В последние полгода российские компании вынужденно пересматривали бюджеты и корректировали программу эксплуатации решений для обеспечения информационной безопасности. Но неизменным осталось одно — вопрос по-прежнему является приоритетным для множества организаций из-за роста взломов и утечек данных. Рассмотрим, как противостоять наиболее популярным угрозам и управлять уязвимостями веб-приложений.
Зачем нужна защита веб-приложений
Веб-приложения — неотъемлемая часть рабочего процесса большинства компаний. АБС-системы банков, CRM, «1C» и другие программы, которыми ежедневно пользуются сотрудники, аккумулируют в себе огромное количество данных, обладающих коммерческой ценностью (речь про информацию, которую пользователи оставляют на сайтах и в приложениях или менеджеры собирают самостоятельно). Поэтому обеспечение безопасности веб-приложений — одна из ключевых задач для минимизации репутационных и финансовых рисков бизнеса.
Например, хакеры могут заполучить лиды из CRM-системы и перепродать их конкурентам. Также злоумышленники могут скачать клиентскую базу (как это было относительно недавно с «Яндекс.Едой»), а потом выложить в открытый доступ или предлагать ее на черном рынке. Обе ситуации подрывают доверие к компаниям, а также могут повлечь ответственность в виде штрафных санкций регуляторов.
Злоумышленники могут получить доступ к данным извне (при попытке взлома) или изнутри (при наличии пользовательского доступа к ИТ-инфраструктуре). Компании с огромными массивами данных регулярно подвергаются двум основным типам информационных угроз:
- нарушение конфиденциальности, или «слив» данных;
- нарушение доступности информации для легитимных пользователей, ее удаление или модификация.
Масштабы утечек впечатляют. Аналитики InfoWatch зарегистрировали в прошлом году свыше 330 таких случаев, которые произошли в коммерческих и государственных организациях в России. Общий объем утекших данных — 80,5 млн. записей, каждая из которых — это информация об одном пользователе. И это только зарегистрированные случаи. Вероятно, на самом деле их намного больше. Поэтому так остро для компаний стоит вопрос обеспечения информационной безопасности.
Как обеспечить безопасность веб-приложений
Обеспечение безопасности — непрерывный процесс. Компания должна чётко понимать поверхность атаки и возможности для её сокращения, а также регулярно мониторить веб-приложение на предмет возможных уязвимостей. Также бизнесу следует следить за обновлениями (патчинг). Уязвимости — это, в том числе, результат недоработки вендора, плохо защищенного протокола или недостаточно хорошо спроектированной архитектуры веб-приложения. Поэтому, выбирая ИТ-решение, нужно проверять, выпускает ли обновления разработчик ПО, и как часто он это делает. Эти меры помогут компании обеспечить минимальный уровень безопасности.
Сократить поверхности атаки и защитить сетевой периметр можно с помощью специализированных инструментов. Среди них межсетевые экраны нового поколения, брандмауэры, файерволы (AppFW), системы фильтрации веб-трафика, сервисы блокировки DDoS- и веб-атак. Если мы говорим о бизнес-приложениях, которые собирают и обрабатывают коммерческие персональные данные, то для их хранилищ нужен дополнительный Database Firewall, чтобы добиться защищенности на всех трех уровнях:
- презентационный — то, что видит пользователь на экране (кнопки, поля для заполнения и прочее);
- само приложение — его логика, опции и порядок их взаимодействия с пользователем;
- база данных.
Защита веб-приложения на всех трех уровнях позволяет исключить вероятность наиболее распространенных атак, таких как SQL-инъекция, перебор паролей (брутфорс), инъекция кода, межсайтовый скриптинг. Эти и другие инструменты сокращают поверхность атаки и увеличивают стоимость несанкционированных попыток кражи и повреждения конфиденциальной информации. Чем больше таких средств защиты использует бизнес, тем выше вероятность, что злоумышленники не будут испытывать интерес к его веб-приложениям — они больше потеряют, чем заработают.
О дополнительной защите данных стоит позаботиться компаниям, чьи сотрудники работают на удаленке. Поскольку массивы корпоративной информации фактически «переехали» на персональные компьютеры, бизнес получил дополнительные риски и уязвимости: взломать домашнюю сеть или ноутбук достаточно легко. Решить проблему могут комплексные решения, многие из которых сейчас работают с использованием облачных технологий, а значит, к ним легко подключиться и настроить для всех пользователей вне зависимости от их месторасположения. Обслуживание таких сервисов происходит удаленно, антивирусные базы автоматически обновляются в фоновом режиме, не влияя на работоспособность сети. Более того, подобное облачное решение поможет сэкономить бюджет на обеспечение информационной безопасности, поскольку всю ответственность за сохранность и конфиденциальность данных берет на себя провайдер.
И последнее, на что обязательно стоит обратить внимание, — контроль за тем, как приложение передает трафик между внутренними компонентами инфраструктуры, например, серверами компании. Такие точки интеграции — одни из наиболее уязвимый мест. Стоит заранее позаботиться о мониторинге — тогда будет понятно, как именно работает в нормальном режиме сайт, что может являться девиацией и на какие нестандартные вещи следует обращать внимание. Как пример: сайт работает для внутреннего рынка страны, предполагается, что посетители сайта — жители одного региона, и, соответственно, трафик из других стран не ожидается. Благодаря процессу мониторинга видно, что идет очень много запросов со стороны других стран — значит, эти запросы мы можем просто не обрабатывать, снизить нагрузку на сайт и избежать возможных проблем.
Средства защиты, безусловно, обновляются и совершенствуются, но неизменными остаются принципы работы на трех уровнях веб-приложений. Некоторые классические подходы меняются из-за того, что злоумышленники фокусируются на современных приложениях. Например, проактивный мониторинг сложно организовать, если использовать только традиционные инструменты. Это может привести к замедлению скорости работы приложений за счет статического сканирования, росту расходов, снижению производительности и качества сервиса. Однако услуги и инструменты обеспечения информационной безопасности всегда будут востребованы, поскольку объемы персональных данных только растут, как и квалификация злоумышленников.
Павел Яшин, руководитель службы информационной безопасности iiii Tech (“Форайз”)
