Анализ методов обеспечения безопасности веб-приложений



В настоящей работе проведен анализ методов обеспечения безопасности веб-приложений, выявлены преимущества и недостатки каждого из рассматриваемых методов. При помощи комплексного рассмотрения и систематизации вопросов по обеспечению определенного уровня защищенности приложения позволило выявить наиболее эффективное средство защиты веб-приложения.

Ключевые слова: кибератака, веб-приложение, WAF, системы обнаружения и предотвращения вторжений IDS/IPS, файрвол, межсетевой экран нового поколения NGFW.

На сегодняшний день актуальной проблемой информационной безопасности является обеспечение защиты веб-приложений вследствие их возрастающей интерактивности, усложняющегося поведения и поддержки новых протоколов.

Интернет-сервисы предоставляют достаточно большое количество возможностей, но в то же время с увеличением числа приложений пропорционально возрастает и количество киберугроз. Поэтому проблема защиты от киберугроз, то есть устранение уязвимостей Web-приложений, на данный момент приобретает довольно серьезный характер. По данным отчета о хакерских атаках на Web-приложения, опубликованных компанией Google от 10.03.2019 за 2018 год, количество взломанных ресурсов увеличилось на 32 % по сравнению с 2017 годом.

Основная часть

Классические механизмы фильтрации трафика работают на базовых уровнях модели OSI при помощи анализа характеристик отдельных пакетов данных. То есть если IP-адреса в их заголовках либо номера сетевых портов оказываются в «черном списке», то такие пакеты отклоняются. В настройках межсетевого экрана часто блокируются все порты, затем открываются при запросе соединения приложением. Данный метод маскирует при сканировании портов и защищает от грубых попыток несанкционированного доступа, но неэффективен при атаках изнутри. Например, нельзя гарантировать того, что открытые порты используют только легитимные приложения. По этой причине усовершенствованные файрволы создают список правил для конкретных приложений или их компонентов и сверяют их контрольные суммы [1]. Но с ростом числа используемых программ и сервисов данный метод так же неэффективен. Даже приложения, работающие в режиме оффлайн, регулярно используют интернет для проверки обновлений, отправки отчетов о работе и данных телеметрии. В период обучения файрволам требуется подтверждение подключения. Пока администратор определяет стоит ли подтверждать запрашиваемое подключение, приложения отправляют аналогичные запросы на другие порты и IP-адреса резервных узлов, из-за чего может возникнуть длинная цепочка однотипных диалоговых окон. Однако отказ от режима обучения может привести к следующим крайностям:

– игнорирование новых угроз;

– некорректная работа новых приложений вследствие блокирования их подключения.

На сегодняшний день, как и операционная система, так и популярные приложения получают входящий трафик через сеть доставки контента, а исходящий отправляют сразу в несколько подсетей. По этой причине создавать списки разрешенных IP-адресов для приложений не является хорошей идеей.

Продвинутые межсетевые экраны умеют анализировать не только отдельные пакеты и их заголовки, но и состояние канала связи и отклонения в нем. Механизм Stateful Inspection подразумевает контроль на уровне активных TCP-сессий и проверку принадлежности обрабатываемых пакетов к ним. Однако сегодня такой подход не дает желаемых результатов, так как в сетевых атаках все чаще используются критические ошибки системных компонентов, общих библиотек и популярных приложений. Также использование эксплоитов позволяет атакующим обходить не только фильтрацию на канальном и сетевом уровне, но и контроль состояния приложений.

Сочетание межсетевых экранов с системами обнаружения и предотвращения вторжений IDS/IPS повышает уровень защиты периметра и делает ее более интеллектуальной [2]. Совместное их использование позволяет анализировать трафик более глубоко, а также эффективнее определять подозрительные действия на основе обновляемых шаблонов. Однако это преимущественно уровень пакетной обработки приложений, слабо учитывающий особенности работы самих приложений.

