В новом эфире AM Live эксперты обсудили безопасность веб-приложений и веб-сайтов. Как меняются требования к их защите и какими средствами обеспечить её, чтобы она была комплексной?
- Введение
- Ландшафт угроз — 2024
- Комплексная защита веб-приложений
- Тренды развития безопасности веб-приложений
- Итоги эфира
- Выводы
Введение
Эксперты обсудили проблемы защищённости веб-сайтов коммерческих и государственных организаций. Речь шла также о том, какие есть инструменты для защиты веб-приложений и какие ошибки допускают заказчики.
Рисунок 1. Эксперты отрасли в студии телепроекта AM Live
Спикеры прямого эфира:
- Антон Апряткин, руководитель отдела клиентских решений, NGENIX;
- Денис Кораблёв, управляющий директор, директор по продуктам, Positive Technologies;
- Илья Поляков, руководитель отдела анализа кода, Angara Security;
- Дмитрий Белянин, руководитель направления предпродаж, StormWall;
- Лука Сафонов, технический директор Weblock (группа компаний «Гарда»);
- Глеб Хохлов, директор по продукту, MITIGATOR;
- Алексей Коноплёв, руководитель отдела защиты приложений в процессе эксплуатации, SolidWall.
Ведущий и модератор дискуссии — Илья Шабанов, генеральный директор «АМ Медиа».
Ландшафт угроз — 2024
Каким угрозам подвергаются веб-приложения
Антон Апряткин:
— Тренды изменились: если ранее больше говорили про утечки персональных данных, то теперь это DDoS-атаки или бот-активность. При этом кажется, что эффективного инструмента для борьбы с ботами сейчас нет, поэтому отрасль столкнулась в этом смысле с трудностями.
Антон Апряткин, руководитель отдела клиентских решений, NGENIX
Лука Сафонов:
— С точки зрения социальной инженерии стал больше использоваться политический контекст. После февраля 2022 года многие из специалистов переквалифицировались в злоумышленников. Один из хакеров с украинскими корнями написал известную утилиту «1000 игл». С её помощью атаковались РЖД, «Сбер» и другие компании. Это один из высокотехнологичных инструментов, которые были созданы специально для атак на российские ресурсы.
Дмитрий Белянин:
— Помимо очевидных атак, направленных на отказ в обслуживании и на недостатки приложения, можно выделить большую долю бот-активности. Из-за этого время отклика приложения увеличивается, а его рейтинг постепенно падает.
Илья Поляков:
— Среди Python-пакетов было выявлено много ошибок, которые могут быть вредоносными. Видимо, механизмы защиты недостаточно полно реализованы.
Илья Поляков, руководитель отдела анализа кода, Angara Security
Глеб Хохлов:
— Безусловно, количество атак кратно увеличилось. В последние два года стали подвергаться атакам новые организации, которые ранее не были интересны хакерам. Многие пользователи в связи с этим стали замечать вывод из строя разных сервисов.
Алексей Коноплёв:
— В последнее время участились атаки, где злоумышленники при «попытке восстановить пароль» отправляют множество запросов на доставку кода и тем самым заставляют компанию терять деньги.
Алексей Коноплёв, руководитель отдела защиты приложений в процессе эксплуатации, SolidWall
Также есть большое количество атак направленных на «выпадение» из поисковой выдачи.
Денис Кораблёв:
— Тренды атак — это уязвимости общетипового софта, который используется во многих компаниях страны. Их тяжело «ловить», потому что есть софт, разработчики которого мало думали про безопасность. Однако это массовые истории, о которых говорят. Есть вещи, о которых молчат, происходящие на более высоких уровнях атаки и защиты.
Кто в группе риска и как меняются тактики
Если у компании есть веб-приложение и оно заметно, то либо его уже атаковали, либо компания просто не знает об этом, подчеркнул Антон Апряткин. Спикер отметил электронную коммерцию: хакеры часто пытаются нанести урон именно таким компаниям. Также под прицелом злоумышленников — те ресурсы, которыми пользуются многие россияне (государственные сайты или популярные приложения).
Эксперты отметили, что хакеры долгое время пользовались уязвимостями в Bitrix. Злоумышленники также стали часто пользоваться уязвимостями в мобильных приложениях, в т. ч. с помощью агрессивного сбора информации с ресурса. Были созданы инструменты, которые собирают незащищённые протоколы и продают их в Сети в виде подписки, отметил Лука Сафонов.
Лука Сафонов, технический директор Weblock (группа компаний «Гарда»)
По словам Алексея Коноплёва, для защиты от атак по исчерпанию пропускной способности можно использовать технологии, которые позволяют быстро принимать решения. При этом со стороны заказчиков появился запрос на возможность интеграции с другими продуктами, для обеспечения комплексной защиты.
