СОИБ. Проектирование. Защита web приложений

СОИБ. Проектирование. Защита web приложений

Заметка в продолжение 1и 2 )  web-приложенияимеют большое количество уязвимостей. Вероятность обнаружения уязвимостейсоставляет 80%.
Даже если вам удалось обнаружитьуязвимости в своем приложении раньше злоумышленника, есть ещё задержка вовремени, пока разработчик будет устранять уязвимости. Бывали случаи когдаразработчики интернет-банка выпускали новую версию только через год  или вообще отказывались дорабатывать ПО.

Рассмотрим для примера экспресс анализрисков для web приложения.
Наименование угрозы
Вероятность
Потенциальный ущерб от угрозы
Риск ИБ
1
Сетевые атаки на ОС из внешних или корпоративных сетей, использующие уязвимости ОС,  c целью получения доступа к информации или выполнения несанкционированных действий
Низкая
Высокий
Средний
(приемлемый)
2
Сетевые атаки на web сервис из внешних или корпоративных сетей, использующие уязвимости web сервиса,  c целью получения доступа к информации или выполнения несанкционированных действий
Средняя
Высокий
Высокий (неприемлемый)
3
Сетевые атаки на web приложение из внешних или корпоративных сетей, использующие уязвимости web приложения,  c целью получения доступа к информации или выполнения несанкционированных действий
Высокая
Высокий
Высокий (неприемлемый)
4
Доступа пользователей из корпоративной сети, использующих легальный доступ,  c целью слива конфиденциальной информации
Средняя
Высокий
Высокий (неприемлемый)
5
Доступа пользователей  или администраторов локально на сервер, использующие легальный доступ,  c целью слива конфиденциальной информации
Нулевая
Высокий
Низкий (приемлемый)
6
Несанкционированный физический доступ к серверу, использующих нарушение физических мер охраны,  c получения доступа к информации или выполнения несанкционированных действий
Нулевая
Высокий
Низкий (приемлемый)

Рассмотрим контрмеры, которые можноиспользовать для нейтрализации угроз по неприемлемым рискам:
·       Существенно ограничить доступ мыне можем – ведь к нашему web приложению обращается широкий круг пользователей.
·       Межсетевой экран частично можетиспользоваться для нейтрализации 2 угрозы. Но не поможет нам с 3 и 4.
·       Локальное система предотвращения вторженийсовсем слабо поможет с угрозой 2 и 4 и абсолютно не поможет с 3.
·       Сетевое средство обнаружениявторжений поможет с 2, частично с 3-им и совершенно не поможет с 4.

В данном случае, единственным средством,понижающим риски до приемлемого уровня является специализированное средство защитыwebприложений (например,IMPERVA).

В качестве подтверждения привожу сравнение решения IMPERVA Web Application Firewall с типовым сетевым средствомобнаружения вторжений.

Требуемые возможности системы
IMPERVA WAF
Типовая IPS
автоматическое обучение системы особенностям web приложения (dynamic profiling)
v
-
инспекция трафика на сетевом, сервисном и прикладном уровне
v
на прикладном уровне - частично
нормализация HTTP и XML трафика
v
поддерживается рядом производителей
промежуточный анализ SSL и HTTPS трафика
v
поддерживается рядом производителей
проверка вводимых в приложение данных по разрешенным спискам (White List)
v
-
обнаружение запрещенных действий в приложении (Black List)
v
-
автоматическое блокирование трафика атак  (в том числе отдельных web-сессий)
v
блокирование только по ip, не различает пользователей
блокирование утечки данных через web
v
-
подмену и скрытие определенного содержимого web сервиса
v
-
отслеживание и корреляция трафика по пользователям, отчеты о действиях пользователей в web приложении
v
-
применение виртуальных патчей
v
поддерживается рядом производителей
возможность интеграция со средствами защиты БД, для корреляции информации со всех уровней
v
-

СОИБ проектирование web приложения
Alt text

Баги в софте могут влиять на судьбы заключенных в тюрьмах, недобросовестные полицейские находят слабые места в копирайт-защите соцсетей. Смотрите новый выпуск на нашем Yotube канале