Защита веб-приложений: новые вызовы и будущие тенденции

На сегодняшний день почти все компании предлагают какие-либо online сервисы, при чём, данное утверждение справедливо не только для тех компаний, бизнес которых неотъемлемо связан с продвижением и продажей товаров/услуг через сайты (например, интернет-магазины, банки, страховые компании), но и для практически любой компании. При этом множество компаний кроме обычных, привычных сервисов и услуг, предлагаемых через веб-страницы (сайты) массово предлагает пользователям и клиентам, в том числе, — специализированные приложения (каталоги товаров, мобильный банкинг, заказ билетов в кино и тому подобное).

Закономерным следствием массового распространения веб-приложений является желание «черных» хакеров использовать данные сервисы в своих корыстных целях. Ведь эксплуатируя уязвимость того или иного сервиса (а надо отметить, что следует исходить из простого правила — все приложения имеют уязвимость, даже если на данный момент она не обнаружена), часто можно получить доступ не только во внутреннюю инфраструктуру организации, но и похитить персональные данные пользователей, например, номера кредитных карт или всю базу клиентов. А это уже не только репутационный риск, в случае такой ситуации, это, в том числе, — потенциально большие денежные потери и штрафы, особенно, если компания работает со странами Европейского Союза. Согласно директивам GDPR (General Data Protection Regulation), вступившими в силу в 2018 году, штраф за утечку персональных данных может достигать 20 млн евро или до 4% от годового мирового оборота компании за предыдущий финансовый год (в зависимости от того, что больше).

Рисунок 1. Возможные финансовые риски организаций за нарушение директив GDPR.

Изучая статистику и аналитику от различный аналитических агентств и компаний, в области информационной безопасности, видим следующее:

Согласно аналитике от Ponemon Institute (Cost of a Data Breach Report 2018) средняя стоимость утечки данных по странам мира (на душу населения) одинаково высока вне зависимости от сферы деятельности компании (от 75$ для публичных компаний, и более 400$ для сферы здравоохранения).

Рисунок 2. Стоимость утечки данных (в перерасчете на душу населения в среднем по миру) по данным Ponemon Institute (Cost of a Data Breach Report 2018).

Тот же институт в другом отчете (2018 Study on Global Megatrends in Cybersecurity) приводит не менее интересную статистику: более 70% респондентов считают, что функции CISO будут ограничиваться не только ИТ, но и ИБ, при том, что только 36% опрошенных ИБ-специалистов уверены в том, что их высшее руководство видит угрозы со стороны киберпространства! Это говорит о том, что атаки, в частности — успешные атаки, неизбежны (даже в более развитых странах нежели Украина).

И что интересно (на основе отчетов того Ponemon Institute), более трети атак не будут использовать внедрение каких-либо объектов (файлов) в среду организации! То есть, это будут исключительно удаленные взломы за счет найденных уязвимостей в веб-приложениях. Если же говорить о самих типах атак на веб-ресурсы, то хоть они крайне разнообразны, в основе их лежат всё те же многолетние способы эксплуатации уязвимостей веб-ресурсов.

А учитывая тот факт, что более 90% веб-сервисов используют полностью или частично open-source код (отчет Black Duck’s Open Source Security and Risk Analysis), то важно иметь не только средства защиты от различного рода атак, но и принимать предикативные меры — использовать специализированные инструментарии для выявления существующих «дыр», при чем лучше, если такой инструмент будет выдавать и качественные рекомендации (инструкции) по устранению найденных недостатков.

Именно такое решение предлагает швейцарская компания High-Tech Bridge (Женева). Компания начала свою деятельность как команда пен-тестеров, и на сегодня High-Tech Bridge является ведущим игроком на мировом рынке AST (Application Security Testing) игроков. High-Tech Bridge предлагает уникальное решение — ImmuniWeb AI Platform, которое доступно как облачный сервис (Application Security Testing as a Service).

Чем же так интересен продукт High-Tech Bridge ImmuniWeb AI Platform?