Большая часть зрителей эфира AM Live (38 %) считают, что главная проблема безопасности приложений связана с уязвимостями самого ПО или его компонентов. 20 % ответили «небезопасный дизайн или конфигурация». Для 17 % проблема состоит в отсутствии необходимых средств защиты, а для 12 % — в нарушениях контроля доступа. По мнению 10 % зрителей, к проблемам приводят ошибки администрирования. Оставшиеся 3 % отметили «другое».
Рисунок 2. С чем связаны основные проблемы безопасности веб-приложений?
Как изменились требования регулятора к защите
Лука Сафонов отметил общий тренд на легализацию деятельности «белых» хакеров через программы вознаграждений (Bug Bounty). Сейчас регуляторы проделывают большую работу в отношении того, как привлекать таких людей и как вывести всё это в правовое поле.
Денис Кораблёв отметил, что ФСТЭК России в первую очередь заботится о безопасности «ядра», а таких практик, которые были бы применимы для веб-приложений или ресурсов на периферии, пока немного.
Регуляторы также «закручивают гайки» и повышают штрафы и ответственность за утечку персональных данных. Ужесточились требования по использованию отечественных решений на объектах КИИ.
Комплексная защита веб-приложений
Фильтрация трафика — панацея?
Илья Шабанов вспомнил о дискуссиях по поводу «закрытого интернета», который может оказаться «безопасным». Если отключить каналы связи, то и атак станет меньше, считают пользователи Сети.
Илья Шабанов, генеральный директор «АМ Медиа»
Фильтрация трафика отчасти помогает при кибератаке, но у этих инструментов есть минусы, отметил Дмитрий Белянин. Например, GeoIP даёт погрешность до 5 %, плюс работа сотрудников за рубежом усложняет использование фильтрации такого рода. Кроме того, сейчас большая часть атак идёт с прокси-серверов в России (около 20 %), поэтому фильтрация будет не такой эффективной.
По мнению Луки Сафонова, 90 % атак идут с арендованных или взломанных мощностей провайдеров на территории России, поэтому фильтрация трафика не поможет.
Подавляющее большинство зрителей телеэфира (63 %) считают, что в случае изоляции рунета безопаснее отнюдь не станет. 23 % считают, что это может положительно повлиять на защищённость. Поровну, по 7 %, ответили «безусловно да» и «точно нет».
Рисунок 3. Станет ли рунет безопаснее в случае его изоляции?
Как изменился спрос на средства защиты в 2023 году
Денис Кораблёв:
— Как только началась СВО, выросли продажи тех российских продуктов, которые способны найти следы злоумышленников — например, класса WAF или Network Attack Discovery. Из-за высокого спроса на продукты вендоры стали больше вкладываться в их развитие. Популярность WAF можно объяснить тем, что в России очень мало вендоров и очень много клиентов. Растёт сейчас и сегмент DevSecOps.
Денис Кораблёв, управляющий директор, директор по продуктам, Positive Technologies
Эксперты отметили, что в России создаётся замена для американского Cloudflare, который обеспечивает защиту от DDoS-атак, предоставляет безопасный доступ к ресурсам и серверы DNS. Сервисы Cloudflare работают как обратный прокси для сайта. Сейчас со стороны российских компаний наблюдается большой спрос на них.
Эшелонированный подход к защите
По словам Глеба Хохлова, первый эшелон защиты — это само приложение, как на уровне архитектуры, так и в части встроенных инструментов борьбы с атаками. Второй эшелон — это сервер, на котором работает приложение. Важно заложить возможность горизонтального масштабирования, т. к. многие приложения не готовы к работе в кластере. Для этого необходим балансировщик, чтобы «разбрасывать» трафик по нескольким узлам. В особенности это важно при подготовке к отражению DDoS-атаки, отметил спикер.
WAF — это ещё один эшелон, который необходимо настраивать. Свою роль играет и специализированное решение для борьбы с DDoS, в т. ч. локальное (on-premise). Следом нужно закрыть сеть от ненужного компании трафика (порты, протоколы и т. д.). Все эти эшелоны эффективны только в рамках своей полосы пропускания. Есть также «защита последней мили», которая ложится на операторов связи.
Нельзя забывать и о защите от ботов, которую необходимо ставить до WAF. Нужно проводить тесты защиты и инвентаризацию сервисов. Компаниям следует правильно оценивать риски, учитывая замедление работы и внедрение необходимых средств защиты.
Проблемы безопасности веб-приложений
Ровно половина зрителей эфира посчитала, что недостаточная безопасность веб-приложений связана с отсутствием культуры безопасной разработки. Вариант «не востребовано заказчиками» выбрали 15 % респондентов. 13 % считают, что проще внедрить накладные СЗИ, ещё столько же — что «это дорого». 6 % отметили желание всех заработать на интеграции, 3 % видят проблемы в отсутствии требований регулятора.
