Безопасность Web-приложений

Роман Ламинин, технический специалист компании Rainbow Security

ИНФОРМАЦИОННАЯ безопасность - комплексный, вечно продолжающийся процесс, значимость которого сложно недооценить. Но, к сожалению, часто ему не уделяется должного внимания. Именно халатное отношение к ИБ и безопасности Web-приложений в частности может привести к значительным потерям для компании - как репутационным, так и экономическим. Известен факт, что многие компании полагаются на профессионализм разработчиков Web-приложений. Считается, что если разработчик высококвалифицированный, то он сумеет создать приложение, которое максимально защищено от любых внешних угроз. Однако это не так, всегда найдутся уязвимости. Ответ - в психологии: на практике усилия разработчиков направлены на оптимизацию, эффективность приложения и удобство пользователей, в то время как злоумышленник ищет скорее изъяны, несоответствия политикам безопасности. Не лишним будет упомянуть и теорему Тихонова, которая гласит, что чем больше программный код, тем больше в нем уязвимостей. В связи с тем что приложения сегодня создаются на языках высокого уровня, вероятность того, что будут найдены ошибки, очень велика.

Уязвимости и угрозы

Один из основных мифов - Web-приложение безопасно благодаря использованию Firewall, IDS/IPS. Вся защита многих компаний во время использования HTML-кодов сводилась лишь к установке нескольких пакетных фильтров. То есть по большому счету просматривались лишь первые четыре уровня модели OSI. При этом отмечу, что каждый пакетный фильтр принципиально не может ни определить содержимое запросов, ни провести контент-анализ. Особенно критичной эта проблема стала, когда начали использоваться БД, скрипты, технологии Java, Flash, ActiveX и прочее. С их появлением и распространением вся прежняя защита стала просто бесполезной.

Сегодня одной из самых критичных угроз является Cross-Site Scripting (XSS), позволяющая злоумышленникам манипулировать содержанием и действиями интернет-приложений в пользовательском браузере без взлома самих сайтов. К этой же категории относятся связанные с XSS уязвимости, включая Script Insertion и Cross-Site Request Forgery. Уязвимости Cross-Site Scripting часто используются против определенных пользователей Web-сайтов для кражи их учетных записей или организации атак от чужого имени. Другая серьезная угроза - утечка информации. Опасно давать пользователю больше информации, чем ему надо знать. Например, недопустимо при какой-либо ошибке выводить часть SQL-запроса или имя служебного файла. Подобные утечки создают фундамент для будущих атак. И чем меньше знает пользователь о том, как работает приложение, тем лучше.

Технологическая и административная безопасность

Базовое решение проблем безопасности Web-приложений должно сводиться к двум факторам: к обеспечению, во-первых, технологической безопасности, а во-вторых, административной. Причем второй фактор занимает около 80% всей системы безопасности. Именно от административных решений зависит во многом надежность системы ИБ и Web-приложений в частности. Всегда важно помнить, что разрабатываемое или настраиваемое приложение должно соответствовать основным нормативным документам и политике безопасности. Изначально компании необходимо выстроить свою вертикаль системы безопасности, прописать политику безопасности, благодаря которой каждый сотрудник сможет увидеть, что ему разрешено, а что нет. У каждого должен быть свой список должностных инструкций и регламент поведения. Без этих базовых вещей технологическая часть просто бессмысленна.

Что касается технологической стороны, то здесь в обязательном порядке должен быть прописан регламент разработки Web-приложений, в котором, например, указываются пути миграции данных. Также необходимо проводить аудит Web- и внутренних ресурсов, реализовать строгую аутентификацию пользователей, четко разграничивать права доступа к ресурсам как внешних, так и внутренних пользователей, использовать Web Application Firewall, host based intrusion prevention system или HIPS в дополнение к сетевой IPS.

Опыт ряда российских компаний показывает

Даже крупные организации зачастую защищают своих пользователей при помощи сомнительных антивирусов, устанавливают бесплатные или очень дешевые и неэффективные решения. Однако, поступая так, они опираются лишь на текущую задачу экономии IT-бюджетов и не думают о будущем. Некоторые перемены в сознании руководителей компании и IT-директо-ров произошли с наступлением кризиса. Многие стали задумываться не просто о приобретении какого-либо решения, а о его эффективности. Лучше однажды приобрести более дорогое, но эффективное решение, чем нести потери из-за действий злоумышленников и постоянно модернизировать систему IT-безопасности. Подтверждают эту мысль данные компании IDC, согласно которым при отсутствии постоянной модернизации системы ИБ в течение двух лет операционные расходы превысят капитальные вложения на покупку новой системы. Это касается как IT-безопасности в целом, так и безопасности Web-прило-жений в частности.