Преимущество его не только в том, что данный продукт является облачным сервисом (что безусловно крайне удобно для выявления недостатков, так как это полностью настроенное и готовое к эксплуатации решение), но главное — это сочетание трех составляющих: различных механизмов сканирования и выявления уязвимостей, искусственного интеллекта на основе машинного обучения, и, что крайне важно для качественного результата — «живых» специалистов, профессиональных пен-тесторов. Такой подход относит ImmuniWeb к решениям ASP третьего поколения и позволяет компании High-Tech Bridge гарантировать на уровне SLA отсутствие ложноположительных срабатываний (с финансовым возвратом затраченных средств!).

Компания предлагает два направления веб-сканирования: для веб-ресурсов (сайтов) и для мобильных приложений, при чем, для обоих направлений есть как бесплатные утилиты (доступны прямо на сайте производителя без какой-либо предварительной регистрации), так и комплексные платные пакеты (которые как раз и отличаются тем, что задействуют весь арсенал сканирования, включая команду пен-тестеров и искусственный интеллект платформы). При этом крайне непривычно, что стоимость выбранного коммерческого пакета выбирает сам клиент! Выглядит неким фантастическим сценарием, но именно такой подход и пропагандирует High-Tech Bridge — потенциальному клиенту предлагается пройти простую серию «вопрос-ответ» о своей инфраструктуре, и самому по итогам сориентироваться к какому сегменту относится его веб-ресурсы (SMB, Medium или Enterprise). Интересно, что клиенты при этом зачастую сами не знают всего объема своих online сервисов и данное анкетирование становится для них откровением.

Что касается пакетов — клиент может выбрать для себя наиболее оптимальное предложение. С помощью утилиты — Package Selector, ответив на ряд простых вопросов, платформа определит какой из предложенных пакетов необходимо использовать для проведения проверки. Для начала рекомендуется выполнить инвентаризацию веб-приложений с помощью ImmuniWeb Discovery, для определения перечня веб ресурсов, наличие SSL сертификатов и т.д. Если компания использует статичные веб-сервисы (сайты, которые редко обновляются), либо необходимо проводить аудиты с определенной регулярностью (раз в месяц или квартал), рекомендуется провести разовую комплексную проверку веб-ресурса на наличие уязвимостей, с подключением пен-тестеров, используя пакет ImmuniWeb On-demand. А если это ресурс достаточно динамичный, с постоянно обновляемым контентом или обалдает высоким уровнем критичности для бизнеса (например, интернет-магазин или банковское приложение), то важно отслеживать изменения в режиме реального времени. Для таких веб-приложений компания High-Tech Bridge предлагает пакет ImmuniWeb Continuous, и в рамках данного пакета (по сути — подписки) команда High-Tech Bridge будет постоянно отслеживать любые изменения в веб-сервисе, предлагая на каждую выявленную уязвимость решение по ее устранению.

Для поиска уязвимостей в мобильных приложениях, High-Tech Bridge так же предлагаем два пакета: бесплатный ImmuniWeb Mobile App Scanner, и расширенный — ImmuniWeb MobileSuite.

Пакет ImmuniWeb MobileSuite позволяет проверить любое приложение (в том числе с Apple Store или Google Play Market) на предмет не только уязвимостей кода, но и нарушения бизнес-логики. Это подразумевает, что выделенный специалист компании High-Tech Bridge пытается выявить возможные ошибки при передаче и обработке каких-либо данных и реквизитов, например, подменить пароль или переменные с целью вызвать подмену конечного результата (самая банальная цель такой манипуляции — зачислить деньги на мобильный счет или отгрузить неоплаченный товар).

Компания High-Tech Bridge использует самые свежие сведения об уязвимостях. В качестве баз знаний используются собственные наработки, а также базы OWASP, CWE/SANS, методологии PCI DSS, NIST, HIPAA и прочие. Все эти знания позволяют получать действительно качественные результаты, проверять ресурсы на предмет соответствия определенным стандартам (например, на предмет PCI DSS).

Получить дополнительную информацию, а так же заказать тестовое сканирование веб-приложений, можно заказать в компании Oberig IT, официального представителя компании High-Tech Bridge в Украине. 

Публикуется на правах рекламы

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365