Месяц назад мы в Linx провели тематический вебинар, посвященный стратегиям защиты веб-приложений. Во время эфира мы поинтересовались у участников — ИТ-специалистов и руководителей — как они оценивают риски для своих проектов.
Результаты опроса оказались очень показательными: более половины слушателей признались, что не занимаются вопросами информационной безопасности без необходимости. В каком-то смысле статистика ошеломляющая, учитывая, что, по данным Positive Technologies, 98% веб-приложений в принципе могут быть взломаны.
С атаками на веб-приложения сталкиваются компании всех размеров: от крупных финансовых организаций до малого бизнеса. Большинству хакеров достаточно, что на вашем проекте есть трафик. Поговорим об актуальных угрозах и о том, почему бизнес не всегда реагирует на них, а также отметим способ защиты веб-приложений — WAF.
Общая картина — атакуют всех
В начале года американский провайдер Fastly совместно с изданием TechTarget провел опрос среди почти четырёхсот специалистов по информационной безопасности. Все они работали в компаниях, расположенных на территории Северной Америки. Специалисты отметили тренд на рост числа веб-приложений и ожидают, что их количество увеличится на 39% в ближайшие два года. При этом больше половины средних и крупных компаний в последние пару лет уже сталкивались с атаками на веб-приложения или API. Причем такие атаки задействовали малоизвестные эксплойты. Можно ожидать, что площадь для проведения атак со временем будет только увеличиваться. И этот тренд характерен не только для западных стран.
В то же время хакеры продолжают использовать недостатки веб-приложений, о которых широко известно. Специалисты европейского провайдера Claranet изучили выборку из 500 проведенных ими пентестов и составили список наиболее распространенных уязвимостей. Первые места заняли уязвимости для межсайтового скриптинга (XSS), а также устаревшие библиотеки. На проблему также обратили внимание правительственные организации — например, в Великобритании регуляторы призвали искоренить в приложениях «непростительные уязвимости», меры защиты от которых хорошо задокументированы. Однако многие организации просто не обладают необходимой экспертизой для полноценной защиты веб-приложений.
Если говорить о том, почему хакеры делают то, что они делают, то причин несколько. Первая и самая очевидная — деньги. Злоумышленники взламывают приложения, шифруют базы данных или просто их крадут, а затем требуют «выкуп» за возврат информации. Мы в Linx наблюдаем за ИБ-тенденциями и видим рост рынка коммерческого шпионажа с 2023 года. Всё чаще компании нанимают хакеров для атак на конкурентов. Злоумышленники месяцами, а иногда и годами скрытно работают в чужой инфраструктуре, постепенно выкачивая базы и нанося бизнесу ущерб.
Вторая причина — желание построить плацдарм для развития атаки. Многие ошибочно думают: «Наше приложение не интересно хакерам, так как не обрабатывает ценные данные». Но даже если это так, оно может быть связано с другими сервисами: бухгалтерскими системами, складским учётом, CRM. Злоумышленники используют приложение как лазейку, чтобы проникнуть в инфраструктуру и нанести куда более серьезный урон. В то же время хакеры вообще могут не гоняться за финансовой выгодой. Некоторым просто интересно взламывать сайты и таким образом «развивать» навыки и проявлять личную позицию.
Хактивизм — очень популярная история сейчас. Это связано с тем, что порог входа в хакерство сильно снизился. В сети можно найти множество инструментов, которые изначально разрабатывали для проведения пентестов. Сейчас их используют молодые хакеры, чтобы искать уязвимости. Им могут быть не нужны ваши базы данных, они могут просто на вас учиться.
— Денис Прохорчик, директор направления по развитию бизнеса облачных продуктов Positive Technologies
В Linx мы анализируем статистику кибератак — по отраслям, типам угроз и трендам. И данные 2024 года показывают явный сдвиг: если раньше хакеры фокусировались на госструктурах и корпорациях, теперь под удар попадает бизнес любого масштаба. За примером далеко ходить не нужно, достаточно вспомнить взлом и дефейс сайта «Тульского трогательного зоопарка». Но в отличие от проблем у какой-либо крупной площадки, когда новость о взломе разлетается по СМИ, малый и средний бизнес остаётся один на один с проблемой: «лежащим» сайтом и сорванными процессами.
Если еще раз вернуться к опросу на нашем вебинаре, то 51% слушателей придерживались подхода «пока гром не грянет, защищаться не будем», а 8% считали, что они неинтересны хакерам. Но сегодня любое веб-приложение с трафиком — потенциальная цель. Хакеры действуют системно. Допустим, сканируют зону RU, отбирая сайты по посещаемости. Затем запускают скрипты для поиска уязвимостей в популярных CMS. В итоге — получают готовый «каталог» уязвимых ресурсов. Дальше — дело техники. Часть сайтов атакуют сразу (если есть перспектива заработка), другие «наводки» продают в даркнете начинающим хакерам. Так формируется своеобразная «пищевая цепочка» киберпреступности, где даже небольшой сайт может стать разменной монетой.
