Как защитить большой веб
Виктор Рыжков, менеджер по продуктовому маркетингу направления Application Security компании Positive Technologies, в материале, подготовленном для TAdviser, рассказал об угрозах т.н. большому вебу — высоконагруженным проектам федерального масштаба, о том, как эволюционируют эти угрозы и методы защиты от них.
Содержание |
По данным Positive Technologies за 2019 год, эксплуатация веб-уязвимостей входит в топ-3 популярных методов атак, направленных на юридические лица. Главными мотивами киберпреступников остаются получение данных и финансовая выгода, потому особый интерес для них представляет большой веб — высоконагруженные проекты федерального масштаба, которые содержат персональные и платежные данные миллионов граждан. К таким веб-ресурсам относятся порталы государственных услуг, банковские и финансовые сервисы, социальные сети, онлайн-магазины, крупные агрегаторы, онлайн-кинотеатры и многое другое. Как обеспечить защиту таких масштабных проектов и какие требования необходимо предъявлять к основным средствам защиты веб-приложений?
Ландшафт угроз
Для защиты веб-ресурсов используются решения класса web application firewall (WAF) — межсетевые экраны уровня приложений. WAF позволяет защититься от современных атак на веб — угроз из списка OWASP Top 10, DDoS-атак уровня приложений и других.
Принимая решение о покупке WAF, важно учитывать масштаб веб-приложения и потенциальные риски: например, для защиты сайта небольшого салона красоты, приобретение WAF может быть просто нецелесообразно. В таких случаях достаточно таких решений для защиты веба, как антивирусы, списки контроля доступа (ACL), anti-DDoS на сетевом и транспортном уровнях. Однако, если говорить о более крупных проектах, то здесь вступают в дело жесткие требования, в частности:
Доступность. Веб-приложение должно быть доступно 99—99,999% времени. Это означает, что время простоя в течение года не может быть более четырех дней (99%) или 5,5 минут (99,999%). Очевидно, WAF должен также соблюдать эти требования, чтобы сохранить показатели доступности приложения.
Время отклика. Обработка запросов пользователя и выдача результата должны занимать от нескольких секунд до миллисекунд — в зависимости от бизнес-логики. И WAF не должен вносить существенную задержку в этот параметр.
Защищенность. Методы атак меняются в зависимости от трендов, существующих в разработке приложений, например Web 2.0, SPA, REST API. Вместе с новыми технологиями меняется и ландшафт угроз. Следовательно, WAF должен постоянно пополняться новыми методами их обнаружения.
Давайте проследим, как развивался большой веб в России и как, в зависимости от этих изменений, менялись и продолжают меняться требования к WAF — основному средству защиты веб. Для иллюстрации этих изменений рассмотрим PT Application Firewall — решение компании Positive Technologies.
Как защищали большой веб пять лет назад
Вспомним 2015 год. На первый взгляд, этот год не многим отличался от 2020-го: компании предоставляли цифровые сервисы своим клиентам, внедряли Agile, CI/CD и другие подходы, ускоряющие процессы разработки и обновления приложений.
Но характерной особенностью того периода был способ размещения веб-приложений. Большие компании размещали подавляющее большинство приложений в «домашних» ЦОД — на своих вычислительных мощностях. Плюс такого подхода в том, что компания получает полный контроль над веб-приложениями (как аппаратной, так и программной частями). Однако при таком подходе есть ряд ограничений и сложностей:
Полная ответственность за доступность и защищенность веб-ресурсов — и как следствие, необходимость введения дополнительных организационных моментов и содержания штата.
Слабая масштабируемость: в случае внедрения новых веб-приложений необходимо выделение дополнительных аппаратных ресурсов, что зачастую не так просто организовать.
Ограничения в обеспечении доступности — прямая зависимость времени доступности от предоставляемых показателей интернет-провайдера.
С точки зрения защиты тогда также требовалось выявление атак из списка OWASP Top 10, но список этот несколько отличался от актуального: в топе находились угрозы, которые стали менее распространены. Например, межсайтовое выполнение сценариев (XSS, Cross-Site Scripting) было угрозой № 2 (сегодня — угроза № 7), а межсайтовая подделка запроса (CSRF, Cross-Site Request Forgery) — угрозой № 5 (сегодня — отсутствует в списке).
Исходя из условий того времени, закономерно формировались и требования к web application firewall. С одной стороны, нужны были быстрая адаптация к изменениям в приложениях, производительность и отказоустойчивость. С другой стороны, для выявления атак в большинстве случаев WAF было достаточно сигнатурного анализа, механизмы машинного обучения для обнаружения неизвестных угроз применялись не так часто.
Так, в свое время PT Application Firewall получил возможность установки в двухсерверный кластер (в режиме active — passive) и механизмы адаптации под каждое веб-приложение на уровне политик. Обнаружение известных и неизвестных угроз стало доступно благодаря возможности сигнатурного анализа трафика и комбинации дополнительных модулей машинного обучения: в частности, самообучающегося модуля HMM.
