взрослому"

image

На сегодняшний день можно уверенно говорить о том, что Web-технологии прочно вошли в жизнь любого бизнеса, являясь наиболее удобным способом предоставления информации: коммерческие и государственные структуры весьма активно предоставляют свои услуги, используя публичные и частные сети для всех видов пользователей. Преимущества такого подхода очевидны - улучшаются наиболее критичные показатели бизнес-процессов: производительность, оперативность, доступность, стоимость и т.п.

Но с ростом возможностей Web-приложений происходит и увеличение совокупной стоимости обрабатываемой в системе информации, а также возрастает вероятность эксплуатации уязвимостей в развивающемся функционале прикладного обеспечения. Последние исследования показывают, что Web-приложения наиболее подвержены атакам со стороны хакеров, являясь при этом как самой их целью, так и отправной точкой для целенаправленной атаки на всю сеть предприятия. Такое развитие событий драматически увеличивает риски информационной безопасности.

Решение есть

Есть два способа организации защиты Web-приложений. Первый - это устранение уязвимостей путем анализа исходного кода, а второй основывается на использовании наложенных средств защиты информации. В идеале оба подхода необходимо комбинировать, однако практика показывает, что в зависимости от специфики бизнеса предприятия и используемых приложений превалирует обычно один из методов.

В ходе исследования Positive Technologies выяснилось, что 59% киберинцидентов в крупных российских компаниях в 2013 г. было связано с приложениями, имеющими прямой выход в Интернет, и более чем в половине компаний (58%) инциденты привели к существенным проблемам, включая финансовые и репутационные потери.

В ходе исследования Positive Technologies выяснилось, что 59% киберинцидентов в крупных российских компаниях в 2013 г. было связано с приложениями, имеющими прямой выход в Интернет, и более чем в половине компаний (58%) инциденты привели к существенным проблемам, включая финансовые и репутационные потери.

Подход, использующий устранение уязвимостей путем анализа кода, является наиболее затратным. Для его реализации необходима поддержка со стороны большого круга экспертов, обладающих пониманием всей прикладной абстракции сетевого взаимодействия, включающей в себя логику и алгоритмы работы приложения, компоненты Web-технологий, программное обеспечение и операционную среду сервера. В некоторых случаях использование этого подхода сопряжено с рядом серьезных трудностей. Например, при нехватке ресурсов или использовании программного обеспечения с закрытым кодом, а также если Web-приложение было приобретено как готовый продукт и не является полностью самостоятельной разработкой. При этом предприятия с развитой Web-инфраструктурой, которые смогли организовать цикл безопасной разработки своих приложений с использованием анализа кода, сталкиваются с проблемой внесения корректирующих изменений в продуктивные системы в силу особенностей их работы. Такая ситуация является вполне штатной, если, например, корректирующие изменения слишком сложны или нет возможности остановки сервиса для внепланового обновления. Данная проблема решается с помощью наложенных средств защиты, правила безопасности которых могли бы запретить эксплуатирующие уязвимость запросы на время доработки приложения в штатном режиме.

Подход, базирующийся на использовании специальных наложенных сетевых средств защиты, наиболее целесообразен и фундаментален и подходит как организациям с отлаженными процессами поиска уязвимостей в своих сервисах, так и тем, кто этого не делает. В этом контексте наиболее оптимальное устройство – WAF (Web Application Firewall). В отличие от своих классовых конкурентов (таких как инспектирующие межсетевые экраны, межсетевые экраны следующего поколения, а также системы обнаружения и предотвращения вторжений) WAF разработан непосредственно для защиты именно Web-инфраструктур, с учетом всех нюансов, возникающих при обеспечении их защиты, что значительно повышает его эффективность. Это тот самый случай, когда меньшее является большим

Выбор WAF для компании

Любой процесс внедрения WAF начинается с выбора наиболее подходящего для компании продукта из всего спектра решений, представленных на рынке. И здесь следует отметить, что на данный момент общее число игроков рынка WAF’ов составляет десятки кампаний. Однако наибольшая доля этого сегмента остается за четверкой лидеров – компаниями Imperva, F5, Citrix и Barracuda.

