Эффективная защита Web-приложений от внешних и внутренних угроз с помощью продуктов компании Imperva

Мария Датриева, руководитель направления по созданию центров мониторинга ИБ компании "Инфосистемы Джет"

ЭФФЕКТИВНОСТЬ бизнеса напрямую зависит от инструментов, используемых для его ведения. Такими инструментами являются в том числе различные бизнес-приложения (ERP, CRM, EPM и т.д.), необходимые для управления, контроля и ведения бизнеса. В основном подобные приложения реализуются с использованием Web-технологий, так как границы офиса размываются и все чаще возникают ситуации, когда сотрудникам необходим доступ к приложениям из дома, в интернет-кафе, аэропорту, командировке и т.д.

Практически каждый банк предоставляет услуги интернет-банкинга для удаленного обслуживания своих клиентов. Ожидается, что к концу 2010 г. число пользователей интернет-банкинга в России вырастет в 3 раза и достигнет 3-4 млн.

Число людей, совершающих покупки через интернет-магазины, растет с каждым годом. Однако использование Web-технологий, с одной стороны, дает возможность предоставления дополнительных сервисов и свобод, с другой - требует принятия соответствующих мер по обеспечению безопасности. Так, по данным отчета Symantec Global Internet Security Threat Report (ISTR), в число распространенных методов взлома Web-сайтов входят: использование уязвимостей Web-приложений, работающих на сервере, путем атаки через неправильно защищенные поля ввода данных или эксплуатация некоторых уязвимостей операционной системы, на которой работают эти приложения. Из 12 885 сайтов, на которых были обнаружены уязвимости, на 63% пострадало хотя бы одно Web-приложение. К примеру, с помощью атак типа Cross-Site-Scripting злоумышленник может перенаправлять запросы пользователей на вредоносные Web-страницы, а при помощи атак типа SQL Injection - извлекать из баз данных персональную информацию (номера платежных карт, адреса, телефоны и др.).

Технологии обеспечения безопасности

Наряду с классическими (базовыми) средствами по пери-метровой, хостовой защите (МЭ, IDS/IPS, шифрование каналов передачи данных, антивирусное ПО и т.д.) применяют и дополнительные (встраиваемые) меры защиты. Это может быть использование виртуальной клавиатуры, карточек с сеансовыми ключами, ввод кода, указанного на картинке, проверка вводимых данных и т.д. Но реализация подобных мер по тем или иным причинам не всегда возможна. Нередки ситуации, когда сотрудники, которые разрабатывали Web-при-ложения, попросту уже не работают в компании, а также когда доработка или изменение кода слишком трудоемки.

Недостаток же базовых средств защиты состоит в том, что они зачастую недостаточно эффективны в борьбе с атаками на Web-приложения. Поэтому для их защиты необходимо использовать специализированные средства:

• Web Application Firewall (WAF);
• профилирование Web-при-ложений;
• Web-DB-корреляция;
• мониторинг и защита БД.

Компания "Инфосистемы Джет" в своих проектах использует решение известной израильской компании Imperva. Продукты линейки Imperva SecureSphere позволяют осуществлять комплексную защиту Web-приложений, а также достаточно надежно защищать данные, передаваемые через Web-приложения и хранимые в базах данных (Oracle, MS SQL, Sybase, DB2, Informix, MySQL, Teradata). Решение SecureSphere представляет собой аппаратный шлюз, который устанавливается в сети в режиме In-Line Mode (Transparent Bridge, Router, Reverse Proxy) или Sniffer, не требуя внесения изменений в существующую сетевую инфраструктуру.

Что представляют собой устройства Imperva SecureSphere WAF?

Устройства Imperva Secure-Sphere WAF обеспечивают надежную защиту Web-приложений благодаря одновременному применению нескольких механизмов, включая динамическое профилирование, сигнатурный анализ, проверку протоколов на аномалии, отслеживание сессий.

С помощью устройств Secure-Sphere WAF можно эффективно бороться с такими атаками, как SQL Injection, Session Hijacking, Parameter Tampering, Cross-Site Request Forgery и Cross-Site Scripting. Устройства обладают возможностями по инспектированию зашифрованных данных, пересылаемых по протоколу SSL (HTTPS).

Почему традиционные системы IPS не эффективны для обеспечения полноценной защиты на прикладном уровне?

Устройства IPS предназначены для обнаружения и блокировки атак, с которыми не могут справиться обычные межсетевые экраны. Данные системы анализируют содержимое пакетов и сравнивают их с сигнатурами известных атак. Помимо этого, системы IPS могут оценивать и блокировать аномалии протоколов прикладного уровня.