Как защищать сейчас
Сегодня большой веб стал еще масштабнее и динамичнее — одним из важных трендов стал переход компаний-гигантов и даже государственных организаций от набора веб-приложений к выстраиванию собственных экосистем. Экосистема означает еще большее разнообразие сервисов: скажем, банк или интернет-компания начинает предоставлять услуги доставки продуктов, такси или мобильной связи — причем все эти сервисы взаимодействуют друг с другом посредством API.
Второй важный тренд — это разнородность инфраструктур веб-приложений. Помимо домашнего ЦОД большой веб все чаще использует ресурсы хостинг-провайдеров, публичного или частного облака (private сloud). Такой комбинированный подход снимает ограничения домашнего ЦОД: ответственность за соблюдение доступности ресурсов компания делегирует сервис-провайдеру. Теперь эти показатели могут быть выше — вплоть до 99,999% времени. Также упрощается и масштабирование: при необходимости достаточно запросить дополнительные ресурсы. Третий тренд — это увеличение трафика ботов в Сети.
Уже сейчас этот показатель составляет почти 40%, однако далеко не все из них относятся к безвредным — ботам поисковых систем, чат-ботам.
Исходя из перечисленного, к современному web application firewall также предъявляются повышенные требования доступности: до 99,999% времени (или 5,5 минут простоя в год), а также требования по горизонтальному масштабированию под любую нагрузку. Если говорить о выявлении атак, то теперь WAF должен защищать не только само приложение, но и его публичный API, а также обнаруживать и классифицировать ботов. Для всего этого уже недостаточно сигнатурного анализа, необходимы алгоритмы глубокого машинного обучения (deep machine learning).
К сожалению, не все WAF отвечают новым требованиям — чаще всего в силу архитектурных особенностей, заложенных в далеком прошлом. Также негативным фактором, влияющим на развитие WAF, является сложившаяся за долгие годы тенденция их установки не в активном (inline), а в пассивном (out-of-band, sniffer) режиме. В этом режиме WAF не становится возможной точкой отказа приложений, но в таком случае решения лишены возможности блокирования атак — это не мотивирует некоторых производителей WAF делать продукт стабильнее и надежнее.
В новом PT Application Firewall встроены алгоритмы глубокого машинного обучения, позволяющие выявлять новейшие и неизвестные угрозы на приложения и API, а также выявлять и классифицировать ботов. Благодаря новой, микросервисной архитектуре[1] компоненты PT Application Firewall становятся слабосвязанными и масштабируемыми независимо друг от друга — это дает продукту возможность обеспечивать высокие показатели доступности веб-приложений (до 99,999% времени в активном режиме). Упрощен процесс встраивания PT Application Firewall в инфраструктуру заказчика: новые публикуемые приложения теперь добавляются в два клика, предусмотрены дополнительные, упрощенные варианты интеграции (например, специальный легковесный агент, устанавливаемый на веб-сервер Nginx и обеспечивающий блокирование угроз и пересылку информации в ядро PT Application Firewall).
Какие вызовы ждут большой веб завтра
Интерес компаний к облачным технологиям продолжается. Согласно отчету аналитического агентства IDC, в 2018 году рынок облаков в России вырос на 24,8% и в 2019-м продолжил расти.
Закономерно растет интерес и к облачным WAF. По прогнозам аналитического агентства Gartner, доля «железных» WAF (работающих в домашних ЦОД) к 2022 году снизится с сегодняшних 30% до 10%. Также прогнозируется и рост потребности в защите API, выявлении и классификации ботов, широком использовании машинного обучения.
Каким должен быть WAF будущего? Прежде всего гибким и готовым к размещению в распределенных инфраструктурах — как в условиях домашнего ЦОД, так и на облачных ресурсах. При этом для WAF становится критически важным соблюдение высоких показателей доступности, предъявляемых для защищаемых приложений (до 99,999 % времени). С точки зрения безопасности WAF будущего должен обеспечивать равную степень защиты как для самого приложения, так и для его API, предотвращать известные и неизвестные ранее атаки с применением сигнатурного анализа и алгоритмов глубокого машинного обучения.
