Безопасность веб-приложений: время ставить большую красную кнопку

На самом деле эта тема актуальна с момента появления самых первых веб-приложений. Однако наибольшую популярность она приобрела лишь в последние годы. Это связано, во-первых, с взрывным ростом популярности самих веб-технологий, которые нашли свое применение не только в корпоративных сайтах и порталах, но и практически во всех сегментах современных ИТ и бизнеса. Я имею в виду столь широко распространенные сегодня системы оказания электронных госсуслуг, дистанционного банковского обслуживания, электронного документооборота, ERP, кадрового делопроизводства, веб-площадки для электронных торгов, биржи, интернет-магазины и многое другое. Секрет популярности веб-технологий в том, что они позволяют значительно упростить бизнес-процессы за счет унификации, кроссплатформенности и широких возможностей по интеграции. Веб – это быстро, дешево и удобно.

Однако наряду с очевидными преимуществами здесь таится и целый арсенал проблем, связанных с безопасностью, о которых вспоминают почему-то в последнюю очередь.

Также, как это ни парадоксально, повышенный интерес к уязвимостям веб-приложений связан с ростом уровня зрелости самих компаний в вопросах информационной безопасности: внедрение процессов управления уязвимостями и контроля соответствия стандартам значительно повысило степень защищенности ресурсов внешнего периметра и превратило веб-приложения в ключевую мишень для киберпреступников. Изыскивая новые возможности преодоления систем защиты, они вынуждены смещать вектор в сторону более дорогих в реализации методов атаки. Таких, к примеру, как поиск частных уязвимостей в веб-ресурсах, принадлежащих атакуемой компании. Этот тренд подтверждается и нашей собственной статистикой, которая говорит о том, что в 60% случаях преодоление защиты внешнего периметра в ходе наших тестов на проникновение было реализовано через эксплуатацию уязвимостей веб-приложений.

Надо сказать, что ежегодно в рамках самых различных работ эксперты исследовательского центра Positive Technologies изучают 250─300 веб-приложений. Количество выявленных уязвимостей и их разнообразие поражают воображение. Классический «джентельменский набор» из рейтинга уязвимостей веб-приложений OWASP TOP 10 ежегодно дополняют все новые и новые векторы атак и техники обхода защиты. Наиболее опасны, конечно же, уязвимости, которые не только позволяют получить доступ к чувствительным данным, но и скомпрометировать целиком веб-сервер. В этом случае злоумышленник имеет возможность реализовать дополнительные векторы атак, направленные на смежные узлы инфраструктуры. Кстати, в нашей практике был случай, когда тестирование веб-приложения одной из компаний (входящей, между прочим, в Fortune Top 100), выявило более 400 реальных уязвимостей, и это далеко не предел.

По итогам 2015 года среди абсолютных лидеров можно отметить уязвимости межсайтового выполнения сценариев (в результате таких атак злоумышленник может, например, получить доступ к личному кабинету пользователя и выполнять мошеннические операции), что обнаружено в 80% проанализированных нашими специалистами приложений. Или же разглашение чувствительной информации, риск которого присутствует в 50% приложений. А также атаки на включение внешних сущностей в XML, характерные для 40% изученных приложений. Последнее, кстати, позволяет реализовать широкий спектр угроз вплоть до получения полного контроля над атакуемым сервером. В общей сложности более 70% всех обследованных нами приложений содержали уязвимости высокой степени риска.

В обеспечении защиты веб-приложений есть множество компонентов, дополняющих друг друга. Это межсетевой экран, фильтрующий трафик и блокирующий атаки в режиме реального времени, технологии безопасной разработки, которые позволяют выявить уязвимости еще на этапе создания приложения, решения для обеспечения контроля соответствия политикам ИБ самого веб-сервера и операционной системы, средства обеспечения безопасности самой среды разработки и другие.

В настоящее время межсетевые экраны прикладного уровня (WAF, Web Application Firewall) де-факто являются признанными средствами защиты веб-приложений от компьютерных атак. Хотя еще несколько лет назад приходилось бороться со скепсисом и объяснять разницу между WAF, NGFW (Next-Generation Firewall) и IPS/IDS (Intrusion Prevention/Detection System – системами предотвращения и обнаружения вторжений). Сейчас подобного рода вопросы практически не возникают. Отдельно стоит отметить, что с 2016 г. ФСТЭК России выделил WAF в самостоятельный класс межсетевых экранов (тип Г), которые призваны обеспечить защиту на уровне веб-сервера и веб-приложения, и к которым предъявляются отдельные требования в рамках сертификации этого класса решений.