Рисунок 4. Причины плохой интеграции безопасности в веб-приложения
Антон Апряткин:
— В первую очередь, защита не поспевает за внедрением функций. При этом от рынка появляется спрос на новые технологии. Но вендорам и самим разработчикам нужно время для того, чтобы «обкатать» инновации. Развивая новое решение или продукт, нужно закладывать бюджет на ИБ на старте его разработки.
Главные ошибки при защите веб-приложений
Защита должна быть комплексной, отметил Дмитрий Белянин. Не нужно уповать на геоблокировку или защиту одного эшелона. Нужно также обучать специалистов работать со средствами обеспечения безопасности.
Нужно также понять, как станет выглядеть защита приложения в будущем и какие шаги для её реализации понадобится сделать, подчеркнул Денис Кораблёв. Иными словами, необходимо прописать соответствующую стратегию.
Глеб Хохлов:
— Главная ошибка состоит в том, что компании не проверяют, как у них работает защита. Нужно проводить учения и инвентаризацию.
Ещё одна важная ошибка — забыть защитить какой-либо смежный ресурс, считает Лука Сафонов: например, защищать основную версию сайта, но забыть о мобильной.
Нужно также убедиться, что приложение способно выдерживать высокие нагрузки. Для этого стоит заранее проводить специальные тесты, считает Антон Апряткин. Иначе ни один поставщик такого заказчика не защитит.
36 % зрителей сказали, что для комплексной защиты веб-приложений им не хватает персонала, а 17 % — что им нужна защита от ботов. Качественного файрвола (WAF) недостаёт 15 % респондентов. 12 % мечтают о надёжной защите от DDoS-атак, ещё столько же — о процессе управления уязвимостями (VM). 8 % выбрали безопасность программных интерфейсов (API).
Рисунок 5. Чего вам не хватает для комплексной защиты веб-приложений?
Тренды развития безопасности веб-приложений
Дмитрий Белянин:
— Защите веб-приложений стоит уделять более пристальное внимание, так как мощность атак и их количество увеличиваются. Будет расти спрос на услуги профессиональной защиты (и, соответственно, конкуренция). Появится стандарт защиты веб-приложений.
Дмитрий Белянин, руководитель направления предпродаж, StormWall
Алексей Коноплёв:
— Несмотря на уход западных вендоров, в России масса качественных решений. Всегда можно выбрать подходящее.
Денис Кораблёв:
— Я бы посоветовал заказчикам требовать процесса безопасной разработки от вендоров, у которых они покупают решения. А для вендоров через два-три года безопасная разработка станет обычным стандартом.
Глеб Хохлов:
— Защиту стоит настраивать эшелонированно. И так как специалистов по ИБ недостаточно, нужно полагаться на средства защиты информации. Чтобы решить эту проблему, нужно идти в сторону безопасной разработки.
Глеб Хохлов, директор по продукту, MITIGATOR
Лука Сафонов:
— Нейросети хорошо будут выявлять профили «чистых» пользователей, а также пригодятся в вопросах прогнозирования разработки. Машинное обучение станут активно применять для защиты от злоумышленников. Но и хакеры пользуются этими же методами для усложнения атак.
Антон Апряткин:
— Фокус хакеров смещается на многовекторные, постепенные, менее заметные атаки и на бот-активность. Для выбора качественного средства защиты нужно не только обращать внимание на его функциональность, но и оценивать уровень техподдержки, интеграции решения вендора.
Итоги эфира
Финальный опрос зрителей телеэфира показал: более 70 % респондентов поняли, что им есть над чем работать. 15 % убедились, что всё делают правильно, а 7 % — собираются внедрять новые средства защиты. 5 % посчитали защиту веб-приложений интересной, но пока избыточной для себя. 2 % респондентов не поняли темы беседы.
Рисунок 6. Каково ваше мнение о современной защите веб-приложений после эфира?
Выводы
Веб-сайты и веб-приложения постоянно атакуются. Под прицелом — популярные государственные и частные сервисы. В связи с этим пользователи часто сталкиваются с недоступностью привычных ресурсов. Эксперты выделяют рост бот-активности, высокий уровень социальной инженерии и политическую мотивированность многих атак.
Спикеры прямого эфира посоветовали практиковать безопасную разработку приложений, то есть заботиться о безопасности на уровне кода. Но и этого недостаточно: нужно обеспечить комплексную эшелонированную защиту каждого слоя инфраструктуры, включая смежные ресурсы, вычислительные мощности и персонал.
Телепроект AM Live еженедельно собирает экспертов отрасли в студии для обсуждения актуальных тем российского рынка ИБ и ИТ. Будьте в курсе трендов и важных событий. Для этого подпишитесь на наш YouTube-канал. До новых встреч!
