Новые решения ИБ сводят к минимуму участие человека в защите информации. Какие именно принципы положены в работу таких программ и где они будут востребованы в первую очередь? Ответы на эти вопросы прозвучали на конференции по защите веб-приложений, состоявшейся в Москве 8 октября по инициативе CNews Conferences, CNews Analytics и компании Positive Technologies.
По мере развития сетевых технологий фокус специалистов ИБ смещается от защиты машин к обеспечению безопасности прикладных систем. Наиболее актуальна эта проблема для сервисов интернет-банкинга, порталов государственных услуг, сайтов, через которые проводятся тендеры. Защищенность этих ресурсов оставляет желать лучшего. Согласно данным Positive Technologies за первые 9 месяцев 2014 г., 77% сайтов содержат критические уязвимости, а в случае технологии PHP этот показатель достигает 100%. При этом 92% сайтов содержат уязвимости среднего уровня опасности и 88% – уязвимости с низким риском реализации.
Одна из наиболее распространенных уязвимостей называется Cross Site Scripting (XSS, «межсайтовый скриптинг») и относится к разряду средней опасности. Технология заключается во внедрении в веб-страницу вредоносного кода, который будет выполнен на компьютере пользователя при открытии им этой страницы. В этом случае жертве приходит сформированная злоумышленником ссылка, при переходе по которой запускается вредоносный код. Таким рискам подвержены 72% сайтов, что несколько меньше показателя 2013 г. (78%).
Наибольшую обеспокоенность вызывают атаки с внедрением SQL-кода, которые позволяют нападающему выполнить произвольный запрос к базе данных (прочитать, удалить, изменить или добавить информацию). Такой опасности подвержены 62% веб-ресурсов, что на 19% больше, чем в предыдущем году. В десятке наиболее распространенных уязвимостей это единственная проблема, имеющая отметку «критическая». Вторая по популярности критическая уязвимость XML External Entities (XXE) в этом году не попала в десятку за счет роста проблем с безопасностью по другим направлениям. Уязвимости XXE в 2014 г. были обнаружены в 18% сайтов. Данный способ позволяет злоумышленникам получить доступ к защищенным файлам за счет уязвимостей в языке XML.
Распространенные в 2014 г. уязвимости
Источник: Positive Technologies, 2014
Следует отметить, что даже уязвимости не самого высокого уровня в комбинации могут носить критический характер. «В нашей практике был случай, когда злоумышленники воспользовались уязвимостью класса XSS для рассылки ссылок клиентам системы ДБО одного банка. В этом же учреждении была обнаружена ошибка при авторизации, из-за которой для подтверждения операции не обязательно было отправлять сообщение с SMS-кодом. В результате хакеры смогли сформировать ссылку, при переходе по которой со счета жертвы автоматически списывались средства», – рассказала руководитель аналитического отдела Positive Technologies Евгения Поцелуевская.
Кто уязвим в первую очередь?
В обеспечении безопасности приложений заинтересованы все владельцы информационных систем, однако можно выделить несколько групп заказчиков, для которых эта тема особенно актуальна. Прежде всего это банковский сектор, которому необходимо защитить финансовые данные клиенты и обеспечить безопасность онлайн транзакций. Финансовые компании хорошо осознают опасность, но обеспечить надежную защиту удается далеко не всегда. Согласно данным пен-тестов Positive Technologies, доля финансовых систем с критическими уязвимостями достигает 67%, еще в 30% найдены ошибки в коде среднего уровня риска.
Вторая группа учреждений, подвергающихся опасности, относится к госсектору. Статистика по этому направлению не столь удручающая, но это связано с тем, что чиновники привлекают специалистов по ИБ только в самом крайнем случае, когда речь идет о проекте федерального масштаба, который «выстрелит» на всю страну, например, системы Олимпиады или ЕГЭ. «К сожалению, законодательно не закреплено требований к предприятиям госсектора по проверке приложений с привлечением ИБ-специалистов», – рассказала Евгения Поцелуевская.
В третью группу риска попадают предприятия топливно-энергетического сектора. С одной стороны, системы таких компаний носят информативный характер, все важные взаимодействия с клиентами и партнерами происходят в режиме офлайн. Однако ситуация меняется, и часто в интернете публикуется важная информация о поставщиках и клиентах, обрабатываемая приложениями класса SRM (Supplier relationship management) или CRM.
Кроме того, примерно в 30% случаев через веб-сайт можно проникнуть во внутреннюю сеть предприятия и получить доступ к АСУ ТП – средствам автоматизации управления технологическим оборудованием на промышленных предприятиях.
Одной из новых тенденций, подстегивающих тему ИБ в госсекторе, банковской сфере и ТЭК, является проблема импортозамещения. Системное ПО и аппаратная часть переводятся в разряд недоверенных продуктов, где производитель мог оставить незадекларированные возможности для проведения атак. При этом на рынке не представлено российских аналогов «железа», а в некоторых случаях и системных программ. Таким образом, перед специалистами по ИБ возникает проблема, как собрать защищенную систему из небезопасных элементов?
