Защита Web-приложений "по-взрослому"

На сегодняшний день можно уверенно говорить о том, что Web-технологии прочно вошли в жизнь любого бизнеса, являясь наиболее удобным способом предоставления информации: коммерческие и государственные структуры весьма активно предоставляют свои услуги, используя публичные и частные сети для всех видов пользователей. Преимущества такого подхода очевидны - улучшаются наиболее критичные показатели бизнес-процессов: производительность, оперативность, доступность, стоимость и т.п.

Но с ростом возможностей Web-приложений происходит и увеличение совокупной стоимости обрабатываемой в системе информации, а также возрастает вероятность эксплуатации уязвимостей в развивающемся функционале прикладного обеспечения. Последние исследования показывают, что Web-приложения наиболее подвержены атакам со стороны хакеров, являясь при этом как самой их целью, так и отправной точкой для целенаправленной атаки на всю сеть предприятия. Такое развитие событий драматически увеличивает риски информационной безопасности.

Решение есть

Есть два способа организации защиты Web-приложений. Первый - это устранение уязвимостей путем анализа исходного кода, а второй основывается на использовании наложенных средств защиты информации. В идеале оба подхода необходимо комбинировать, однако практика показывает, что в зависимости от специфики бизнеса предприятия и используемых приложений превалирует обычно один из методов.

Подход, использующий устранение уязвимостей путем анализа кода, является наиболее затратным. Для его реализации необходима поддержка со стороны большого круга экспертов, обладающих пониманием всей прикладной абстракции сетевого взаимодействия, включающей в себя логику и алгоритмы работы приложения, компоненты Web-технологий, программное обеспечение и операционную среду сервера. В некоторых случаях использование этого подхода сопряжено с рядом серьезных трудностей. Например, при нехватке ресурсов или использовании программного обеспечения с закрытым кодом, а также если Web-приложение было приобретено как готовый продукт и не является полностью самостоятельной разработкой. При этом предприятия с развитой Web-инфраструктурой, которые смогли организовать цикл безопасной разработки своих приложений с использованием анализа кода, сталкиваются с проблемой внесения корректирующих изменений в продуктивные системы в силу особенностей их работы. Такая ситуация является вполне штатной, если, например, корректирующие изменения слишком сложны или нет возможности остановки сервиса для внепланового обновления. Данная проблема решается с помощью наложенных средств защиты, правила безопасности которых могли бы запретить эксплуатирующие уязвимость запросы на время доработки приложения в штатном режиме.

Подход, базирующийся на использовании специальных наложенных сетевых средств защиты, наиболее целесообразен и фундаментален и подходит как организациям с отлаженными процессами поиска уязвимостей в своих сервисах, так и тем, кто этого не делает. В этом контексте наиболее оптимальное устройство – WAF (Web Application Firewall). В отличие от своих классовых конкурентов (таких как инспектирующие межсетевые экраны, межсетевые экраны следующего поколения, а также системы обнаружения и предотвращения вторжений) WAF разработан непосредственно для защиты именно Web-инфраструктур, с учетом всех нюансов, возникающих при обеспечении их защиты, что значительно повышает его эффективность. Это тот самый случай, когда меньшее является большим.

Выбор WAF для компании

Любой процесс внедрения WAF начинается с выбора наиболее подходящего для компании продукта из всего спектра решений, представленных на рынке. И здесь следует отметить, что на данный момент общее число игроков рынка WAF’ов составляет около сотни. Однако наибольшая доля этого сегмента остается за четверкой лидеров – компаниями Imperva, F5, Citrix и Barracuda.

Для того чтобы определить, какое решение максимально удовлетворяет требованиям конкретного предприятия, необходимо запустить процедуру оценки эффективности его показателей в условиях специфичной и зачастую индивидуальной Web-инфраструктуры. Показатели эффективности при этом можно разделить на три обширные последовательные категории:

• эффективность решения в контексте существующей Web-инфраструктуры;
• интегрированность в общий ландшафт информационной безопасности компании;
• дальнейшие эксплуатация и поддержка продукта.

Первая группа показателей играет ключевую роль при выборе продукта. Для ее оценки необходимо провести аудит сетевого взаимодействия Web-инфраструктуры, по результатам которого формируются первые требования к выбираемому продукту. Можно считать, что продукт подходит для компании, если он:

• имеет в своем наборе большое количество правил безопасности, ориентированных на используемые компоненты Web-платформы;
• поддерживает (с точки зрения анализа) весь набор технологий, протоколов и кодировок Web-приложения;
• имеет кластерный и ролевой функционал, учитывающий балансировку нагрузки и схемы отказоустойчивости;
• не вносит серьезных задержек в работу Web-приложения и не является точкой отказа;
• соответствует требованиям отраслевых стандартов и имеет сертификации зарубежных центров тестирования или российских уполномоченных ведомств.

Следующий шаг – оценка продукта в контексте общей концепции информационной безопасности предприятия. WAF – это современный и динамично развивающийся продукт, позиционирующийся как средство защиты с широкими возможностями по интеграции с другими сервисами и средствами защиты информации, такими как:

• репутационные сервисы;
• сервисы предотвращения мошенничества;
• системы управления событиями безопасности;
• системы предотвращения утечек;
• сканеры уязвимостей.

Необходима грамотная оценка того, какие интеграционные возможности (из предложенных рынком WAF’ов) наиболее актуальны для компании с учетом дальнейшего пути развития ее ИБ. Не менее важный критерий (помимо возможностей для интеграции) с точки зрения ИБ предприятия – гибкость создания пользовательских правил безопасности или гибкость WAF как инструмента контроля обработки трафика, что, к слову, является одним из самых значительных показателей его эффективности.

Последний этап в выборе продукта – это оценка аспектов сервисной поддержки после внедрения. WAF встраивается в схему предоставления доступа к Web-приложениям в качестве одного из элементов цепочки, поэтому его функционирование может нести в себе дополнительные угрозы для доступности приложений. В связи с этим важно оценить поставляемую поддержку: регулярность выхода исправлений и обновлений для ПО и ОС WAF, качество оказания технической поддержки, наличие обширной документации. Другая важная сервисная задача любого специального средства защиты информации – это корректировка политики безопасности средства и его системное администрирование. И в этом случае требуется проведение оценки уровня загруженности и квалифицированности собственных ресурсов, а также рассмотрение предложений поставщика WAF по обучению.

У задачи подбора подходящего продукта нет универсального решения: это всегда последовательный и экспертный подход в оценке рисков, уровня зрелости ИБ, существующих информационных и автоматизированных систем на предприятии в целом. После того, как продукт выбран, встает интеграционный вопрос: необходимо грамотно настроить специальное средство защиты, ведь без его тонкой, профессиональной настройки невозможно говорить о предоставляемой продуктом защите. Для проведения интеграции WAF требуются как общие сведения в виде знаний в сфере Web-разработки и опыта проектирования защищенных систем, так и специализированные, лучшие практики защиты Web-приложений, реальные методы обеспечения защищенности, данные, предоставленные специалистами по проникновению.

ИНФОСИСТЕМЫ ДЖЕТ, КОМПАНИЯ
127015 Москва,
ул. Большая Новодмитровская, 14, стр. 1
Тел.: (495) 411-7601, 411-7603
Факс: (495) 411-7602
E-mail: info@jet.msk.su www.jet.msk.su