К числу ключевых возможностей WAF относятся:

  • машинное обучение;
  • сигнатурная политика;
  • защита атрибутов доступа;
  • Virtual Patching;
  • агрегация нарушений политики безопасности в единый инцидент;
  • гибкость создания пользовательских правил обработки трафика.

Для того чтобы определить, какое решение максимально удовлетворяет требованиям конкретного предприятия, необходимо запустить процедуру оценки эффективности его показателей в условиях специфичной и зачастую индивидуальной Web-инфраструктуры. Показатели эффективности при этом можно разделить на три обширные последовательные категории:

  • эффективность решения в контексте существующей Web-инфраструктуры;
  • интегрированность в общий ландшафт информационной безопасности компании;
  • дальнейшие эксплуатация и поддержка продукта.

Первая группа показателей играет ключевую роль при выборе продукта. Для ее оценки необходимо провести аудит сетевого взаимодействия Web-инфраструктуры, по результатам которого формируются первые требования к выбираемому продукту. Можно считать, что продукт подходит для компании, если он:

  • имеет в своем наборе большое количество правил безопасности, ориентированных на используемые компоненты Web-платформы;
  • поддерживает (с точки зрения анализа) весь набор технологий, протоколов и кодировок Web-приложения;
  • имеет кластерный и ролевой функционал, учитывающий балансировку нагрузки и схемы отказоустойчивости;
  • не вносит серьезных задержек в работу Web-приложения и не является точкой отказа;
  • соответствует требованиям отраслевых стандартов и имеет сертификации зарубежных центров тестирования или российских уполномоченных ведомств.

Следующий шаг – оценка продукта в контексте общей концепции информационной безопасности предприятия. WAF – это современный и динамично развивающийся продукт, позиционирующийся как средство защиты с широкими возможностями по интеграции с другими сервисами и средствами защиты информации, такими как:

  • репутационные сервисы;
  • сервисы предотвращения мошенничества;
  • системы управления событиями безопасности;
  • системы предотвращения утечек;
  • сканеры уязвимостей.

Необходима грамотная оценка того, какие интеграционные возможности (из предложенных рынком WAF’ов) наиболее актуальны для компании с учетом дальнейшего пути развития ее ИБ. Не менее важный критерий (помимо возможностей для интеграции) с точки зрения ИБ предприятия – гибкость создания пользовательских правил безопасности или гибкость WAF как инструмента контроля обработки трафика, что, к слову, является одним из самых значительных показателей его эффективности.>

Последний этап в выборе продукта – это оценка аспектов сервисной поддержки после внедрения. WAF встраивается в схему предоставления доступа к Web-приложениям в качестве одного из элементов цепочки, поэтому его функционирование может нести в себе дополнительные угрозы для доступности приложений. В связи с этим важно оценить поставляемую поддержку: регулярность выхода исправлений и обновлений для ПО и ОС WAF, качество оказания технической поддержки, наличие обширной документации. Другая важная сервисная задача любого специального средства защиты информации – это корректировка политики безопасности средства и его системное администрирование. И в этом случае требуется проведение оценки уровня загруженности и квалифицированности собственных ресурсов, а также рассмотрение предложений поставщика WAF по обучению.

У задачи подбора подходящего продукта нет универсального решения: это всегда последовательный и экспертный подход в оценке рисков, уровня зрелости ИБ, существующих информационных и автоматизированных систем на предприятии в целом. После того, как продукт выбран, встает интеграционный вопрос: необходимо грамотно настроить специальное средство защиты, ведь без его тонкой, профессиональной настройки невозможно говорить о предоставляемой продуктом защите. Для проведения интеграции WAF требуются как общие сведения в виде знаний в сфере Web-разработки и опыта проектирования защищенных систем, так и специализированные, лучшие практики защиты Web-приложений, реальные методы обеспечения защищенности, данные, предоставленные специалистами по проникновению.


Статья была опубликована в печатном издании "Information Security".