Мало внимания защите
Владельцы бизнеса просто не всегда осознают, насколько уязвимы их приложения. Этот факт продемонстрировали специалисты компании Netsparker совместно с аналитическим агентством Dimensional Research. Они провели опрос среди четырехсот ИБ-специалистов, девопсов и первых лиц компаний по всему миру. Результаты получились интересными: топ-менеджеры зачастую имели искаженное представление об информационной безопасности веб-приложений в своих организациях.
Так, 75% опрошенных руководителей отметили, что в их компаниях проводят регулярное сканирование приложений на наличие уязвимостей. В то же время половина ИБ-специалистов заявила, что это не так. При этом более 60% DevOps-инженеров отметили в опросе, что уязвимости появляются быстрее, чем компания успевает их закрывать (лишь 40% руководителей также знали об этой проблеме).
Общую тенденцию подтверждает другое исследование, проведенное компанией CyCognito. Там опросили 349 специалистов из Великобритании и США — ИБ-инженеров и руководителей ИБ-подразделений. Оказалось, что более 25% сталкиваются с серьезными инцидентами безопасности веб-приложений каждую неделю. При этом свыше половины испытывают трудности с устранением уязвимостей, обнаруженных во время тестирования. 70% признали, что количество приложений в их инфраструктуре слишком велико для адекватного покрытия тестами.
Способ защиты
Кибербезопасность — это не только непосредственная защита от атак, но и снижение привлекательности инфраструктуры для злоумышленников. Как правило, в ходе киберразведки они оценивают, сколько времени и ресурсов придётся потратить на взлом, и какую выгоду он принесёт. Если цель выглядит хорошо защищенной, а потенциальные «инвестиции» в атаку на неё завышенными — они переключатся на более доступную и уязвимую жертву. Поэтому главная задача бизнеса — сделать так, чтобы хакер, оценив вашу инфраструктуру, предпочёл атаковать не вас.
Один из эффективных способов усложнить жизнь злоумышленникам — использовать Web Application Firewall (WAF). Такие системы защищают приложения от инъекций, межсайтового скриптинга и уязвимостей нулевого дня, а также обеспечивают аналитику в реальном времени. Однако развертывание и настройка таких систем требует определённых компетенций, а также инвестиций в ИБ-инфраструктуру. Для малого и среднего бизнеса это часто становится проблемой — бюджеты на безопасность ограничены, а многие руководители справедливо считают, что их главная задача — развивать бизнес, а не разбираться с киберзащитой.
Парадокс в том, что как раз отсутствие такой защиты может помешать развитию. Когда вместо работы с клиентами приходится разбираться с последствиями взлома, все «сэкономленные» на безопасности средства перестают быть преимуществом. Известны ситуации, когда интернет-магазины попадали под атаки во время «Черной пятницы» и других крупных распродаж. Покупатели не могли совершать заказы на протяжении нескольких часов и даже дней. Упущенная выгода в результате могла доходить до десятков млн рублей. При этом защита обошлась бы в разы дешевле.
Облачные WAF-решения, позволяющие организовать такую защиту и ограничить возможности для действий злоумышленников, обычно предлагают вместе с комплексом услуг. Например, мы проводим бесплатное сканирование динамическим анализатором, которое помогает обнаружить: забытые поддомены, незакрытые порты и другие скрытые уязвимости. Результаты тестов предоставляем в течение 3–5 рабочих дней и с помощью аналитики донастраиваем WAF от ложных срабатываний.
Дело в том, что изначально WAF устанавливается в так называемый «прозрачный» режим. В нем система отслеживает запросы к веб-приложению, но не блокирует их (хотя и помечает подозрительные). Спустя некоторые время появляется база для анализа, с которой начинают работу ИБ-специалисты. Они проверяют легитимность запросов и при необходимости корректируют политику WAF. Только после этого систему переводят в режим блокировки, при необходимости прибегая к точечной настройке — в зависимости от особенностей конкретного веб-приложения.
Часто наряду с облачным WAF провайдер может предложить и другие возможности. Например, сервис Anti-DDoS, который позволяет разделять легитимный и вредоносный трафик и блокировать подозрительные запросы.
Дополнительное решение — межсетевой экран нового поколения (NGFW). Помимо фильтрации трафика, он позволяет закрыть порты для администрирования веб-приложения, «спрятать» его за VPN и избежать публикации SSH-порта в интернет. Это — достаточно полезная функция для компаний с командами на аутсорсе. Дополнительно, можно усилить защиту встроенной системой предотвращения вторжений и потоковым антивирусом.
— Григорий Филатов, руководитель отдела информационной безопасности Linx
Современные кибератаки становятся сложнее — они теперь ориентированы на конкретные уязвимости приложений и используют сразу несколько векторов атаки. В ответ развиваются и технологии защиты. Облачный WAF сегодня эволюционирует в полноценную платформу безопасности приложений — Application Security Platform.
Кстати, обнаруживать сложные атаки уже помогают системы машинного обучения, и такие решения продолжают развиваться. В перспективе можно ожидать более глубокой интеграции решений статического и динамического анализа, которые позволят не только находить уязвимости, но и автоматически устанавливать обновления безопасности, оценивая их влияние на работоспособность приложений.