Спецпроекты

В Москве состоялась конференция «Искусственный интеллект против кибератак»

Безопасность Стратегия безопасности

В Москве состоялась конференция, организованная изданием CNews и компанией Positive Technologies, которая была посвящена новым технологиям по защите веб-приложений. Суть инноваций заключается в том, что решения ИБ должны сами запускаться, отражать атаки, самостоятельно обнаруживать и закрывать уязвимости, а участие человека в защите информации должно быть сведено к минимуму.

По мере развития сетевых технологий фокус специалистов ИБ смещается от защиты машин к обеспечению безопасности прикладных систем. Наиболее актуальна эта проблема для сервисов интернет-банкинга, порталов государственных услуг, сайтов, через которые проводятся тендеры. Защищенность этих ресурсов оставляет желать лучшего. Согласно исследованию Positive Technologies, 77% сайтов содержат критические уязвимости, а в случае технологии PHP этот показатель достигает 100%.

Кроме того, тему ИБ актуализирует проблема импортозамещения. Cистемное ПО и аппаратная часть переводятся в разряд недоверенных продуктов, где производитель мог оставить незадекларированные возможности для проведения атак. При этом у железа, а в некоторых случаях и у системных программ, не существует российских аналогов. Таким образом, перед специалистами по ИБ возникает проблема, как собрать защищенную систему из небезопасных элементов? На этот вопрос попытались ответить специалисты компании Positive Technologies, которые 8 октября совместно с CNews провели в Москве конференцию под названием: «Искусственный интеллект против кибератак: новые технологии защиты бизнес-приложений».

Главное правило, которое нужно запомнить представителям бизнеса, это то, что дешевле «мыть руки, а не делать прививки», уверены специалисты по ИБ: «Уязвимости, обнаруженные в процессе эксплуатации приложения, обойдутся в сотни и тысячи раз дороже, чем уязвимости, выявленные на этапе разработки», – отметил технический директор компании Positive Technologies Сергей Гордейчик. В превентивных целях можно использовать средства тестирования уязвимостей, которые позволяют заблаговременно выявить «дыры», которые могут быть использованы хакерами.

На данный момент на рынке представлен огромный ассортимент продуктов тестирования. С технической точки зрения есть две классификации таких решений. Во-первых, это деление по «цвету» ящика: в случае с так называемым «черным ящиком» анализ приложения производится без доступа к исходному коду на сервере, а «белый ящик» предполагает такой доступ. Вторая градация привязана к запуску приложения: статический анализ предполагает работу с кодом без запуска программы, а динамический анализ предполагает тестирование в «боевых условиях».

На практике существует три комбинации этих подходов. Во-первых, это DAST – динамический анализ без доступа к исходному коду, который используется при разработке приложения. В систему подаются «плохие» данные, а дальше специалисты смотрят на ее реакцию. Использовать такой подход на работающем приложении нельзя, так как это приведет к отказу сервиса у множества пользователей. Второй вариант называется SAST – он предполагает проведение статистического анализа исходного кода на стадии эксплуатации приложения. Минус этого способа заключается в том, что даже теоретически выявить все уязвимости одной системы с помощью другой нельзя.

DAST и SAST позволяют выявить разные группы уязвимостей, поэтому появилась потребность в комбинированном подходе, который получил название IAST. В этом случае нужен доступ как к действующему приложению, так и к исходному коду. К сожалению, на практике такой вариант реализовать сложно: «Представьте систему интернет-банка, развернутую на 30 серверах. Для проведения динамического анализа нужно на 30 других серверах развернуть аналогичную тестовую систему, которую будет не страшно «уронить». Помимо этого потребуются исходные коды. Кроме того, возникают технические трудности при совмещении DAST и SAST», – рассказал Сергей Гордейчик.

Тем не менее, специалисты Positive Technologies пытаются работать на «поляне» комбинированных решений. Количества кода в среднестатистическом приложении превышает объем книги «Война и Мир», поэтому необходим удобный инструмент – кнопка, после нажатия которой производится анализ и выдается результат по уязвимостям, рассказал Денис Баранов, директор R&D по безопасности приложений Positive Technologies.

Компания готова предложить программу для тестирования Application Inspector, которая анализирует код и генерирует эксплойты. «Мы не только указываем, в какой строчке кода есть уязвимость, но также создаем, например, http-запрос, который при вводе в браузер дает доступ к системным файлам. При этом эксплойты не инвазивные, они не могут ничего поломать, а только демонстрируют проблему», – объяснил Денис Баранов.

Отчет Application Inspector об уязвимости можно загрузить в межсетевой экран PT Application Firewall, который является вторым элементом безопасности. Эксплойты автоматически направляются на файерволл, и в случае успешного прохождения защиты программа генерируют сигнатуры. Еще одна особенность связана с реакцией на атаки. Ранее межсетевые экраны выдавали предупреждения при каждом сканировании на уязвимости со стороны хакеров. Такие попытки исчисляются десятками тысяч, поэтому человек не может корректно обрабатывать столько сообщений. Новое решение срабатывает только, если злоумышленник нащупал уязвимость и пытается провести атаку через нее.