Журнал "Information Security/ Информационная безопасность" #2, 2018

Традиционная защита периметра не в силах защи- тить Web-приложение от киберзлоумышленника, поскольку уязвимости Web- приложений эксплуатируют- ся через открытый HTTP(S)- канал. Поэтому, скомпроме- тировав Web-приложение, преступник может получить доступ к наиболее чувстви- тельным данным организа- ции и модифицировать их: информацию о клиенте, информацию о транзакциях и другие корпоративные данные. Лучший из существую- щих на сегодняшний день фреймворков кибербезопас- ности описан в книге Enter- prise Cybersecurity, где под- черкивается, что абсолют- ная неуязвимость принципи- ально недостижима. Это связано с тем, что предпри- имчивый злоумышленник, имея неограниченное коли- чество времени, способен преодолеть даже самую передовую защиту. Поэтому эффективность корпоратив- ной программы кибербезо- пасности оценивается не в абсолютных категориях, а в относительных: насколько быстро она позволяет обна- руживать кибератаки и насколько долго она позво- ляет сдерживать натиск про- тивника. l A8 и A10 – не вошли в свежую версию рейтинга. Они, конечно, по-прежнему на слуху, однако поскольку Web-фреймворки стали разворачивать против них эффективные контрмеры, дан- ные уязвимости отодвинулись на второй план; l A3 vs A7:2017. XSS ранее занимала более высокую строч- ку, но теперь переместилась на седьмую позицию, потому что появилось несколько эффек- тивных фреймворков, обеспечи- вающих защиту от XSS. Однако XSS по-прежнему очень рас- пространена и довольно часто применяется в атаках на Web- приложения. Вышеприведенные векторы атак актуальны для Web-при- ложений финансовой инду- стрии, где в списке самых акту- альных угроз они идут под № 2, сразу же за Crimeware (класс вредоносных программ, специ- ально предназначенных для автоматизации киберпреступ- ности). Positive Technologies отмечает, что во всех проте- стированных приложениях бан- ков и других финансовых орга- низаций найдены уязвимости высокой степени риска. Такие результаты связаны с тем, что приложения банков имеют более сложную логику работы по сравнению с информацион- ными Web-ресурсами других организаций. Этот фактор соз- дает предпосылки для появле- ния большего числа уязвимо- стей высокой степени риска, эксплуатируя которые, киберз- лоумышленник может, напри- мер, выполнить произвольный код на целевой системе и захва- тить полный контроль над сер- вером, под управлением кото- рого работает Web-приложе- ние. Как хакеры атакуют Web-приложения До появления Web-прило- жений Web-сайты работали по простому принципу: Web- сервер отправлял браузеру статическую html-страницу, а браузер просто отображал ее. Никакие чувствительные бизнес-данные не уходили в онлайн-среду. Сегодня, в эпоху Web-приложений (раз- работанных на громоздких языках программирования, поддерживающих все возрас- тающее количество разнооб- разных Web-технологий), для хранения важных корпоратив- ных и клиентских данных используется сервер. Традиционная защита пери- метра не в силах защитить Web-приложение от киберзло- умышленника, поскольку уязвимости Web-приложений эксплуатируются через откры- тый HTTP(S)-канал (рис. 3). Поэтому, скомпрометировав Web-приложение, преступник может получить доступ к наи- более чувствительным данным организации и модифициро- вать их: информацию о клиен- те, информацию о транзакциях и другие корпоративные дан- ные (рис. 4). Эксплуатируемые киберзло- умышленником уязвимости зачастую опираются на слож- ные сценарии пользователь- ского ввода: неожиданные для разработчика Web-приложе- ния данные могут серьезно нарушить логику работы при- ложения и привести к выпол- нению произвольного кода. Поэтому процедура проверки пользовательского ввода – это первая линия обороны Web- приложения. Одним из самых больших источников ошибок является недостаточная проверка вво- димых пользователем данных, а также возможность обойти эту проверку, если она осу- ществляется на стороне брау- зера, например, с помощью JavaScript. На первый взгляд, использование скриптового языка на клиентской стороне (в браузере) может показаться предпочтительным, поскольку таким образом можно суще- ственно снизить нагрузку на сервер. Однако браузер – это неконтролируемая зона. Все данные, поступающие к брау- зеру и идущие от него, могут быть модифицированы, в обход подпрограмм проверки входных данных. Чем целенаправленные атаки отличаются от прочих Никакая отдельно взятая защитная технология, даже самая универсальная, не смо- жет защитить от целенаправ- ленной атаки, в особенности 22 • ТЕХНОЛОГИИ Рис. 3. Векторы Web-атак Рис. 4. Web-приложения полностью открыты для внешнего мира