Спецпроекты

ПО Безопасность Интернет

Анастасия Афонина, «Вебмониторэкс»: Наш продукт показывает в динамике профиль защищаемого приложения

Происходит развитие веб-приложений, появляются новые их типы: онлайн банкинг, маркетплейсы, финансовые платформы, личные кабинеты разных площадок и т.д.  Усложняются созданные из этих компонентов инфраструктуры и, наконец, растет значение веба для бизнеса. Соответственно идет эволюция средств защиты. Как это выглядит сегодня, какие направления будут актуальны завтра? На вопросы CNews отвечает Анастасия Афонина, операционный директор «Вебмониторэкс».

CNews: Как сегодня выглядит процесс защиты веб-ресурса?

Анастасия Афонина: Нужно знать про наличие незакрытых уязвимостей, понимать, насколько они критичны, когда они могут (и могут ли?) быть закрыты. Получив эту информацию, начинаем действовать. Что можно сделать? Маркировать события по уязвимостям, которые еще не закрыты, чтобы видеть их приоритетно. Тюнинговать защиту на WAF, чтобы снизить вероятность эксплуатации таких уязвимостей.

Для этих задач применяют разные продукты. Изнутри информацию можно получить от сканеров исходного кода статических, динамических и пр. Извне – применив решение для сканирования веб-ресурса. В идеале этих решения должны работать бесшовно и слаженно. Но решение для анализа извне в составе продукта оно доступно «из коробки»! – поставляем только мы.

Анастасия Афонина, «Вебмониторэкс»: Мы очень любим работать с людьми, которым интересны новые технологии

CNews: Какие функции выполняет «Вебмониторэкс» в ИБ-инфраструктуре компаний?

Анастасия Афонина: Платформа «Вебмониторэкс» создана для защиты веб-приложений и API. Например, «Вебмониторэкс» умеет определять атаки, опасные для веб-приложения, сопоставляя вектора атак и информацию об уязвимости веб-приложений. Сканер платформы определяет, есть ли уязвимость в том месте, куда направлена атака, если риски есть информирует об инциденте: создавая событие в корпоративной IRP или иным способом.

«Вебмониторэкс» анализирует веб-трафик (как HTTP‑трафик, так и WebSocket‑трафик), а гибкость платформы позволяет задать индивидуальные правила обработки запросов, исходя из особенностей защищаемых приложений: создавать виртуальные патчи, индивидуальные правила блокировки для разных частей веб-приложения и т.д.

CNews: Какие подходы к защите веб-ресурсов станут актуальны в перспективе?

Анастасия Афонина: Эволюция продолжается. Вызовом текущим, значение которого будет возрастать в будущем, является необходимость создания систем, способных работать под высокими нагрузками, при этом обладающих высокой отказоустойчивостью.

Другой тренд – необходимость работать с архитектурой приложений – там тоже могут быть уязвимости, которые надо выявлять раньше, чем это сделают хакеры.

Интеграция «всего со всем» приводит к тому, что каждое серьезное приложение получает API. Защищать API надо уже сейчас!

В этих условиях значимость нашего продукта он один из немногих в мире умеет в динамике формировать профиль защищаемого приложения и практически мгновенно видеть нацеленные на него атаки – сохраняется и возрастает.

Развиваются системы защиты веб-приложений, появляются новые их классы. Например, еще лет десять назад решения класса WAF (Web Application Firewall – межсетевой экран для веб-приложений) были малоизвестны и необходимость применения таких решений нужно было доказывать заказчикам.

CNews: Зачем нужен WAF для системы защиты внутренних ресурсов заказчика?

Анастасия Афонина: WAF – мощный инструмент для снижения рисков для систем из множества веб-приложений, а количество интеграций растет, причем очень быстро. Типы и сложность атак на веб-приложения определяют индивидуальную карту рисков для каждой компании.

В современных условиях растет количество целевых атак, которые предусматривают поэтапный взлом приложений в инфраструктуре компании. Нужно отслеживать и проверять взаимодействие между различными приложениями – как внутренними, так и внешними – понимать, какие функции, доступные в API этих приложений, используют и в каких направлениях. И тут ответ простой WAF.

Рассмотрим пару распространенных кейсов. Например, опубликованное веб-приложение заказчика получает данные от других, но уже внутренних. Количество таких ситуаций растет напомним, что большинство современных корпоративных приложений создают со встроенными веб-интерфейсами. Частая ситуация, когда либо хакеры могут использовать это приложение для доступа внутрь корпоративной инфраструктуры, либо наоборот, через внутренние приложения будут стремиться добраться до опубликованного. WAF позволяет исключить оба варианта развития событий.

Другой пример: растет количество удаленных работников в компании сегодня это распространенный кейс – точкой для координации, для агрегации знаний и для интеграций других корпоративных приложений зачастую становиться корпоративный портал (например, на базе Sharepoint или Bitrix). Он является «лакомым кусочком» для хакеров, так как в случае успеха атака откроет доступ к различным инфраструктурным компонентам компании. Чтобы минимизировать риски опять нужен WAF.

