Заметка в продолжение 1и 2 ) web-приложенияимеют большое количество уязвимостей. Вероятность обнаружения уязвимостейсоставляет 80%.
Даже если вам удалось обнаружитьуязвимости в своем приложении раньше злоумышленника, есть ещё задержка вовремени, пока разработчик будет устранять уязвимости. Бывали случаи когдаразработчики интернет-банка выпускали новую версию только через год или вообще отказывались дорабатывать ПО.
Рассмотрим для примера экспресс анализрисков для web приложения.
№ | Наименование угрозы | Вероятность | Потенциальный ущерб от угрозы | Риск ИБ |
1 | Сетевые атаки на ОС из внешних или корпоративных сетей, использующие уязвимости ОС, c целью получения доступа к информации или выполнения несанкционированных действий | Низкая | Высокий | Средний (приемлемый) |
2 | Сетевые атаки на web сервис из внешних или корпоративных сетей, использующие уязвимости web сервиса, c целью получения доступа к информации или выполнения несанкционированных действий | Средняя | Высокий | Высокий (неприемлемый) |
3 | Сетевые атаки на web приложение из внешних или корпоративных сетей, использующие уязвимости web приложения, c целью получения доступа к информации или выполнения несанкционированных действий | Высокая | Высокий | Высокий (неприемлемый) |
4 | Доступа пользователей из корпоративной сети, использующих легальный доступ, c целью слива конфиденциальной информации | Средняя | Высокий | Высокий (неприемлемый) |
5 | Доступа пользователей или администраторов локально на сервер, использующие легальный доступ, c целью слива конфиденциальной информации | Нулевая | Высокий | Низкий (приемлемый) |
6 | Несанкционированный физический доступ к серверу, использующих нарушение физических мер охраны, c получения доступа к информации или выполнения несанкционированных действий | Нулевая | Высокий | Низкий (приемлемый) |
Рассмотрим контрмеры, которые можноиспользовать для нейтрализации угроз по неприемлемым рискам:
· Существенно ограничить доступ мыне можем – ведь к нашему web приложению обращается широкий круг пользователей.
· Межсетевой экран частично можетиспользоваться для нейтрализации 2 угрозы. Но не поможет нам с 3 и 4.
· Локальное система предотвращения вторженийсовсем слабо поможет с угрозой 2 и 4 и абсолютно не поможет с 3.
· Сетевое средство обнаружениявторжений поможет с 2, частично с 3-им и совершенно не поможет с 4.
В данном случае, единственным средством,понижающим риски до приемлемого уровня является специализированное средство защитыwebприложений (например,IMPERVA).
В качестве подтверждения привожу сравнение решения IMPERVA Web Application Firewall с типовым сетевым средствомобнаружения вторжений.
Требуемые возможности системы | IMPERVA WAF | Типовая IPS |
автоматическое обучение системы особенностям web приложения (dynamic profiling) | v | - |
инспекция трафика на сетевом, сервисном и прикладном уровне | v | на прикладном уровне - частично |
нормализация HTTP и XML трафика | v | поддерживается рядом производителей |
промежуточный анализ SSL и HTTPS трафика | v | поддерживается рядом производителей |
проверка вводимых в приложение данных по разрешенным спискам (White List) | v | - |
обнаружение запрещенных действий в приложении (Black List) | v | - |
автоматическое блокирование трафика атак (в том числе отдельных web-сессий) | v | блокирование только по ip, не различает пользователей |
блокирование утечки данных через web | v | - |
подмену и скрытие определенного содержимого web сервиса | v | - |
отслеживание и корреляция трафика по пользователям, отчеты о действиях пользователей в web приложении | v | - |
применение виртуальных патчей | v | поддерживается рядом производителей |
возможность интеграция со средствами защиты БД, для корреляции информации со всех уровней | v | - |