Анализ методов обеспечения безопасности веб-приложений | Статья в журнале «Молодой ученый»

Отправьте статью сегодня! Журнал выйдет 28 декабря, печатный экземпляр отправим 1 января.

Опубликовать статью в журнале

Авторы: ,

Рубрика: Информационные технологии

Опубликовано в Молодой учёный №12 (250) март 2019 г.

Дата публикации: 24.03.2019

Статья просмотрена: 2109 раз

Библиографическое описание:

Леонькова, И. П. Анализ методов обеспечения безопасности веб-приложений / И. П. Леонькова, А. И. Ларин. — Текст : непосредственный // Молодой ученый. — 2019. — № 12 (250). — С. 25-28. — URL: https://moluch.ru/archive/250/57416/ (дата обращения: 16.12.2024).



В настоящей работе проведен анализ методов обеспечения безопасности веб-приложений, выявлены преимущества и недостатки каждого из рассматриваемых методов. При помощи комплексного рассмотрения и систематизации вопросов по обеспечению определенного уровня защищенности приложения позволило выявить наиболее эффективное средство защиты веб-приложения.

Ключевые слова: кибератака, веб-приложение, WAF, системы обнаружения и предотвращения вторжений IDS/IPS, файрвол, межсетевой экран нового поколения NGFW.

На сегодняшний день актуальной проблемой информационной безопасности является обеспечение защиты веб-приложений вследствие их возрастающей интерактивности, усложняющегося поведения и поддержки новых протоколов.

Интернет-сервисы предоставляют достаточно большое количество возможностей, но в то же время с увеличением числа приложений пропорционально возрастает и количество киберугроз. Поэтому проблема защиты от киберугроз, то есть устранение уязвимостей Web-приложений, на данный момент приобретает довольно серьезный характер. По данным отчета о хакерских атаках на Web-приложения, опубликованных компанией Google от 10.03.2019 за 2018 год, количество взломанных ресурсов увеличилось на 32 % по сравнению с 2017 годом.

Основная часть

Классические механизмы фильтрации трафика работают на базовых уровнях модели OSI при помощи анализа характеристик отдельных пакетов данных. То есть если IP-адреса в их заголовках либо номера сетевых портов оказываются в «черном списке», то такие пакеты отклоняются. В настройках межсетевого экрана часто блокируются все порты, затем открываются при запросе соединения приложением. Данный метод маскирует при сканировании портов и защищает от грубых попыток несанкционированного доступа, но неэффективен при атаках изнутри. Например, нельзя гарантировать того, что открытые порты используют только легитимные приложения. По этой причине усовершенствованные файрволы создают список правил для конкретных приложений или их компонентов и сверяют их контрольные суммы [1]. Но с ростом числа используемых программ и сервисов данный метод так же неэффективен. Даже приложения, работающие в режиме оффлайн, регулярно используют интернет для проверки обновлений, отправки отчетов о работе и данных телеметрии. В период обучения файрволам требуется подтверждение подключения. Пока администратор определяет стоит ли подтверждать запрашиваемое подключение, приложения отправляют аналогичные запросы на другие порты и IP-адреса резервных узлов, из-за чего может возникнуть длинная цепочка однотипных диалоговых окон. Однако отказ от режима обучения может привести к следующим крайностям:

– игнорирование новых угроз;

– некорректная работа новых приложений вследствие блокирования их подключения.

На сегодняшний день, как и операционная система, так и популярные приложения получают входящий трафик через сеть доставки контента, а исходящий отправляют сразу в несколько подсетей. По этой причине создавать списки разрешенных IP-адресов для приложений не является хорошей идеей.

Продвинутые межсетевые экраны умеют анализировать не только отдельные пакеты и их заголовки, но и состояние канала связи и отклонения в нем. Механизм Stateful Inspection подразумевает контроль на уровне активных TCP-сессий и проверку принадлежности обрабатываемых пакетов к ним. Однако сегодня такой подход не дает желаемых результатов, так как в сетевых атаках все чаще используются критические ошибки системных компонентов, общих библиотек и популярных приложений. Также использование эксплоитов позволяет атакующим обходить не только фильтрацию на канальном и сетевом уровне, но и контроль состояния приложений.

