С начала 2024 года компания Positive Technologies отмечает рост числа успешных атак: только за первые полгода количество инцидентов в России приблизилось к показателям всего прошлого года. При этом за последние три года в 63 % случаев именно веб-приложения оказались исходным вектором атаки.
Введение
Особенно в последний год усилились DDoS-атаки на бизнес-критические веб-приложения. Теперь злоумышленники инициируют автоматические целенаправленные атаки сразу на все сайты, используя ботов, объединённых в ботнет-сети. Хакеры создают их, в том числе, с помощью устройств IoT (интернета вещей) на арендуемых серверных мощностях.
«Бизнесы любых отраслей и размеров всё больше уходят в цифру, выводя на рынок новые веб-приложения и другие онлайн-сервисы. У хакеров, соответственно, возникает больше лакомых целей. Количество атак растёт с каждым годом. При этом они усложняются и требуют новых мер защиты. DDoS-атаки грозят компаниям потерей денег за простой и репутации со стороны клиентов и партнёров., а также возможными санкциями со стороны регуляторов», — говорит Аскар Добряков, ведущий эксперт по защите веб-приложений в К2 Кибербезопасность.
Чтобы противостоять DDoS-эпидемии, участники рынка информационной безопасности активно выводят на рынок новые решения для повышения защиты высоконагруженных веб-приложений и предлагают использовать облачные сервисы для их быстрого развёртывания. Рассказываем о том, как нужно защищать веб-приложения в 2024 году.
Эшелонированный подход к защите приложений
Классический подход к защите веб-приложений и любой ценной для бизнеса информационной системы — эшелонированная оборона. При этом используется сразу несколько защитных мер на разных уровнях. Принцип простой: если злоумышленнику удалось обойти одну, его остановит следующая.
«В нашей практике первым эшелоном обороны выступает сервис защиты от DDoS-атак, зачастую также защищающий от ботов. Вторым — специализированные средства защиты, адаптированные под конкретное защищаемое приложение. Последний — это само приложение, как на уровне архитектуры, так и в части встроенных инструментов борьбы с атаками, — говорит Аскар Добряков, ведущий эксперт по защите веб-приложений в К2 Кибербезопасность. — Чтобы выстроить эффективную защиту, нужно регулярно проводить пентесты, инвентаризацию сервисов. Компаниям следует правильно оценивать риски и находить баланс между расходами на внедрение необходимых средств защиты (как явными, так и неявными, в виде затрат вычислительных мощностей и человеческих ресурсов) и рисками наступления недопустимого события. Нужно стремиться к тому, чтобы стоимость ИБ-решения была ниже, чем потенциальный убыток от возможных кибератак на веб-приложения».
Незримая безопасность
Заметен спрос на использование решений для обеспечения информационной безопасности на основе IaaS, когда конфигурация ПО делается в виде кода. Образы развёртываются автоматически по готовым шаблонам.
Довольно часто компании строят систему публикации приложений на основе различных решений: Nginx, Envoy, Kubernetes с ингресс-контроллёром и так далее. В результате изменить что-то или добавить новые реверс-прокси в подобную схему по принципу Infrastructure-as-Code весьма трудозатратно. Встроенный в систему публикации приложений WAF решает этот вопрос. Он проверяет запросы и обеспечивает безопасность, при этом не изменяя архитектуру. Подобные решения устанавливаются по принципу агентов на Nginx или другой реверс-прокси.
Взаимодействие пользователей с системами безопасности приложений и других онлайн-сервисов благодаря автоматизации процессов защиты становится минимальным. Это делает безопасность максимально незаметной, «незримой», но от этого не менее эффективной.
«Решения класса WAF служит своеобразной навесной защитой, которая обеспечивает безопасность публикуемых приложений, не тормозя при этом процесс развертывания продукта и бизнес-процессы. Если мы говорим об облачном WAF как сервисе, то такой инструмент значительно экономит ресурсы заказчика: для того, чтобы защитить своей веб-ресурс его владельцу не нужно формировать ИБ команду и содержать собственную инфраструктуру. Заказчик фокусируется на бизнесе, а защиту доверяет профессионалам», — говорит Денис Прохорчик, директор направления по развитию бизнеса облачных продуктов Positive Technologies.
Защита из облаков
На фоне роста атак злоумышленников на все отрасли, многие компании всерьёз задумались о защите своих цифровых активов. При этом не у всех есть ресурсы и экспертиза для развития и поддержки собственного штата специалистов по информационной безопасности. Поэтому на рынке всё большую популярность приобретают ИБ-инструменты как сервис — это оптимальный подход для компаний абсолютно любого размера и специфики: от небольшого интернет-магазина до хай-тек гиганта.
Более того, сейчас прослеживается тенденция на проектирование и построение ИБ платформ, которые обеспечат в перспективе возможность решать комплексные задачи, а также предоставлять необходимую функциональность в зависимости от требований бизнеса. Из облака это делать гораздо быстрее и эффективнее.
«Облачные решения для защиты веб-приложений обеспечивают гибкость в конфигурации, высокую скорость развертывания и широкие возможности масштабирования, при этом не снижая эффективность применяемых средств ИБ по сравнению с on-premise. Такие возможности реализованы, например, в сервисе на базе облачного продукта от компании Positive Technologies — межсетевом экране уровня веб-приложений PT Cloud Application Firewall» — говорит Александр Фикс.
«PT Cloud Application Firewall — первый облачный продукт от Positive Technologies, и первый шаг к реализации нашей цели сделать ИБ доступной для бизнеса любого размера, — продолжает Денис Прохорчик, директор направления по развитию бизнеса облачных продуктов Positive Technologies. — Мы как эксперты на рынке отвечаем за актуальную экспертизу и качество продукта, а специалисты облачного провайдера обеспечивают персональный подход к своим клиентам для эффективного решения поставленных задач. Команда экспертов облака K2 Cloud обеспечивает мощности, точно настраивает параметры, прорабатывает политики информационной безопасности».
Решение защищает от кибератак, снижает риски утечек данных, в том числе учётных записей пользователей, и не позволяет нарушить работу бизнеса. Управление уязвимостями приложений, обнаружение DoS L7 на ранних этапах, безопасность API, виртуальный патчинг, качественный детект атак и точечное применение машинного обучения — все эти услуги предоставляются из облака в PT Cloud Application Firewall. Кроме того, в рамках решения реализованы: анализ угроз, аналитика и отчётность в режиме реального времени.
Обсудить ситуацию в сфере защиты веб-приложений с акцентом на защите веб-приложений из облака, участники рынка могут на онлайн-митапе от компании K2 Cloud.
В мероприятии примут участие:
- Александр Фикс, менеджер продукта K2 Cloud.
- Денис Прохорчик, директор направления по развитию бизнеса облачных продуктов Positive Technologies.
Митап будет интересен директорам по ИБ, ИТ-директорам, руководителям по развитию ИТ-инфраструктуры, ведущим специалистам по ИТ и ИБ, а также всем интересующимся проблемами ИТ-безопасности.
Реклама, Рекламодатель АО "К2 Интеграция", ИНН 7701829110
ERID: 2Vfnxw5uv1n
