Защита web-приложений: ключ к успешной защите инфраструктуры

Angara Security проанализировала задачи, уязвимости и технологии защиты пользовательских web-приложений в различных секторах, включая ритейл, e-commerce, банковскую и страховую сферы. В свою очередь, руководители информационной безопасности отметили, что свыше 70% компаний за последний год столкнулись с DDoS-атаками.

Эксперты отметили изменение характера атак, которые становятся «веерными», а хактивисты используют VPS, proxy, VPN и уязвимости абонентского оборудования. Атаки производятся с использованием известного инструментария и без подмены IP-адресов, при этом злоумышленники переиспользуют IP-адреса при атаках на разные цели.

Различные секторы, такие как ритейл, e-commerce, банковская и страховая сферы, были проанализированы компанией Angara Security в отношении задач, уязвимостей и технологий защиты пользовательских web-приложений. Представители топовых компаний из IT и кибербезопасности, таких как Mitigator, ГК Swordfish и Вебмониторэкс, а также более 50 CISO крупнейших российских брендов, поделились своей экспертизой.

Согласно оценкам руководителей информационной безопасности, более 70% компаний столкнулись с DDoS-атаками в прошлом году. Эксперты отметили изменение характера самых популярных атак, которые стали "веерными". Хактивисты используют VPS, proxy, VPN и уязвимости абонентского оборудования. Целями являются http и https ресурсы и открытые TCP-порты, которые заранее сканируются перед атакой. Атаки производятся с использованием известного инструментария, без подмены IP-адресов, а злоумышленники переиспользуют IP-адреса при атаках на разные цели.

Согласно данным Gartner, до 83% трафика составляют API-вызовы, и к 2024 году число атак через API-приложения вырастет вдвое. Эксперты предупреждают, что под угрозой окажутся бонусные счета в программах лояльности, платежные данные на онлайн-площадках, в мобильных приложениях маркетплейсов, а также ресурсы компаний, которыми злоумышленники попытаются завладеть для майнинга криптовалют. Эксперт компании Вебмониторэкс, Степан Прибытков, подчеркнул в своих комментариях, что эти прогнозы являются серьезными и требуют принятия мер для защиты.

Эксперт отдела прикладных систем Angara Security, Николай Шуляев, подчеркнул важность разработки инструментов для обеспечения безопасности API. Отсутствие стратегий тестирования безопасности API может привести к уязвимости взлома, краже данных, манипуляции данными и отказу в обслуживании. Кроме того, класс решений WAF остается немаловажным, но на рынке наблюдается тенденция ухода отечественных решений от концепции ADC, что может привести к проблемам с публикацией приложений.

Менеджер продукта Mitigator, Глеб Хохлов, отметил, что для защиты API можно использовать репутационные списки. Они содержат не только IP-адреса атакующих и участников ботнетов, но также номера автономных систем и JA3-отпечатки. Для эффективной защиты важно выстраивать эшелонированную защиту на всех уровнях: приложения, сервера, инфраструктуры, on-premises устройств фильтрации, границы сети и поставщиков услуг защиты. Провал на любом из эшелонов может снизить эффективность всей защиты.

В ходе опроса о действующих мерах защиты от DDoS-атак, 60% CISO сообщили, что среди инструментов защиты web-приложений лидируют WAF и NGFW-решения, на втором и третьем месте - решения для защиты от кибератак через сети интернет- и облачных провайдеров (46% и 36% соответственно), 29% CISO подчеркнули роль on-premise решений.

Глеб Хохлов также отметил, что популярные WAF-решения могут быть точкой отказа при массированных атаках и нужны для защиты от эксплуатации уязвимостей, однако для защиты внешнего контура также необходимы antiDDoS-решения. Он прокомментировал, что важно «настраивать гранулированную защиту под специфику каждого сервиса, так как в большинстве случаев операторы предлагают грубую фильтрацию объемных атак» в ходе дискуссии о роли on-prem устройств в составе услуг интернет-провайдера.

Антон Башарин, технический директор ГК Swordfish Security, рассказал о важности включения безопасности в процесс автоматизации DevOps для минимизации количества уязвимостей в готовых продуктах. В большинстве случаев безопасность web-приложений проверяется в конце цикла разработки, что приводит к допущению уязвимостей. По данным исследования компании, 48% разработчиков признают, что постоянно выпускают в прод код с известными уязвимостями, а 31% - допускают такую случайность. Включение процесса безопасности в DevOps на всех этапах позволит значительно оптимизировать обработку уязвимостей и улучшить взаимодействие между различными отделами, работающими над созданием продукта.

DevSecOps позволяет компаниям улучшить KPI, повысить защищенность продуктов и сократить время вывода на рынок. Инвестиции в этот процесс могут окупиться за три месяца, а NPV может превысить 2 миллиона долларов в год.

Например, по тем же данным Forrester, для крупной организации с численностью разработчиков около 1500–2000 человек точка безубыточности инвестиций в одну из ведущих облачных платформ DevSecOps может быть достигнута примерно за три месяца, а чистая приведенная стоимость (Net Present Value, NPV) способна превысить 2 миллиона долларов в год.

Опрос CISO выявил, что компаниям не хватает решений API ST (41%), ASOC (36%), DAST и MAST (34%) и OSA, SCA (24%) для обеспечения безопасной разработки. Инвестиции в DevSecOps могут окупиться за три месяца, а NPV может превысить 2 миллиона долларов в год.