Нужно действовать на опережение
Главное правило, которое нужно запомнить представителям бизнеса, это то, что дешевле «мыть руки, а не делать прививки», уверены специалисты по ИБ: «Уязвимости, обнаруженные в процессе эксплуатации приложения, обойдутся в сотни и тысячи раз дороже, чем уязвимости, выявленные на этапе разработки», – отметил заместитель генерального директора компании Positive Technologies Сергей Гордейчик. В пример он привел недавно выявленную уязвимость ShellShock в Linux, которая была заложена в программном коде много лет назад, но стала достоянием общественности только сейчас. В результате под ударом оказалось огромное количество систем: веб-серверы, системы сборки, мобильные приложения, десктопы. «Сейчас все ИТ-сообщество вынуждено затыкать эту дыру, а сделать это очень сложно: представьте себе, каких усилий потребует перезагрузить облачную платформу, у которой миллионы клиентов», – рассказал Сергей Гордейчик.
В превентивных целях можно использовать средства тестирования уязвимостей, позволяющие заблаговременно выявить «дыры», которые могут быть использованы хакерами. На данный момент на рынке представлен огромный ассортимент продуктов тестирования. С технической точки зрения есть две классификации таких решений. Во-первых, это деление по «цвету» ящика: в случае с так называемым «черным ящиком» анализ приложения производится без доступа к исходному коду на сервере, а «белый ящик» предполагает такой доступ. Вторая градация привязана к запуску приложения: статический анализ подразумевает работу с кодом без запуска программы, а при динамическом анализе проходит тестирование в «боевых условиях».
Какое количество уязвимостей позволяет выявить методы черного и белого ящика?
Источник: Positive Technologies, 2014
На практике существует три комбинации этих подходов. Во-первых, это DAST – динамический анализ без доступа к исходному коду, который используется при разработке приложения. В систему подаются «плохие» данные, а дальше специалисты смотрят на ее реакцию. Использовать такой подход на работающем приложении нельзя, так как это приведет к отказу сервиса у множества пользователей. Второй вариант называется SAST – он предполагает проведение статистического анализа исходного кода на стадии эксплуатации приложения. Минус этого способа заключается в том, что даже теоретически выявить все уязвимости одной системы с помощью другой нельзя.
DAST и SAST позволяют выявить разные группы уязвимостей, поэтому появилась потребность в комбинированном подходе, который получил название IAST. В этом случае нужен доступ как к действующему приложению, так и к исходному коду. К сожалению, на практике такой вариант реализовать сложно: «Представьте систему интернет-банка, развернутую на 30 серверах. Для проведения динамического анализа нужно на 30 других серверах развернуть аналогичную тестовую систему, которую будет не страшно «уронить». Помимо этого потребуются исходные коды. Кроме того, возникают технические трудности при совмещении DAST и SAST», – рассказал Сергей Гордейчик.
Искусственный интеллект против кибератак
Тем не менее, специалисты Positive Technologies пытаются работать на «поляне» комбинированных решений. «Количества кода в среднестатистическом приложении превышает объем книги «Война и Мир», поэтому необходим удобный инструмент – кнопка, после нажатия которой производится анализ и выдается результат по уязвимостям», – рассказал Денис Баранов, директор R&D по безопасности приложений Positive Technologies.
Компания готова предложить программу для тестирования Application Inspector, которая анализирует код и генерирует «эксплойты». «Мы не только указываем, в какой строчке кода есть уязвимость, но также создаем, например, http-запрос, который при вводе в браузер дает доступ к системным файлам. При этом «эксплойты» не инвазивные, они не могут ничего поломать, а только демонстрируют проблему», – объяснил Денис Баранов.
Отчет Application Inspector об уязвимости можно загрузить в межсетевой экран PT Application Firewall, который является вторым элементом безопасности. Эксплойты автоматически направляются на файерволл, и в случае успешного прохождения защиты программа генерируют сигнатуры. Еще одна особенность связана с реакцией на атаки. Ранее межсетевые экраны выдавали предупреждения при каждом сканировании на уязвимости со стороны хакеров. Такие попытки исчисляются десятками тысяч, поэтому человек не может корректно обрабатывать столько сообщений. Новое решение срабатывает только, если злоумышленник нащупал уязвимость и пытается провести атаку через нее.
Главный тренд в разработке средств ИБ, который отмечают в Positive Technologies, – это создание автоматически работающих продуктов, которые сводят к минимуму участие человека. Современные системы безопасности должны самостоятельно запускаться, скачивать обновления, проводить сканирования, бороться с вторжениями, утверждает Денис Баранов.
Павел Лебедев