Облако на страже виртуальных границ или как не стать беспомощным свидетелем пожара в собственной сети
Если тебя нет в Интернете — ты не существуешь.
Придерживаясь этой догмы и преследуя собственные амбиции по росту бизнеса, практически любая компания стремится работать со своей аудиторией не только в оффлайн-каналах, но и через интернет – торговые площадки, клиентские приложения, личные кабинеты, сайты, справочники и многое другое. Но такая работа похожа на кормление медведя с руки через отверстие в заборе – при плохом стечении обстоятельств можно остаться без руки. Именно поэтому всё, что касается «веба» и удалённой работы, требует пристального внимания с точки зрения безопасности. Своевременный поиск критических уязвимостей и проактивная защита периметра может спасти бизнес от непредвиденных репутационных потерь.
Web-хакинг
Взлом веб-приложений является одним из наиболее популярных методов кибератак на организацию. Это доказывают и многочисленные исследования, например, по данным Positive Technologies за 2020 год, 90% веб-приложений подвергалось угрозе атак на их клиентов. При этом 16% приложений содержат уязвимости, позволяющие получить полный контроль над системой, а в 8%-ми случаев — атаковать внутреннюю сеть компании.
Веб-приложения представляют собой мишень для различного рода атак из-за своей широкой доступности и ценной информации, которую они обрабатывают. Взломанные веб-ресурсы используются в различных целях: для распространения вредоносного ПО, кражи информации, размещения несанкционированной рекламы или запрещенной информации, мошенничества, проникновения во внутреннюю сеть компании и др.
Согласно последнему рейтингу OWASP (Open Web Application Security Project - открытый проект обеспечения безопасности веб-приложений) в TOP 10 основных уязвимостей 2020 года вошли:
· Инъекционные атаки ( SQL Injections)
· Нарушенная аутентификация (Broken Authentication)
· Незащищённость критичных данных (Sensitive Data Exposure)
· Внешние объекты XML (XXE) (XML External Entities (XXE))
· Нарушение контроля доступа (Broken Access control)
· Небезопасная конфигурация (Security misconfigurations)
· Межсайтовый скриптинг (XSS) (Cross Site Scripting (XSS))
· Небезопасная десериализация (Insecure Deserialization)
· Использование компонентов с известными уязвимостями (Using Components with known vulnerabilities)
· Неэффективный мониторинг (Insufficient logging and monitoring)
К чему приводят атаки на веб-приложения:
· нарушение работы веб-приложения;
· получение доступа к внутренней сети;
· похищение данных пользователей;
· подмена информации на сайте;
· запрет на выдачу в поисковых системах;
· получение привилегированного доступа к веб-приложению.
Проще говоря, атаки на веб-приложения могут привести к сбоям в работе привычных для пользователей сервисов. Клиенты не смогут получать информацию, совершать заказы, оплачивать покупки, а сотрудники — продолжить работу.
WAF как сервис
Сейчас на рынке информационной безопасности существует огромное количество инструментов для защиты веб-приложений и веб-сайтов. Одним из лучших решений по-прежнему выступает Web Application Firewall (WAF) – платформа защиты от атак и уязвимостей в веб‑приложениях. Применение WAF позволяет обнаружить и блокировать атаки, в том числе направленные на инъекции и XSS, которые пропускают традиционные межсетевые экраны и системы обнаружения вторжений.
В каких случаях требуется внедрение WAF:
· Бизнес зависит от веб-приложений, а их устойчивость – аспект первостепенный;
· Веб-приложения взаимодействуют с внутренними информационными системами;
· В продуктив уходят релизы чаще чем раз в год.
Но любой WAF требует правильной настройки и постоянного обновления, а для этого нужны круглосуточный мониторинг инцидентов и экспертиза штата специалистов по кибербезопасности. С одной стороны это очень полезно, но с другой – дорого как ни крути!
В этой ситуации наиболее эффективным решением по защите веб-ресурсов оказывается облачный сервис WAF. Для его запуска не требуется отдельная инфраструктура, закупка и установка дорогостоящего оборудования и ПО, обучение сотрудников и штата специалистов. А это уже что-то интересное.
В отличие от решений, выполненных в виде программных или программно-аппаратных комплексов для услуги WAF в облаке клиентам не нужно вносить изменения в исходный код и архитектуру защищаемого приложения. Получить доступ к решению можно на базе поставщика облачных решений по подписке.
Среди уже хорошо зарекомендовавших себя игроков рынка по разработке средств защиты веб-приложений WAF, стоит отметить одного из лидирующих российских брендов Wallarm, чьим продуктом пользуют крупнейшие российские компании. Платформа Wallarm сокращает затраты и усилия, направленные на достижение высокого уровня безопасности сайтов и веб‑приложений. Преимущество в том, что решение не только защищает веб-приложения от атак, но и проводит непрерывный аудит на предмет поиска уязвимостей новой функциональности приложения.
WAF Wallarm предназначен для защиты от:
· SQL инъекции, XSS, XXE, RCE и другие угрозы OWASP Top-10;
· Брутфорс, кражи учетных записей и других атак данного типа;
· Атаки на логику приложения;
· Интернет-боты.
Всегда есть риск ложного срабатывания правил. Чтобы свести на нет возможность такого поведения, система способна обучаться. За счёт этого обеспечивается точность распознавания атак и минимизируются ложные срабатывания. Собственные алгоритмы идентификации аномального поведения внутри трафика, делает сервис уникальным и максимально гибким для его будущих пользователей.
Ещё вчера построение решений по защите от вредоносного трафика, в режиме реального времени, возможно было путём интеграции в инфраструктуру клиента. Сегодня сервис на базе облако Softline предоставляется как услуга с минимальным сроком на запуск в эксплуатацию. Интеграция с WAF Wallarm на уровне облачной инфраструктуры значительно сокращает ресурсы на внедрение и экономит массу времени.
Так как развертывание Wallarm Wafпроисходит в облаке Softline, подключение к нему не требует от компаний затрат на дополнительные вычислительные мощности. Сервис предоставляется по подписке, что помогает экономить бюджет.
Сейчас компании получают систему на 14 дней в тест для адаптации. По итогу многие выявленные события становятся неприятной новостью для администратора сети. Но чаще это и хорошо, так как уязвимости удаётся закрыть до того, как это приведёт к видимому ущербу для компании.