В студии AM Live эксперты обсудили причины успеха кибератак на веб-приложения, поговорили о том, как спроектировать защиту с учётом специфики организации, грамотно провести внедрение и протестировать качество защиты мобильных и веб-приложений.
- Введение
- Причины взломов российских веб-приложений
- Защита среднего и малого бизнеса
- Проблемы крупных организаций
- Роль WAF в защите веб-приложений
- Стоит ли отдать защиту веб-приложений на аутсорс?
- Как убедиться в эффективности выстроенной защиты?
- Советы от экспертов
- Выводы
Введение
С ростом популярности веб-приложений увеличивается и количество кибератак с целью проникнуть в инфраструктуру, используя уязвимости кода, конфигураций или инфраструктуры. Взломы веб-приложений могут привести к утечке конфиденциальных данных, финансовым потерям, репутационным рискам и даже юридическим последствиям.
Защита веб-приложений — это не просто дополнительная опция, а обязательное мероприятие, которое требует внимания на всех этапах разработки и эксплуатации. Эксперты обсудили, как сделать приложение устойчивым к киберугрозам — от анализа распространённых уязвимостей до внедрения современных методов защиты.
Рисунок 1. Участники эфира AM Live
Наши эксперты:
- Дмитрий Белянин, руководитель направления Pre-sale, StormWall.
- Алексей Миртов, руководитель группы архитектуры сервисов безопасности Yandex Cloud.
- Андрей Пантюшин, начальник Управления информационной безопасности Фонда «Сколково».
- Эдгар Микаелян, руководитель отдела технического пресейла Curator.
- Владимир Зайцев, заместитель технического директора NGENIX.
- Иван Шубин, независимый эксперт.
Ведущий и модератор — Илья Шабанов, генеральный директор «АМ Медиа».
Причины взломов российских веб-приложений
Эдгар Микаелян считает, что проблема заключается в уязвимом ПО. Нельзя построить инфраструктуру так, чтобы в ней не было никаких уязвимостей. Многие громкие инциденты со взломом приложений связаны в первую очередь с тем, что вся защита сконцентрирована на Mission critical сервисах. Многие элементы в инфраструктуре не получают достаточного обслуживания сервисами безопасности, а значит, у злоумышленников появляется возможность обходить защиту.
Алексей Миртов: «Сложно выделить одну основную причину. На примере случаев громких атак можно рассматривать комплекс причин: отсутствие защиты от DDoS, использование уязвимого софта, недостаточное тестирование».
Алексей Миртов, руководитель группы архитектуры сервисов безопасности Yandex Cloud
В качестве причины успешных атак Дмитрий Белянин выделил организационные проблемы: недостаточный бюджет, неправильно внедрённые политики безопасности, непонимания специфики приложения.
По словам Владимира Зайцева, заказчики иногда подходят к безопасности не как к процессу, а как к отдельным проблемам, которые достаточно решить один раз. Даже в крупных компаниях иногда можно обнаружить слабые места, которые позволяют успешно провести взлом.
Андрей Пантюшин считает, что основная проблема — в реагировании. Даже при идеальной настройке системы защиты хакеры всегда находят новые способы взлома. В таких условиях важно обеспечить своевременное реагирование, командную работу, обновление и постоянный мониторинг уязвимостей.
Чего не хватает в системе защиты компаний, подвергшихся взлому?
Крупные компании тратят значительные суммы на обеспечение информационной безопасности, приобретают все необходимые средства защиты, но, несмотря на это, становятся жертвами атак. Илья Шабанов поинтересовался, в чём проблема и чего не хватает в защите. Эдгар Микаелян объяснил, что нужно проверять, как работает защита в комплексе. Часто в компании недостаточно рационально выстроены внутренние процессы, у неё нет стратегии и тактики.
Важно учитывать, как система защиты эксплуатируется после внедрения. Также не стоит забывать о безопасности при взаимодействии с партнёрами и правильно оценивать риски. Опасной тенденцией становится создание неконтролируемых точек входа.
Эдгар Микаелян, руководитель отдела технического пресейла Curator
Алексей Миртов считает, что проблема в экспертизе: в компании нет эксперта, который умеет работать со средствами защиты. В этом случае целесообразно воспользоваться услугами специалистов по обслуживанию системы безопасности.
Владимир Зайцев согласился: наблюдается дефицит кадров, особенно в некрупных компаниях с ограниченным бюджетом. Дмитрий Белянин дополнил, что на практике возможно нецелевое использование средств защиты. В любом случае стоит учитывать специфику бизнеса.
Нужно ли защищать веб-ресурс внутри закрытой корпоративной сети?
Как объяснил Андрей Пантюшин, любая защита выстраивается с учётом модели угроз. Кроме внешних факторов, значимых для обеспечения защиты, нужно определить внутренние угрозы. С этой целью устанавливается мониторинг штатных сотрудников, гостей, гостевого Wi-Fi. Алексей Миртов добавил, что защищать внутренний ресурс в той же степени, что и публичный, не имеет смысла. Достаточно валидации API-запросов, межсервисной аутентификации.