Смотрите также
Контроль и блокировки сайтов
- Цензура в интернете. Мировой опыт
- Цензура (контроль) в интернете. Опыт Китая, Компьютерная группа реагирования на чрезвычайные ситуации Китая (CERT)
- Цензура (контроль) в интернете. Опыт России, Политика Роскомнадзора по контролю интернета, ГРЧЦ
- Запросы силовиков на телефонные и банковские данные в России
- Закон о регулировании Рунета
- Национальная система фильтрации интернет-трафика (НаСФИТ)
- Как обойти интернет-цензуру дома и в офисе: 5 простых способов
- Блокировка сайтов в России
- Ревизор - система контроля блокировки сайтов в России
Анонимность
- Даркнет (теневой интернет, DarkNet)
- VPN и приватность (анонимность, анонимайзеры)
- VPN - Виртуальные частные сети
- СОРМ (Система оперативно-розыскных мероприятий)
- Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА)
- Ястреб-М Статистика телефонных разговоров
Критическая инфраструктура
- Цифровая экономика России
- Электронное правительство России
- Информационная безопасность цифровой экономики России
- Защита критической информационной инфраструктуры России
- Закон О безопасности критической информационной инфраструктуры Российской Федерации
- Основы государственной политики РФ в области международной информационной безопасности
- Доктрина информационной безопасности России
- Стратегия национальной безопасности России
- Соглашение стран СНГ в борьбе с преступлениями в сфере информационных технологий
- Автономный интернет в России
- Киберполигон России для обучения информационной безопасности
- Национальная биометрическая платформа (НБП)
- Единая биометрическая система (ЕБС) данных клиентов банков
- Биометрическая идентификация (рынок России)
- Каталог решений и проектов биометрии
- Единая сеть передачи данных (ЕСПД) для госорганов (Russian State Network, RSNet)
- Статья:Единая система программной документации (ЕСПД).
- Сеть передачи данных органов государственной власти (СПДОВ)
- Единая сеть электросвязи РФ
- Единый портал государственных услуг (ФГИС ЕПГУ)
- Гособлако - Государственная единая облачная платформа (ГЕОП)
- Госвеб Единая платформа интернет-порталов органов государственной власти
Импортозамещение
- Импортозамещение в сфере информационной безопасности
- Обзор: Импортозамещение информационных технологий в России
- Главные проблемы и препятствия импортозамещения ИТ в России
- Преимущества замещения иностранных ИТ-решений отечественными
- Основные риски импортозамещения ИТ
- Импортозамещение информационных технологий: 5 "За" и 5 "Против"
- Как импортозамещение ИТ сказалось на бизнесе иностранных вендоров? Взгляд из России
- Как запуск реестра отечественного ПО повлиял на бизнес российских вендоров
- Какие изменения происходят на российском ИТ-рынке под влиянием импортозамещения
- Оценки перспектив импортозамещения в госсекторе участниками рынка
Информационная безопасность и киберпреступность
- Киберпреступность в мире
- Требования NIST
- Глобальный индекс кибербезопасности
- Кибервойны, Кибервойна России и США, Кибервойна России и Великобритании, Кибервойна России и Украины
- Locked Shields (киберучения НАТО)
- Киберпреступность и киберконфликты : Россия, Кибервойска РФ, ФСБ, Национальный координационный центр по компьютерным инцидентам (НКЦКИ), Центр информационной безопасности (ЦИБ) ФСБ, Следственный комитет при прокуратуре РФ, Управление К БСТМ МВД России, МВД РФ, Министерство обороны РФ, Росгвардия, ФинЦЕРТ
- Число киберпреступлений в России, Русские хакеры
- Киберпреступность и киберконфликты : Украина, Киберцентр UA30, Национальные кибервойска Украины
- Национальный центр по защите данных системы здравоохранения Норвегии (HelseCERT)
- CERT NZ
- CERT-UZ Отдел технической безопасности в структуре государственного унитарного Центра UZINFOCOM
* Регулирование интернета в Казахстане, KZ-CERT
- Киберпреступность и киберконфликты : США, Пентагон, ЦРУ, АНБ, NSA Cybersecurity Directorate, ФБР, Киберкомандование США (US Cybercom), Министерства обороны США, NATO, Department of Homeland Security, Cybersecurity and Infrastructure Security Agency (CISA)
- Информационная безопасность в США
- Как США шпионили за производством микросхем в СССР
- Киберпреступность и киберконфликты : Европа, ENISA, ANSSI, Joint Cyber Unit, National Cyber Force
- Стратегия кибербезопасности ЕС
- Регулирование интернета в странах Евросоюза
- Информационная безопасность в Германии
- Информационная безопасность во Франции
- Информационная безопасность в Греции
- Информационная безопасность в Австралии
- Tactical Edge Networking (военный интернет)
- Киберпреступность и киберконфликты : Израиль
- Киберпреступность и киберконфликты : Иран
- Киберпреступность и киберконфликты : Китай