На самом деле, конечно же, лучше всего вообще не допускать наличия серьезных уязвимостей в разрабатываемых продуктах. Тогда не придется оперативно искать решение, которое позволит устранить уязвимость или принять компенсационные меры. Сейчас весьма широкое распространение получают практики безопасной разработки – SSDL (Secure Software Development Lifecycle). Этот подход позволяет не только повысить уровень безопасности, но и оптимизировать экономическую составляющую процесса выявления и исправления уязвимостей (ведь стоимость их устранения на этапе разработки в сотню раз дешевле, чем уже в готовом продукте).

Кстати, для выявления потенциальных уязвимостей могут использоваться несколько подходов. Первый – статический анализ (SAST, Static Application Security Testing), применяемый в отношении написанного программного кода. Второй – динамический анализ (Dynamic Application Security Testing), который предполагает испытание приложения в боевых условиях, когда отслеживается реакция программы на инъекцию ошибок – загрузку «испорченных» данных. И, наконец, подход, получивший название IAST (Interactive Application Security Testing), который призван объединить элементы и преимущества тестирования DAST и SAST.

Кроме того, многие упускают из вида вопросы, связанные с комплаенсом и управлением уязвимостями на уровне операционных систем, СУБД и серверов приложений, на которых, собственно, и работают веб-приложения. А при построении цикла безопасной разработки зачастую забывается о безопасности самой среды разработки, где присутствует полный спектр характерных для корпоративной среды проблем. Все это вкупе с регулярными проверками на стойкость и качество механизмов защиты (тестирование на проникновение, например), должно являться неотъемлемой частью стратегии безопасности приложений для любого руководителя службы ИБ.

Мы сфокусированы на том, чтобы создать экосистему безопасности приложений, которая позволяет выявлять уязвимости и предотвращать их эксплуатацию на всех этапах их жизненного цикла. Среди узкоспециализированных решений в первую очередь выделяются PT Application Inspector в стандартной и SSDL редакции. В основе PT Application Inspector SSDL лежит комплексный подход, сочетающий все преимущества статического, динамического и интерактивного анализа кода. Он позволяет разработчикам создавать безопасное ПО не будучи экспертами по безопасности, а службе ИБ наладить продуктивную работу, не будучи специалистами в программировании. И он подходит даже для экспресс-проверки стороннего или часто меняющегося кода. Также выделяется PT Application Firewall, обладающий набором дополнительных модулей. Таких, к примеру, как P-Code, позволяющий выполнять виртуальный патчинг, и M-Scan, обеспечивающий защиту от зловредного содержимого в загружаемых файлах. А совсем недавно в рамках сообщества Positive Development User Group (PDUG) мы выпустили бесплатную утилиту Approof, которая позволяет обнаружить уязвимости в библиотеках и фреймворках, проверить конфигурации приложений или обнаружить веб-шеллы и вредоносный код.

Все технологии, разрабатываемые Positive Technologies, появляются на стыке накопленной десятилетием экспертизы и практических вызовов, продиктованных современной реальностью ИБ. Хакеры не стоят на месте: инструментарий совершенствуется, новые техники атак появляются ежедневно. Отрасль информационной безопасности попросту не успевает! Многие существующие технологии или сложны в использовании и ограничены в применении, или не предоставляют качественных методов для борьбы не только с угрозами нулевого дня, но и с существующими.

Многие вендоры активно внедряют технологии динамического профилирования и позитивной модели безопасности, но создаваемые решения по-прежнему требуют качественного вмешательства со стороны человека и не обеспечивают полной автоматизации, многое отдавая на откуп специалисту по безопасности.

Одно из ключевых отличий PT Application Firewall, выделяющих его из ряда прочих WAF, − функция автоматического машинного обучения, что позволяет формировать позитивную модель безопасности без участия человека. Система обучается на сером трафике (реальная среда эксплуатации приложения), автоматически отслеживает изменения и детектирует ранее неизвестные угрозы на основе выявления отклонений от нормального поведения приложения. Помимо этого, в РТ Application Firewall заложены механизмы корреляции событий и построения цепочек атак, наглядно визуализирующие весь ход атаки. Новые технологии, новые подходы и глубокая многолетняя экспертиза позволили нам не только создать качественный продукт, но и задать достаточно высокую планку в сфере Application Security. Она, к слову сказать, оценена и международным сообществом: официально выпустив на глобальный рынок PT Application Firewall в 2014 году, уже в 2015 мы вошли в квадрант Gartner в качестве визионеров, а в этом году остались единственным визионером квадранта. Аналитики Gartner высоко оценили сфокусированный на безопасности подход к развитию технологий.