CNews: Актуален ли сейчас виртуальный патчинг, когда проводить традиционные обновления стало небезопасно?

Анастасия Афонина: Если нет возможности удостовериться в том, что обновление является доверенным и не приносит новых угроз нужно предварительно эмулировать установку. Но пока идет проверка обновления, нельзя оставлять приложение без защиты! Тут на помощь приходит виртуальный патч, который позволяет настроить блокировку запросов определенного типа в конкретном параметре и в результате закрыть известную уязвимость.

CNews: Как лучше размещать платформы: в инфраструктуре заказчика или в «облаке»?

Анастасия Афонина: Для «Вебмониторэкс» доступны оба варианта: и on-prem, и on-cloud. Какой вариант предпочтительней, зависит от ряда факторов: типа компании, отраслевой принадлежности и т.д. Сейчас, когда ноды анализа большинство заказчиков размещают в собственной инфраструктуре (требования вычислительных мощностей к работе нод незначительные), наиболее распространены три варианта организации использования «Вебмониторэкс»:

  • Управление, обработка структуры трафика и сканирование приложений на уязвимости происходят в вычислительном кластере «Вебмониторэкс». Такой вариант оптимален для большинства заказчиков, так как здесь есть очевидные преимущества: простота в сочетании с высокой скоростью работы результирующей системы (за счет вычислений на внешних ресурсах).
  • Разместить систему для обработки трафика, управления и сканирования можно в «облаке» провайдера. В данном случае затраты окажутся несколько выше, так как заказчику придется платить cloud-провайдеру за дополнительные вычислительные мощности.
  • Можно расположить инфраструктуру управления в инфраструктуре заказчика, вместе с нодами, а базу дектектов и сервис сканирования использовать из вычислительного кластера «Вебмониторэкс». Здесь к затратам на внешние вычислительные мощности нужно прибавить неизбежные траты на эксплуатацию составляющих во внутренней инфраструктуре заказчика.

Если корпоративная политика ограничивает возможность использования «облачных» сервисов, всегда можно подобрать иную архитектуру решения, удовлетворяющую заказчика и соответствующую всем его корпоративным политикам.

CNews: Какой подход у «Вебмониторэкс» к разработке новых функций?

Анастасия Афонина: Мы используем разные источники для идей наполнения нашего продуктового плана. В вопросах поиска уязвимостей, детектирования атак известных и обнаружения новых мы используем нашу экспертизу и мировые практики.

Второй источник запросы наших клиентов. Мы всегда рады обратной связи по использованию нашего продукта. Например, сейчас появился фокус на отечественные операционные системы и интеграции с новыми системами мониторинга, в развитии платформы мы отвечаем на эти технические вызовы.

Для повышения эффективности и простоты использования нашей платформы мы изучаем пользовательские кейсы, сценарии использования «Вебмониторэкс». Это третий источник. Например, мы видим, что сейчас есть запрос рынка на создание общей экосистемы, где разные продукты по ИБ смогут обмениваться данными, соответственно, наша задача – обеспечить бесшовную интеграцию с другими процессами, связанными с ИБ, наладить обмен данными.

Наконец, у нас своя команда, которая постоянно исследует новые угрозы. Важно, что эта же команда отвечает за количество ложных срабатываний. Для нас очень важно, чтобы наши клиенты были под реальной защитой, т.е. использовали «Вебмониторэкс» в режиме блокировки атак, но этого можно достичь только при низком уровне ложноположительных срабатываний.

CNews: Какие у вас подходы к формированию команды разработки?

Анастасия Афонина: Можно с уверенностью сказать, что команда сердце продукта! Мы много лет работаем в области безопасности веб-приложений раньше делали продукт «Валарм», а в 2022 году перешли в «Вебмониторэкс». Мы очень любим работать с людьми, которым интересны новые технологии, которые хотят создавать передовой продукт, приносящий реальную пользу. Среди ценностей команды на первом месте экспертность. Конечно, для нас важно умение работать в команде и другие софт-скиллз. Каких-то особых тестов при приеме у нас нет, но обязательно умение понимать задачи с точки зрения клиента.

CNews: Нужно ли обучать работе с продуктом сотрудников на стороне клиента?

Анастасия Афонина: Для эффективного использования платформы надо обладать базовыми навыками по безопасности веб-приложений и хорошо понимать бизнес логику работы собственных веб-приложений. Мы предоставляем подробную документацию по «Вебмониторэкс» с описанием вариантов использования.

Техническая поддержка нашей компании помогает в настройках и сценариях использования платформы на протяжении всего жизненного цикла продукта. Периодически проводим обучающие вебинары для клиентов и партеров.

erid:Pb3XmBtzssDhzgg1bzja5YPsBXjAMRwXAy7pJPGРекламодатель: ООО "ВЕБМОНИТОРЭКС"ИНН/ОГРН: 7735194651/1227700238545Сайт: https://webmonitorx.ru/

Короткая ссылка