Общее число уязвимостей Web-приложений и их вариаций на несколько порядков выше, чем суммарное количество сигнатур в базах данных современных систем IPS. Поэтому системы IPS, функционирующие по принципу сравнения пакетов с известными сигнатурами, не являются эффективным решением для борьбы с Web-атаками.

Для надежной защиты Web-приложений требуется глубокое понимание их структуры, включая URL-параметры, cookie, формы ввода данных и др. К сожалению, современные системы IPS не в состоянии понимать структуру Web-приложений.

Преимущества устройств SecureSphere WAF

Устройства SecureSphere WAF предназначены для защиты Web-приложений от широкого спектра угроз. В отличие от традиционных систем IPS устройства SecureSphere способны:

1. отслеживать Web-сессии;
2. проводить сравнительный анализ элементов структуры Web-приложений (cookie, параметры, поля форм и др.) с ожидаемыми элементами, хранимыми в их профилях;
3. профилировать HTTP, HTTPS и XML-трафик;
4. обнаруживать и блокировать такие атаки, как:
• parameter tampering;
• session hijacking;
• session replay;
• cookie injection;
• cookie poisoning;
• brute force login;
• illegal HTTP encoding (double encoding, malicious encoding);
• атаки на XML и SOAP.

Создание профилей Web-приложений

Устройства SecureSphere WAF автоматически профилируют Web-приложения с целью моделирования их структуры. Анализируя Web-трафик за определенный интервал времени, они создают профиль стандартного поведения приложения (автоматическое создание "белого" списка активности Web-приложений и пользователей). Далее устройства проводят корреляционный анализ отклонений от профиля с сигнатурами атак и при необходимости блокируют угрозу.

Использование профилей является действенным инструментом для выявления аномального поведения пользователей, ошибок в логике системы, определения типовых ролей и корректности предоставления ролей.

ThreatRadar

Еще одно преимущество устройств SecureSphere WAF - наличие уникального сервиса ThreatRadar, обеспечивающего защиту от автоматизированных атак. Посредством получения достоверной и своевременной информации об источниках атак ThreatRadar позволяет быстро и аккуратно остановить трафик, идущий от подозрительных источников, еще до момента осуществления ими каких-либо вредоносных действий.

В состав функционала Threat-Radar входят:

• механизмы блокирования вредоносных источников;
• механизмы блокирования запросов от анонимных прокси- и TOR-маршрутиза-торов;
• механизмы защиты от фи-шинговых URL;
• инструментарий определения географии вредоносного запроса по его IP-адресу (IP Forensics Tool);
• механизм обновлений списка источников атак.

Интеграция со средствами мониторинга и защиты баз данных

За редким исключением Web-приложения не используют СУБД для хранения обрабатываемых данных. Поэтому, обеспечивая безопасность Web-приложения, нельзя забывать о безопасности БД.

Любая современная СУБД представляет собой потенциальный объект воздействия огромного числа угроз, к наиболее опасным из которых можно отнести следующие:

• злоупотребление чрезмерными привилегиями доступа (Excessive Privilege Abuse);
• злоупотребление легитимными привилегиями доступа (Legitimate Privilege Abuse);
• превышение привилегий доступа (Privilege Elevation);
• уязвимости программного обеспечения СУБД (Database Platform Vulnerabilities);
• атаки типа SQL Injection;
• слабый аудит (Weak Audit Trail);
• отказ в обслуживании (Denial of Service);
• уязвимости протоколов баз данных (Database Communication Protocol Vulnerabilities);
• слабые механизмы аутентификации (Weak Authentication).

Устройства SecureSphere Database Monitoring Gateway и Database Security Gateway защищают от вышеперечисленных угроз, а также осуществляют полноценный мониторинг действий пользователей - вплоть до блокировки выполнения запросов - с целью предотвращения утечек информации, совершения нелегитимных действий и т.д.

Профилирование действий пользователей БД, так же как и в отношении Web-приложений, помогает выявить аномальное поведение пользователей, определить типовые роли, обнаружить ошибки в предоставлении ролей пользователям и т.д.

Каждый создаваемый профиль содержит информацию о конкретных запросах и процедурах, которые когда-либо выполнялись пользователем. Устройства SecureSphere в режиме обучения непрерывно обновляют профили пользователей, исключая необходимость ручной настройки.

Благодаря вышеуказанным преимуществам устройства Imperva SecureSphere обеспечивают полноценную и эффективную защиту на прикладном уровне, реализуют на практике требования стандартов информационной безопасности.