На протяжении некоторого времени самыми мощными средствами защиты оставались комплексные решения обеспечения безопасности, такие как системы единого управления угрозами UTM и межсетевые экраны следующего поколения NGFW [3]. Такие решения включают в себя файрвол, IDS/IPS, антивирус, прокси-серверы, шлюз для организации VPN и средства балансировки нагрузки. Такие системы как объединяли сильные стороны каждого из компонентов, так и преумножали их недостатки. Для решения специфических задач такие системы неприменимы.

Проведем сравнительный анализ характеристик рассмотренных способов защиты от кибератак на Web-приложения, а именно сравним возможности WAF, IDS/IPS, NGFW. В таблице 1 приведен перечень возможных функций, которые должна обеспечивать эффективная система защиты, и возможность их осуществления рассмотренными ранее способами.

Таблица 1

Сравнение характеристик WAF, IPS, NGFW

№	Функции	WAF	IDS/IPS	NGFW
1	Multiprotocol Security	–	+	+
2	IP-Reputation	±	±	±
3	Сигнатуры атак	+	±	±
4	Автоматическое обучение, поведенческий анализ	+	–	–
5	Защита пользователей	+	–	–
6	Сканер уязвимостей	+	–	–
7	Виртуальный патчинг	+	–	–
8	Корреляции, цепочки атак	+	–	–

Рассмотрим представленные функции более подробно:

1. Так как WAF является узкоспециализированной разработкой, осуществляющей передачу по протоколам HTTP и HTTPS, он не имеет защиты от проблем протоколов, отличных от поддерживаемых. Однако существует много других способов обмена данными поверх протокола HTTP, но ориентироваться в них могут только специализированные средства. К примеру, в одних приложениях передача его параметров осуществляется в куках, в других — в параметрах заголовка самого протокола HTTP. Также современные модели WAF поддерживают анализ других протоколов, что является довольно эффективным средством противодействия обхода защитного экрана.
2. Существующая технология IP-Reputation опирается на формирование внешних черных и белых списков ресурсов. Она является одинаково доступной для любых периметровых средств защиты. Однако данную технологию следует использовать рационально как вспомогательное средство, так как существуют ситуации, когда по IP могут блокироваться достоверные ресурсы, либо ошибочно пропускаться зловредные.
3. Стоит заметить, что доступный для WAF препроцессинг трафика способен обеспечить оптимальное применение сигнатур, несмотря на то, что сигнатурный метод применим везде касаемо обнаружения атак. Однако такой препроцессинг имеет ряд недостатков. Одним из таковых является избыточная громоздкость и «нелепость» сигнатур атак. К примеру, с точки зрения администратора невозможно понять смысл сигнатуры, если в ней будут прописаны сложные регулярные выражения, которые были описаны автором.
4. Для проведения атак злоумышленники довольно часто используют уязвимости нулевого дня, в этом случае методы анализа на основе сигнатур бесполезны. Необходимо подвергать анализу сетевой трафик и системные журналы для того, чтобы создать модель нормального функционирования приложения, и, используя такую модель, далее определять аномальное поведение системы. WAF в силу своей архитектуры может проводить наиболее углубленный поведенческий анализ, чем NGFW, так как способен на разбор всего сеанса связи пользователя. Построение поведенческой модели в большинстве случаев заключается в том, что операторы пропускают легитимный трафик через средство защиты. Однако после сдачи в эксплуатацию поведение пользователей может изменяться, например, программисты могут дописывать интерфейс по скорректированному техническому заданию, дизайнеры также могут вносить свои изменения. Поэтому обучаться на реальном трафике могут единицы — и это только WAF.
5. Помимо атак на Web-приложения существует класс атак, которые направлены на их клиентов, такие как рассмотренная в главе 1 межсайтовая подделка запроса. Так как трафик атаки не проходит через защищаемую область, то кажется, что защитить пользователя не представляется возможным. Допустим следующий сценарий атаки: пользователь зашел на сайт банка, пройдя аутентификацию, потом в другой вкладке браузера открывает зараженный ресурс. JavaScript, загрузившийся в другом окне, тайно от пользователя может создать запрос на перевод денег, а браузер, в свою очередь, предоставит все необходимые параметры аутентификации для проведения финансовой транзакции, так как сеанс связи клиента и банка не окончен. В описанном примере показаны слабости в алгоритме аутентификации ПО банка. Устранить данную проблему можно при помощи генерации уникального токена для каждой формы, содержащейся на странице сайта. Некоторые WAF имеют возможность самостоятельно внедрять такую защиту в Web-формы и таким образом защищать пользователя, а точнее его запросы, данные, URL и сессионные куки.
6. Периметровое оборудование помимо защиты Web-приложений должно проводить мониторинг атак, который должен быть основан на понимании слабостей ПО, подвергающегося защите. Такие действия позволяют оставлять без внимания неактуальные попытки атак и сосредотачиваться на тех, которые касаются реальных уязвимостей, имеющихся в системе. Лучшие образцы WAF включают интегрированные сканеры уязвимостей, которые могут работать в режиме черного ящика либо динамического анализа. Такие сканеры могут использоваться в режиме реального времени для быстрой проверки уязвимостей, которые ищут злоумышленники для атаки.
7. Устранение даже самых известных уязвимостей требует немало времени и средств, а иногда и остановки важных бизнес-процессов. Для устранения таких угроз системы IPS и NGFW используют пользовательские сигнатуры. Проблема заключается в том, что не каждый пользователь способен понять механизм атаки. Таким образом, пользовательская сигнатура может не только пропустить угрозу, но и вызвать большое количество ложных срабатываний. В WAF используется анализатор исходных кодов приложения, который не только показывает в отчете строки уязвимого кода, но и создает эксплоит, то есть вызов с определенными значениями для эксплуатации обнаруженной уязвимости. Далее эксплоит передается в WAF для автоматического создания виртуального патча, который обеспечивает мгновенное закрытие уязвимости до исправления кода.
8. Обычный межсетевой экран срабатывает на каждое подозрительное событие, то есть выдает множество срабатываний, в которых нужно разбираться вручную для того, чтобы выявить угрозу. WAF способен группировать схожие срабатывания и выявлять цепочку развития атаки. В итоге специалисты по информационной безопасности вместо списка, состоящего из тысяч подозрительных событий, получают несколько десятков важных сообщений [4].

