Защищаемся от уязвимостей веб-приложений
Недавно мы рассказали о том, как обнаружить уязвимости в приложениях. Речь шла об обычных приложениях, с которыми как правило работают пользователи и взаимодействуют информационные системы. Но есть еще один класс приложений — веб-приложения, работающие на удаленных серверах и доступные пользователям через браузер. Увы, но и они полны уязвимостей, которые могут стать «калиткой», через которую злоумышленники смогут проникнуть в защищенный периметр организации.
Чем опасны веб-приложения
ИБ-специалисты считают, что уязвимости в веб-приложениях могут существовать, перед тем, как будут выявлены, в течение месяцев и даже лет. Более того, многие уязвимости в них и вовсе не исправляются никогда. И это становится серьезнейшей проблемой, ведь внести изменения в код компании-пользователи чаще всего просто не могут (если, конечно, веб-приложение не является собственной разработкой организации).
Веб-атаки стали у хакеров излюбленным инструментом взлома систем, и 72 % вторжений сегодня осуществляются через веб-уязвимости. И, стоит отметить, атаки становятся все более продуктивными — в 65 % случаев кибер-преступникам удается получить контроль над всеми данными предприятия-жертвы.
О том, как организовать защиту от уязвимостей веб-приложений мы сегодня и расскажем. А в качестве решений для этой задачи рассмотрим разработки компании Positive Technologies. Об этом российском вендоре мы уже писали, и не раз. Поэтому лишний раз напоминать о том, почему именно его продукты сегодня особенно актуальны, не станем.
Выявляем уязвимости
Итак, для начала уязвимость необходимо обнаружить. Для этого в продуктовом портфеле Positive Technologies имеется PT Application Inspector, специальный инструмент для выявления уязвимостей в приложениях.
Принцип работа PT Application Inspector прост. Решение автоматически анализирует код приложения с использованием трех подходов к проверке: статистического анализа (когда уязвимости в коде ищутся без его выполнения), динамического анализа (с выполнением кода) и анализа сторонних компонентов, то есть — использованного в приложении кода из опенсорсных библиотек.
Выявленные недокументированные возможности PT Application Inspector проверяет при помощи безопасных запросов-эксплойтов. Если они срабатывают, то информация об уязвимости передается разработчикам (если веб-приложение разрабатывается самой организацией) и/или в межсетевой экран, который будет эти уязвимости блокировать.
Сочетание различных принципов сканирования кода — важное преимущество решения. Проверка в трех «режимах» позволяет добиться максимальной точности при выявлении угроз и вовремя закрыть их либо в самом приложении, либо через трафик, который оно генерирует.
Для развертывания PT Application Inspector требуется отдельный сервер, физический или виртуальный. Управление сканером осуществляется через веб-интерфейс, в котором, кроме того, имеется дашборд, демонстрирующий работу решения и текущую статистику выявленных угроз.
Защищаемся от проникновений
Итак, уязвимость в веб-приложении выявлена. После этого информация о ней передается, как мы отмечали, разработчикам и еще одному решению, ответственному за защиту веб-приложений. Это — PT Application Firewall, межсетевой экран уровня веб-приложений.
Возможностей у PT Application Firewall множество. Решение позволяет выявлять сложные атаки, противодействовать работе вредоносных ботов, блокировать атаки «нулевого дня» (то есть те, которые еще не описаны и противодействие которым еще не отработано). PT Application Firewall защищает и сами приложения, и пользователей, которым через приложения угрожают хакеры.
Наконец, решение защищает и от DDoS-атак, которые как раз нацелены на веб-приложения и имеют целью остановить их работу за счет генерации массовых запросов.
Набор поддерживаемых PT Application Firewall приложений весьма широк даже «из коробки». Имеется и возможность тонкой настройки. И это делает решение РТ практически универсальным, способным защитить любое приложение, от оригинального до массового веб-сервиса.
Имеется три варианта внедрения PT Application Firewall. В первом предусмотрен анализ копии трафика, генерируемого приложением. Второй сценарий предполагает «перехват» трафика с его последующим анализом на лету. Наконец, PT Application Firewall может включаться в «разрыв» цепи обороны инфраструктуры, Управляет решением в этом случае сам вендор.
В результате использование PT Application Firewall дает компании сразу несколько новых ИБ-возможностей. Во-первых, применение решения обеспечивает непрерывность бизнес-процессов — ни не будут прерван из-за атаки. Одновременно PT Application Firewall минимизирует риски, связанные с утечкой информации. Наконец, разработка Positive Technologies помогает выполнять требования стандартов — а они стали еще более серьезными, чем раньше.
Мы не случайно привели в пример именно два решения от Positive Technologies. Наиболее эффективной защита от уязвимостей веб-приложений будет тогда, когда Application Inspector и Application Firewall будут применяться комплексно. В этом случае система безопасности информационного периметра будет и выявлять уязвимости в приложениях, и обеспечивать защиту от проникновения через них.
А для того, чтобы подобрать оптимальные сценарии использования этих приложений, стоит обратиться к профессионалам. В «Системном софте» готовы помочь и с выбором необходимых конфигураций решений, и с их развертыванием, и с тонкой настройкой решений:
+7 (495) 646-14-71 (в Москве), (800) 333-33-71 (бесплатно в регионах России) или info@syssoft.ru