Журнал "Information Security/ Информационная безопасность" #2, 2019

пользователей. В большин- стве случаев, как и прежде, это "Межсайтовое выполне- ние сценариев" (Cross-Site Scripting, XSS). Однако в этом году доля данной уязвимости стала еще внушительней (88,5% против 77,9% в про- шлом году), рис. 9. Неужели все настолько плохо? Большинство Web-прило- жений имеют низкий уровень защищенности. При этом доля Web-приложений с край- не низким уровнем защищен- ности выросла по сравнению с прошлым годом почти в два раза, а среднее число уязвимостей в одной системе для отдельных категорий уязвимостей увеличилось многократно. Для эффективного обес- печения безопасности Web- приложений мы рекомендуем проводить анализ их защи- щенности. Наличие исходного кода (тестирование методом белого ящика) делает анализ более эффективным, позво- ляя выявить и в дальнейшем устранить уязвимости, не дожидаясь кибератак. При этом необходимо подчерк- нуть: важна регулярность такого анализа, ведь только систематический подход поз- воляет минимизировать число уязвимостей в системе и оптимизировать ресурсы для их устранения. Результаты нашего иссле- дования говорят о том, что уязвимости высокого уровня риска содержатся и в тесто- вых, и в продуктивных систе- мах. Анализ защищенности Web-приложения начиная с самых ранних этапов его раз- работки не только снижает затраты на устранение выявленных уязвимостей, но и повышает его эффектив- ность. Для исправления 83% уязви- мостей, включая большинство критически опасных, разра- ботчику Web-приложения при- дется внести изменения в про- граммный код. Не секрет, что даже частичная переработка Web-приложения может потре- бовать от компании значи- тельных ресурсов. Чтобы сни- зить риск нарушения бизнес- процессов в течение времени, которое потребуется на выпуск нового релиза Web- приложения, мы рекомендуем использовать специализиро- ванные решения, в частности межсетевые экраны уровня приложений (Web Application Firewalls, WAF). Только ком- плексный подход к защите Web-приложений сводит риск успешных кибератак к мини- муму, позволяя тем самым сохранить деньги, репутацию и доверие клиентов. Гиганты под угрозой Самый крупный взлом в истории Facebook случился в конце сентября 2018 г. 28 сен- тября гигант сферы социаль- ных медиа заявил в своем блоге, что его специалисты обнаружили инцидент инфор- мационной безопасности, напрямую затрагивающий примерно 50 млн человек и вызывающий проблемы у 90 млн человек по всему миру. Взлом заставил команду Марка Цукерберга сбросить токены авторизации еще у 40 млн человек, доведя общее количество пострадавших пользователей Facebook до 90 млн. В результате взлома порядка 90 млн пользовате- лей пришлось снова автори- зоваться в Facebook, а также в любых других приложениях, где для авторизации исполь- зовался аккаунт соцсети. Причиной нарушения дан- ных стала уязвимость в коде программы. Киберпреступни- ки сумели получить доступ к такой конфиденциальной информации, как дни рожде- ния пострадавших пользова- телей и их друзей, история активности в Facebook, пол- ное имя, адреса и вообще все, чем они делились на стра- ницах этой соцсети. Об инциденте было сообще- но властям. Facebook изви- нился и подтвердил, что нару- шение было массовым и спе- циалисты до сих пор рассле- дуют причину взлома. В настоящий момент неизвест- но, кто стоял за данной ата- кой. l 24 • ТЕХНОЛОГИИ Рис. 8. Наиболее распространенные угрозы (доля систем) Рис. 9. Уязвимости, позволяющие проводить атаки на пользователей Рис. 7. Уровень защищенности (доля Web-прило- жений) По-прежнему почти каждое Web-приложение содержит уязвимости, которые позволяют совершать атаки на пользователей. В большинстве случаев, как и прежде, это "Межсайтовое выполнение сценариев" (Cross-Site Scripting, XSS). Однако в этом году доля данной уязвимости стала еще внушительней (88,5% против 77,9% в прошлом году). Ваше мнение и вопросы присылайте по адресу is@groteck.ru