Решение же Application Inspector выполнено по принципу «большой красной кнопки». Иными словами, его отличают максимальная простота использования и минимальный уровень ложных срабатываний. А прозрачная интеграция в среду разработки (без дополнительных консолей или изменения текущих рабочих «воркфлоу»), ощутимо снижает порог вхождения и необходимый уровень компетенции для специалистов ИБ в вопросах программирования, а программистов − в вопросах ИБ. Первые получают рабочие эксплоиты, позволяющие в ручном или автоматическом режиме верифицировать результаты, а вторые − конкретные рекомендации по устранению уязвимостей. Таким образом, налаживается мостик между представителями двух миров, позволяющий наладить коммуникации.

Для того чтобы окупить инвестиции, вложенные в создание такого рода технологий, одного лишь российского рынка недостаточно. Поэтому расширение каналов продаж за рубежом является одним из приоритетных и стратегических направлений развития нашей компании.

За последний год наша международная команда увеличилась вдвое, в нее вошли и такие значимые на рынке фигуры, как Юхан Нурдстром (Johan Nordstrom), в разное время отвечавший за развитие продаж в Tufin, Imperva и Arbor Networks, и Рой Даклз (Roy Duckles), исполнявший обязанности директора по развитию бизнеса и канальных продаж в Lieberman Software и TripWire. Мы заключили договоры с крупнейшими дистрибьютерами, работающими в самых разных регионах мира: с ITWAY (покрывающим страны южной Европы и являющимся крупнейшим дистрибьютором Check Point), SPG (работающим в странах Северной Африки и по совместительству − крупнейшим тренинговым центром Microsoft в регионе), VEMI (работающим в странах восточной Европы), ComGuard (охватывающим страны Северной Африки, Ближнего Востока, Индию). Ежегодно мы проводим обучение от 50 до 100 новых партнеров, и сейчас готовимся к официальному и широкому выводу продуктов на североамериканский рынок.

Не так давно в рамках технологического партнерства мы интегрировали наши технологии PT Application Firewall с продуктами Cisco и CheckPoint, что также расширяет возможный ландшафт для продаж совместных решений партнерами компаний. Результат наших трудов можно будет качественно измерить уже в конце 2017 г., а пока мы продолжаем усиленно работать, ставя перед собой новые цели и новые задачи.

Решения существуют на рынке с 2013 г., они успешно поработали во время Универсиады в Казани и Олимпиады в Сочи. Однако широкий старт продаж в России и за рубежом был официально объявлен в 2014 г. Сегодня PT Application Firewall используют компании различных отраслей бизнеса по всему миру, в том числе банки и финансовые учреждения, медиакомпании, телеком-операторы и ритейлеры. Среди них LG, Asiana Airlines, Bank of Tunisia, Poste Italiano и др.

Из российских компаний можно выделить НСПК, ВГТРК, «МегаФон», «Связной». В общей сложности в России и в мире решения PT Application Firewall и PT Application Inspector эксплуатируют более сотни компаний. Основная география продаж: Россия и СНГ, Европа, Азия, Северная Африка и Ближний Восток. На российском рынке наш продукт занимает уверенную позицию: по итогам прошлого года абсолютная доля рынка нашей линейки по защите веб-приложений составила 250 млн руб., и в этом году мы планируем значительно увеличить этот показатель.

Ближайшие релизы решений будут отличаться обновленными графическими интерфейсами, нацеленными на улучшение визуализации и аналитики атак, а также упрощающими эксплуатацию решения. Также специалисты Positive Technologies работают над интеграцией с облачными средами. Мы продолжим работу над нашей SSDL версией Application Inspector, будем реализовывать подходы Continuous Security, и технологии обнаружения уязвимостей станут еще ближе к технологиям предотвращения их эксплуатации.

К числу самых интересных кейсов по праву относится использование PT Application Firewall телерадиокомпанией ВГТРК. Наша история сотрудничества началась во время Олимпиады 2014 г. в Сочи, где в полный рост стояла задача обеспечения бесперебойности стриминговых сервисов, транслирующих игры. Естественно, что огромный интерес к мероприятию проявляли не только зрители и болельщики, но и киберпреступники. Защита приложений, реализованных с помощью разных технологий, работа под высокой нагрузкой, защита в реальном времени требовали иного подхода, в рамках которого совершенно не было времени на анализ миллионов событий, разбор полетов или переписывание исходного кода. Система PT Application Firewall успешно противостояла различного рода атакам, обеспечила высокий уровень надежности и доступности сервисов, а также позволила операторам не потерять из тысячи событий по-настоящему важные, которые свидетельствовали о реальных кибератаках.