Эдгар Микаелян предупредил, что добраться до внутреннего приложения можно с помощью социальной инженерии. Необходима оценка рисков и назначение ответственных за безопасность.
Зрители эфира AM Live считают, что в организации защиты веб-приложений чрезвычайно опасно отсутствие базовых средств защиты (anti-DDoS, WAF) (41 %) и регулярных обновлений и патчей ПО (39 %). За слабую аутентификацию и управление сессиями проголосовали 10 %.
Рисунок 2. Какова самая критичная ошибка в организации защиты веб-приложений?
Защита среднего и малого бизнеса
Некоторые компании малого и среднего бизнеса до сих пор не задумываются о безопасности веб-приложений. С точки зрения Дмитрия Белянина, а некрупные организации допускают типичную ошибку — думают, что они незаметны и не интересны атакующим. Если компания зарабатывает деньги в интернете, продаёт товары или оказывает услуги, она привлекает внимание. Конкуренты или хакеры могут предпринять злонамеренные действия, поэтому следует позаботиться об информационной безопасности.
Дмитрий Белянин, руководитель направления Pre-sale, StormWall
Алексей Миртов высказал мнение, что иногда для малого бизнеса финансово выгоднее не защищаться. Если основной бизнес работает офлайн, а сайт служит визиткой и его взлом не принесёт существенных потерь, лучше потратить средства на что-то более важное для развития в данный момент, а о защите подумать позже — по мере расширения бизнеса.
Эдгар Микаелян напомнил об уголовной ответственности юридических лиц, допустивших утечку персональных данных своих клиентов. В этом смысле владельцам компаний нужно осознавать риски. Есть доступные коробочные решения, в которых учтены все базовые элементы защиты.
Владимир Зайцев: «Многие крупные компании не понимают, что риск быть взломанным очень высок. Сейчас это данность: если хотите вести бизнес в интернете, обеспечьте хотя бы минимальную защиту».
Проблемы крупных организаций
Для атак на крупные компании используются мощные ресурсы. Даже если приобрести средства защиты на все случаи жизни и идеально всё настроить, злоумышленник всё равно может найти лазейку. Андрей Пантюшин объяснил, что, прежде чем приобрести анти-DDoS, антибот и WAF, нужно провести анализ и рассчитать максимальную нагрузку при атаках. Эти данные заносятся в контракт и техническое задание, после чего формируются требования, чтобы анти-DDoS выдерживал указанные нагрузки и сайт оставался в рабочем режиме.
Андрей Пантюшин, начальник Управления информационной безопасности Фонда «Сколково»
Является ли геоблокировка приемлемым вариантом защиты для государственных организаций? Эдгар Микаелян считает, что её допустимо использовать как экстренную, кратковременную меру. У российских провайдеров есть возможность фильтрации от DDoS без раскрытия шифрования. Так можно построить гибридную модель защиты.
Владимир Зайцев напомнил, что государственные организации должны выполнять требования регуляторов. Целесообразно выполнить комплекс мер, использовать смешанный подход, используя, в частности, облачные хранилища. Можно обратить внимание на аттестованные облачные платформы и таким образом закрыть потребность в защите.
Второй опрос показал, чего больше всего не хватает компаниям для создания комплексной защиты веб-приложений: качественного файрвола (WAF) — 29 %, понятного решения для защиты API — 24 %, процесса управления уязвимостями (VM) — 14 %. За безопасную разработку проголосовало 13 % зрителей, а за анти-DDoS и антибот — по 10 %.
Рисунок 3. Чего больше всего не хватает для создания комплексной защиты веб-приложений?
Роль WAF в защите веб-приложений
Независимый эксперт Иван Шубин оценил необходимость использования Web Application Firewall:
«Нужен ли WAF как отдельное решение? Да, если компания использует старые, не поддерживаемые Legacy-системы. При использовании современных средств защиты WAF не нужен, как показывает опыт. Он дорогой, для него нужны балансировщики нагрузки и штат специалистов, которые будут с ним работать круглосуточно. При таких тратах его использование становится нерациональным».
Иван Шубин, независимый эксперт
По мнению Дмитрия Белянина, WAF нужен не только для того, чтобы закрывать уязвимости. Его функционал значительно больше — выстраивание бизнес-логики, политики фильтрации. Чтобы исключить WAF из системы защиты, потребуется полноценная замена. Регулярное обновление приложения не исключает необходимости использования WAF.
Алексей Миртов добавил, что отказаться от WAF можно, если предпринять компенсирующие меры. Компании, у которых нет WAF, наняли большой штат сотрудников ИБ и хорошо выстроили процесс взаимодействия службы ИБ и разработки. На это тратится много усилий. Если отделы ИТ и ИБ разрозненны, то благодаря WAF обеспечено больше видимости периметра для сотрудников безопасности и дополнительные возможности контроля периметра. Также есть преимущество в виде виртуального патчинга.
