Облако на страже виртуальных границ или как не стать беспомощным свидетелем пожара в собственной сети

Если тебя нет в Интернете — ты не существуешь.

© Билл Гейтс

Придерживаясь этой догмы и преследуя собственные амбиции по росту бизнеса, практически любая компания стремится работать со своей аудиторией не только в оффлайн-каналах, но и через интернет – торговые площадки, клиентские приложения, личные кабинеты, сайты, справочники и многое другое. Но такая работа похожа на кормление медведя с руки через отверстие в заборе – при плохом стечении обстоятельств можно остаться без руки. Именно поэтому всё, что касается «веба» и удалённой работы, требует пристального внимания с точки зрения безопасности. Своевременный поиск критических уязвимостей и проактивная защита периметра может спасти бизнес от непредвиденных репутационных потерь.

Взлом веб-приложений является одним из наиболее популярных методов кибератак на организацию. Это доказывают и многочисленные исследования, например, по данным Positive Technologies за 2020 год, 90% веб-приложений подвергалось угрозе атак на их клиентов. При этом 16% приложений содержат уязвимости, позволяющие получить полный контроль над системой, а в 8%-ми случаев — атаковать внутреннюю сеть компании.

Веб-приложения представляют собой мишень для различного рода атак из-за своей широкой доступности и ценной информации, которую они обрабатывают. Взломанные веб-ресурсы используются в различных целях: для распространения вредоносного ПО, кражи информации, размещения несанкционированной рекламы или запрещенной информации, мошенничества, проникновения во внутреннюю сеть компании и др.

Согласно последнему рейтингу OWASP (Open Web Application Security Project - открытый проект обеспечения безопасности веб-приложений) в TOP 10 основных уязвимостей 2020 года вошли:

· Инъекционные атаки ( SQL Injections)

· Нарушенная аутентификация (Broken Authentication)

· Незащищённость критичных данных (Sensitive Data Exposure)

· Внешние объекты XML (XXE) (XML External Entities (XXE))

· Нарушение контроля доступа (Broken Access control)

· Небезопасная конфигурация (Security misconfigurations)

· Межсайтовый скриптинг (XSS) (Cross Site Scripting (XSS))

· Небезопасная десериализация (Insecure Deserialization)

· Использование компонентов с известными уязвимостями (Using Components with known vulnerabilities)

· Неэффективный мониторинг (Insufficient logging and monitoring)

К чему приводят атаки на веб-приложения:

· нарушение работы веб-приложения;

· получение доступа к внутренней сети;

· похищение данных пользователей;

· подмена информации на сайте;

· запрет на выдачу в поисковых системах;

· получение привилегированного доступа к веб-приложению.

Проще говоря, атаки на веб-приложения могут привести к сбоям в работе привычных для пользователей сервисов. Клиенты не смогут получать информацию, совершать заказы, оплачивать покупки, а сотрудники — продолжить работу.

Сейчас на рынке информационной безопасности существует огромное количество инструментов для защиты веб-приложений и веб-сайтов. Одним из лучших решений по-прежнему выступает Web Application Firewall (WAF) – платформа защиты от атак и уязвимостей в веб‑приложениях. Применение WAF позволяет обнаружить и блокировать атаки, в том числе направленные на инъекции и XSS, которые пропускают традиционные межсетевые экраны и системы обнаружения вторжений.

В каких случаях требуется внедрение WAF:

· Бизнес зависит от веб-приложений, а их устойчивость – аспект первостепенный;

· Веб-приложения взаимодействуют с внутренними информационными системами;

· В продуктив уходят релизы чаще чем раз в год.

Но любой WAF требует правильной настройки и постоянного обновления, а для этого нужны круглосуточный мониторинг инцидентов и экспертиза штата специалистов по кибербезопасности. С одной стороны это очень полезно, но с другой – дорого как ни крути!

В этой ситуации наиболее эффективным решением по защите веб-ресурсов оказывается облачный сервис WAF. Для его запуска не требуется отдельная инфраструктура, закупка и установка дорогостоящего оборудования и ПО, обучение сотрудников и штата специалистов. А это уже что-то интересное.

В отличие от решений, выполненных в виде программных или программно-аппаратных комплексов для услуги WAF в облаке клиентам не нужно вносить изменения в исходный код и архитектуру защищаемого приложения. Получить доступ к решению можно на базе поставщика облачных решений по подписке.

Среди уже хорошо зарекомендовавших себя игроков рынка по разработке средств защиты веб-приложений WAF, стоит отметить одного из лидирующих российских брендов Wallarm, чьим продуктом пользуют крупнейшие российские компании. Платформа Wallarm сокращает затраты и усилия, направленные на достижение высокого уровня безопасности сайтов и веб‑приложений. Преимущество в том, что решение не только защищает веб-приложения от атак, но и проводит непрерывный аудит на предмет поиска уязвимостей новой функциональности приложения.

WAF Wallarm предназначен для защиты от:

· SQL инъекции, XSS, XXE, RCE и другие угрозы OWASP Top-10;

· Брутфорс, кражи учетных записей и других атак данного типа;

· Атаки на логику приложения;

· Интернет-боты.

Всегда есть риск ложного срабатывания правил. Чтобы свести на нет возможность такого поведения, система способна обучаться. За счёт этого обеспечивается точность распознавания атак и минимизируются ложные срабатывания. Собственные алгоритмы идентификации аномального поведения внутри трафика, делает сервис уникальным и максимально гибким для его будущих пользователей.

Ещё вчера построение решений по защите от вредоносного трафика, в режиме реального времени, возможно было путём интеграции в инфраструктуру клиента. Сегодня сервис на базе облако Softline предоставляется как услуга с минимальным сроком на запуск в эксплуатацию. Интеграция с WAF Wallarm на уровне облачной инфраструктуры значительно сокращает ресурсы на внедрение и экономит массу времени.

Так как развертывание Wallarm Wafпроисходит в облаке Softline, подключение к нему не требует от компаний затрат на дополнительные вычислительные мощности. Сервис предоставляется по подписке, что помогает экономить бюджет.

Сейчас компании получают систему на 14 дней в тест для адаптации. По итогу многие выявленные события становятся неприятной новостью для администратора сети. Но чаще это и хорошо, так как уязвимости удаётся закрыть до того, как это приведёт к видимому ущербу для компании.