- Информационная безопасность в Китае
- Импортозамещение информационных технологий в Китае
- Киберпреступность и киберконфликты : КНДР
- Информационная безопасность в Молдавии
- Информационная безопасность в Японии
- Безопасность в интернете
- Безопасность интернет-сайтов
- Безопасность программного обеспечения (ПО)
- Безопасность веб-приложений
- Безопасность мессенджерах
- Угрозы безопасности общения в мобильной сети
- Безопасность в социальных сетях
- Киберзапугивание (кибербуллинг, киберсталкинг)
- Информационная безопасность в банках
- Информационная безопасность в судах
- CERT-GIB Computer Emergency Response Team - Group-IB
- Мошенничество с банковскими картами
- Взлом банкоматов
- Обзор: ИТ в банках 2016
- Политика ЦБ в сфере защиты информации (кибербезопасности)
- Потери организаций от киберпреступности
- Потери банков от киберпреступности
- Тренды развития ИТ в страховании (киберстрахование)
- Кибератаки
- Threat intelligence TI киберразведка
- Число кибератак в России и в мире
- Кибератаки на автомобили
- Обзор: Безопасность информационных систем
- Информационная безопасность
- Информационная безопасность в компании
- Информационная безопасность в медицине
- Информационная безопасность в электронной коммерции
- Информационная безопасность в ритейле
- Информационная безопасность (мировой рынок)
- Информационная безопасность (рынок России)
- Информационная безопасность на Украине
- Информационная безопасность в Белоруссии
- Главные тенденции в защите информации
- ПО для защиты информации (мировой рынок)
- ПО для защиты информации (рынок России)
- Pentesting (пентестинг)
- ИБ - Средства шифрования
- Криптография
- Управление инцидентами безопасности: проблемы и их решения
- Системы аутентификации
- Закон о персональных данных №152-ФЗ
- Защита персональных данных в Евросоюзе и США
- Расценки пользовательских данных на рынке киберпреступников
- Буткит (Bootkit)
- Уязвимости в ПО и оборудовании
- Джекпоттинг_(Jackpotting)
- Вирус-вымогатель (шифровальщик), Ramsomware, WannaCry, Petya/ExPetr/GoldenEye, CovidLock, Ragnar Locker, Ryuk, EvilQuest Вредонос-вымогатель для MacOS, Ransomware of Things (RoT), RegretLocker, Pay2Key, DoppelPaymer, Conti, DemonWare (вирус-вымогатель), Maui (вирус-вымогатель), LockBit (вирус-вымогатель)
- Защита от программ-вымогателей: существует ли она?
- Big Brother (вредоносная программа)
- MrbMiner (вирус-майнер)
- Защита от вирусов-вымогателей (шифровальщиков)
- Вредоносная программа (зловред)
- APT - Таргетированные или целевые атаки
- Исследование TAdviser и Microsoft: 39% российских СМБ-компаний столкнулись с целенаправленными кибератаками
- DDoS и DeOS
- Атаки на DNS-сервера
- DoS-атаки на сети доставки контента, CDN Content Delivery Network
- Как защититься от DDoS-атаки. TADетали
- Визуальная защита информации - Визуальное хакерство - Подглядывание
- Ханипоты (ловушки для хакеров)
- Руткит (Rootkit)
- Fraud Detection System (fraud, фрод, система обнаружения мошенничества)
- Каталог Антифрод-решений и проектов
- Как выбрать антифрод-систему для банка? TADетали
- Security Information and Event Management (SIEM)
- Threat intelligence (TI) - Киберразведка
- Каталог SIEM-решений и проектов
- Чем полезна SIEM-система и как её внедрить?
- Для чего нужна система SIEM и как её внедрить TADетали
- Системы обнаружения и предотвращения вторжений
- Отражения локальных угроз (HIPS)
- Защита конфиденциальной информации от внутренних угроз (IPC)
- Спуфинг (spoofing) - кибератака
- Фишинг, Фишинг в России, DMARC, SMTP
- Сталкерское ПО (программы-шпионы)
- Троян, Trojan Source (кибератака)
- Ботнет Боты, TeamTNT (ботнет), Meris (ботнет)
- Backdoor
- Черви Stuxnet Regin Conficker
- EternalBlue
- Рынок безопасности АСУ ТП
- Флуд (Flood)
- Предотвращения утечек информации (DLP)
- Скимминг (шимминг)
- Спам, Мошенничество с электронной почтой
- Социальная инженерия
- Телефонное мошенничество
- Звуковые атаки
- Warshipping (кибератака Военный корабль)
- Антиспам программные решения
- Классические файловые вирусы
- Антивирусы
- ИБ : средства защиты
- Система резервного копирования
- Система резервного копирования (технологии)
- Система резервного копирования (безопасность)
- Межсетевые экраны
Примечания
- ↑ Микросервисная архитектура — вариант архитектуры программного обеспечения, направленный на разделение программы на небольшие, слабо связанные, легко изменяемые и масштабируемые модули (микросервисы) и их взаимодействие между собой. Такой подход противопоставлен монолитной архитектуре и, в отличие от последней, позволяет разрабатывать, обновлять, настраивать и масштабировать компоненты независимо друг от друга (насколько это возможно).