Заключение

Современный подход к защите веб-приложений основан на использовании специализированных решений — WAF. Обычно работают они с протоколами HTTP/HTTPS, но делают они это на максимально интеллектуальном уровне. Помимо традиционных методов, таких как репутационный анализ IP-адресов и распознавание атак по сигнатурам, они используют и уникальные подходы. Архитектура WAF позволяет анализировать целиком каждый сеанс связи и выполнять более точный поведенческий анализ, чем это делают NGFW. Как результат, WAF лучше выявляют отклонения в нормальной работе приложений и могут противостоять уязвимостям нулевого дня.

С известными уязвимостями WAF тоже борются оригинальным образом. Технология виртуального патчинга позволяет им закрыть известную брешь, не дожидаясь выхода обновления для уязвимого компонента. Анализатор исходных кодов способен не просто определить уязвимость, но и автоматически создать патч в оперативной памяти.

Рассмотренная ранее проблема с избыточностью запросов и лог-файлов решается в WAF за счет выявления корреляций между ними и объединения взаимосвязанных сообщений в цепочки. Они позволяют увидеть развитие атаки и быстро среагировать на нее, не теряя времени на пролистывание отчета.

Последние версии WAF обрабатывают XML, JSON и другие протоколы, используемые преимущественно мобильными приложениями.

Литература:

1. Типы Файрволов. Web: https://www.dataarmor.ru/firewall-types/.
2. IDS/IPS — системы обнаружения и предотвращения вторжений и хакерских атак. Web: http://www.altell.ru/solutions/by_technologies/ids/.
3. Скородумов, А. В. Почему все переходят на системы защиты нового поколения — Firewall: Next Generation / А. В. Скородумов // Information Security/Информационная безопасность. — 2015. — № 2. — С.22–23.
4. Чем защищают сайты, или зачем нужен WAF? Web: http://www.securitylab.ru/analytics/475861.php.