Без защиты web-приложений все эшелоны защиты инфраструктуры неэффективны
Angara Security проанализировала задачи, уязвимости и технологии защиты пользовательских web-приложений в различных секторах, включая ритейл, e-commerce, банковскую и страховую сферы. Своей экспертизой поделились представители топовых компаний из отраслей ИТ и кибербезопасности, таких как Mitigator, ГК Swordfish и «Вебмониторэкс», а также более 50 CISO крупнейших российских брендов.
По оценке руководителей информационной безопасности, свыше 70% компаний за последний год сталкивались с DDoS-атаками. При этом эксперты отметили, что изменился характер самых популярных атак: они становятся «веерными», хактивисты используют VPS, proxy, VPN и уязвимости абонентского оборудования. Целями являются http и https ресурсы и открытые TCP-порты, которые заранее сканируются перед атакой. Атаки производятся с использованием известного инструментария, без подмены IP-адресов, а главное, злоумышленники переиспользуют IP-адреса при атаках на разные цели.
Степан Прибытков, эксперт компании «Вебмониторэкс», сославшись на данные Gartner подчеркнул, что до 83% трафика составляют API-вызовы, при этом к 2024 г. число атак через API-приложения вырастет вдвое. По прогнозам эксперта, под угрозой окажутся бонусные счета в программах лояльности, платежные данные на онлайн-площадках, в мобильных приложениях маркетплейсов, а также ресурсы компаний, которыми злоумышленники попытаются завладеть для майнинга криптовалют.
Николай Шуляев, эксперт отдела прикладных систем Angara Security отметил, что разработка инструментов для обеспечения безопасности API является перспективным и важным направлением, которое требует немедленного внимания и запуска проектов по созданию таких решений. Отсутствие стратегий тестирования безопасности API может привести к уязвимости взлома, краже данных, манипуляции данных и отказ в обслуживании. «Помимо всего прочего немаловажным остается класс решений WAF, в настоящее время наблюдается тенденция ухода отечественных решений от концепции ADC (Application Delivery Controller). Как следствие, отсутствие качественных балансировщиков и reverse-proxy решений, приведет к тому, что публикация приложений в целом будет новой проблемой для нашего рынка», - заключил специалист.
В своем выступлении Глеб Хохлов, менеджер продукта Mitigator, отметил, что для защиты можно использовать репутационные списки, которые стали эффективным инструментом защиты. Списки содержат не только IP-адреса атакующих и участников ботнетов, но также номера автономных систем и JA3-отпечатки. Для подготовки к таким атакам важно выстраивать эшелонированную защиту на всех уровнях: приложения, сервера, инфраструктуры, on-premises устройств фильтрации, границы сети и поставщиков услуг защиты, так как «провал на любом из эшелонов снижает эффективность всей защиты».
В ходе опроса о действующих мерах защиты от DDoS-атак, 60% CISO сообщили, что среди инструментов защиты web-приложений лидируют WAF и NGFW-решения, на втором и третьем месте - решения для защиты от кибератак через сети интернет- и облачных провайдеров (46% и 36% соответственно), 29% CISO подчеркнули роль on-premise решений.
Глеб Хохлов пояснил, что популярные WAF-решения могут быть точкой отказа при массированных атаках, нужны для защиты от эксплуатации уязвимостей, но все-таки для защиты внешнего контура также необходимы antiDDoS-решения. В ходе дискуссии о роли on-prem устройств в составе услуг интернет-провайдера, он прокомментировал, что важно «настраивать гранулированную защиту под специфику каждого сервиса, так как в большинстве случаев операторы предлагают грубую фильтрацию объемных атак».
Антон Башарин, технический директор ГК Swordfish Security, в контексте защиты web-приложений поднял тему DevSecOps. По мнению эксперта, в процессе развития программных продуктов сложилась ситуация, при которой «информационная безопасность стала догоняющей отраслью относительно ИТ». В большинстве случаев приемка безопасности web-приложений происходит в конце цикла разработки, когда на проверку кода со стороны ИБ-специалистов практически не остается времени. Этот факт подтвердил Степан Прибытков, который отметил, что, по данным исследования компании, 48% разработчиков признают, что постоянно выпускают в прод код с известными уязвимостями, а 31% - допускают такую случайность.
Антон Башарин пояснил, что необходимо включать безопасность в процесс автоматизации DevOps, чтобы свести количество уязвимостей в готовых продуктах к минимуму. Это позволит значительно оптимизировать обработку уязвимостей, собираемых сканером, которая иногда может занимать до нескольких дней, а также улучшить взаимодействие между различными отделами, работающими над созданием продукта. «Нередко даже если разработчики готовы внести исправления в течение пары часов, то комментариев от инженеров ИБ, например, приходится ждать несколько дней. А это не только потеря времени, но и издержки, которые можно сократить на 70%, если встроить процесс безопасности в DevOps на всех этапах», - подчеркнул Башарин.
При правильном внедрении DevSecOps компания сможет улучшить показатели KPI, повысить уровень защищенности своих продуктов, сократить время вывода ПО на рынок и за счет этого окупить инвестиции во внедрение процесса безопасной разработки и выйти в плюс. Например, по тем же данным Forrester, для крупной организации с численностью разработчиков около 1500–2000 человек точка безубыточности инвестиций в одну из ведущих облачных платформ DevSecOps может быть достигнута примерно за три месяца, а чистая приведенная стоимость (Net Present Value, NPV) способна превысить $2 млн в год.
Как показали итоги опроса CISO, для обеспечения качественного процесса безопасной разработки не хватает решений API ST (41%) и технологий для оркестрации и корреляции практик безопасной разработки ASOC (36%). 34% ИБ-руководителей компаний отметили дефицит решений для динамического анализа защищенности десктопных и мобильных версий приложений (DAST и MAST), о недостатке решений для безопасного использования библиотек с открытым исходным кодом (OSA, SCA) сообщили 24% респондентов.