Владимир Зайцев: «Избавиться от WAF не получится. Можно сэкономить, снизив количество запросов на WAF кэшированием статических объектов или выделением нелегитимного трафика».
Стоит ли отдать защиту веб-приложений на аутсорс?
В условиях кадрового голода достаточно ли аутсорса, чтобы решить проблему отсутствия экспертизы в компании? Как отметил Дмитрий Белянин, прежде всего стоит учесть специфику объекта защиты. Анти-DDoS, WAF, защиту от хакерских атак допустимо отдать на аутсорс, если позволяет бюджет. Всё, что касается внутренней разработки, как правило, выполняется своими силами, иначе можно нарушить условия NDA. Сервисы, которые не раскрывают интеллектуальную собственность, можно отдать на аутсорс.
Илья Шабанов считает, что средства защиты веб-приложений нужно отдавать на аутсорс, если нет регуляторных ограничений. Но важно учитывать SLA: какие условия прописаны, какова ответственность провайдера.
Илья Шабанов, генеральный директор «АМ Медиа»
Алексей Миртов поделился мнением, что Анти-DDoS и WAF наиболее развиты в качестве поставки в режиме аутсорса из облака.
Владимир Зайцев: «Облачные провайдеры постоянно сталкиваются с атаками, взломами — они имеют большой опыт. Если нет ограничений регуляторов, то стоит использовать облачную инфраструктуру».
Третий опрос в эфире AM Live показал, какие задачи по защите веб-приложений компании готовы передать на аутсорсинг. За настройку и поддержку средств защиты высказались 28 %, ещё 28 % не готовы использовать аутсорс вообще, за тестирование на проникновение проголосовал 21 % зрителей.
Рисунок 4. Какие задачи обеспечения безопасности веб-приложений допустимо передать на аутсорсинг?
Как убедиться в эффективности выстроенной защиты?
Нужно начинать с комплексного аудита, чтобы выявить все риски. Только после этого можно проводить пентест. Такого мнения придерживается Эдгар Микаэлян. Алексей Миртов уверен, что нужно проводить учения и проверки, при этом разделяя технику и процессы. Цели любого тестирования — это обучение возможным инцидентам и обновление политик безопасности, добавил Дмитрий Белянин.
Владимир Зайцев рассказал, что на практике компании редко заказывают тестирование. Обычно об этом заботятся крупные предприятия с особо критичными приложениями: ГИС, крупный ритейл.
Владимир Зайцев, заместитель технического директора NGENIX
Советы от экспертов
Дмитрий Белянин: «Атаки увеличиваются, и этот процесс будет продолжаться. Нужно обращать внимание на защиту API, так как вектор атак смещается в эту сторону. Будут ужесточаться требования регуляторов. Стоит нацелиться на выстраивание собственной системы защиты по модели нулевого доверия, улучшать практику работы с существующими инструментами».
Алексей Миртов: «Нужно растить свою экспертизу или отдавать защиту на аутсорс. Рационально использовать облачные решения».
Андрей Пантюшин: «Важно уделять время информационной безопасности, проверять риски и угрозы».
Эдгар Микаелян: «Будет больше подготовленных атак, которые целенаправленно бьют по известным уязвимостям, увеличивая площадь атаки. Много было ожиданий насчёт ИИ, но на данный момент он больше помогает атакующим. На отечественном рынке есть много игроков, которые могут обеспечить качественный сервис по защите. Нужно выбирать того вендора, который больше подходит конкретной компании».
Владимир Зайцев: «Нужно импортозаместиться. Российский сегмент ИТ достаточно сильный. Используя продукты отечественных вендоров, мы помогаем им становиться лучше. Также пришло время переносить инфраструктуру компаний в облака».
Илья Шабанов согласен, что не нужно бояться использовать облака. По его мнению, нужно рассматривать защиту веб-приложений как процесс, где будут предусмотрены средства защиты, патч-менеджмент, тестирование. Инструменты и методы атак постоянно меняются.
Последний опрос показал, что думают зрители о современной защите приложений. Поняли, что ещё есть над чем поработать, 45 % ответивших, а 27% убедились, что всё делают правильно.
Рисунок 5. Каково ваше мнение о современной защите мобильных и веб-приложений после эфира?
Выводы
Защита веб-приложений — это непрерывный процесс, который требует внимания, компетенций и своевременного реагирования на новые угрозы. В условиях постоянно меняющегося ландшафта кибербезопасности важно не только внедрять современные методы защиты, но и регулярно обновлять свои знания, проводить аудит безопасности и тестирование на уязвимости.
Даже небольшие ошибки в коде или конфигурации могут обернуться серьёзными последствиями. Если соблюдать лучшие практики, можно значительно снизить риски. Безопасность веб-приложения — это не только задача разработчиков, но и ответственность всей команды.
Телепроект AM Live еженедельно приглашает экспертов отрасли в студию, чтобы обсудить актуальные темы российского рынка ИБ и ИТ. Будьте в курсе трендов и важных событий. Для этого подпишитесь на наш YouTube-канал. До новых встреч!