Сочетание межсетевых экранов с системами обнаружения и предотвращения вторжений IDS/IPS повышает уровень защиты периметра и делает ее более интеллектуальной [2]. Совместное их использование позволяет анализировать трафик более глубоко, а также эффективнее определять подозрительные действия на основе обновляемых шаблонов. Однако это преимущественно уровень пакетной обработки приложений, слабо учитывающий особенности работы самих приложений.

На протяжении некоторого времени самыми мощными средствами защиты оставались комплексные решения обеспечения безопасности, такие как системы единого управления угрозами UTM и межсетевые экраны следующего поколения NGFW [3]. Такие решения включают в себя файрвол, IDS/IPS, антивирус, прокси-серверы, шлюз для организации VPN и средства балансировки нагрузки. Такие системы как объединяли сильные стороны каждого из компонентов, так и преумножали их недостатки. Для решения специфических задач такие системы неприменимы.

Проведем сравнительный анализ характеристик рассмотренных способов защиты от кибератак на Web-приложения, а именно сравним возможности WAF, IDS/IPS, NGFW. В таблице 1 приведен перечень возможных функций, которые должна обеспечивать эффективная система защиты, и возможность их осуществления рассмотренными ранее способами.

Таблица 1

Сравнение характеристик WAF, IPS, NGFW

Функции

WAF

IDS/IPS

NGFW

1

Multiprotocol Security

+

+

2

IP-Reputation

±

±

±

3

Сигнатуры атак

+

±

±

4

Автоматическое обучение, поведенческий анализ

+

5

Защита пользователей

+

6

Сканер уязвимостей

+

7

Виртуальный патчинг

+

8

Корреляции, цепочки атак

+

Рассмотрим представленные функции более подробно:

  1. Так как WAF является узкоспециализированной разработкой, осуществляющей передачу по протоколам HTTP и HTTPS, он не имеет защиты от проблем протоколов, отличных от поддерживаемых. Однако существует много других способов обмена данными поверх протокола HTTP, но ориентироваться в них могут только специализированные средства. К примеру, в одних приложениях передача его параметров осуществляется в куках, в других — в параметрах заголовка самого протокола HTTP. Также современные модели WAF поддерживают анализ других протоколов, что является довольно эффективным средством противодействия обхода защитного экрана.
  2. Существующая технология IP-Reputation опирается на формирование внешних черных и белых списков ресурсов. Она является одинаково доступной для любых периметровых средств защиты. Однако данную технологию следует использовать рационально как вспомогательное средство, так как существуют ситуации, когда по IP могут блокироваться достоверные ресурсы, либо ошибочно пропускаться зловредные.
  3. Стоит заметить, что доступный для WAF препроцессинг трафика способен обеспечить оптимальное применение сигнатур, несмотря на то, что сигнатурный метод применим везде касаемо обнаружения атак. Однако такой препроцессинг имеет ряд недостатков. Одним из таковых является избыточная громоздкость и «нелепость» сигнатур атак. К примеру, с точки зрения администратора невозможно понять смысл сигнатуры, если в ней будут прописаны сложные регулярные выражения, которые были описаны автором.
  4. Для проведения атак злоумышленники довольно часто используют уязвимости нулевого дня, в этом случае методы анализа на основе сигнатур бесполезны. Необходимо подвергать анализу сетевой трафик и системные журналы для того, чтобы создать модель нормального функционирования приложения, и, используя такую модель, далее определять аномальное поведение системы. WAF в силу своей архитектуры может проводить наиболее углубленный поведенческий анализ, чем NGFW, так как способен на разбор всего сеанса связи пользователя. Построение поведенческой модели в большинстве случаев заключается в том, что операторы пропускают легитимный трафик через средство защиты. Однако после сдачи в эксплуатацию поведение пользователей может изменяться, например, программисты могут дописывать интерфейс по скорректированному техническому заданию, дизайнеры также могут вносить свои изменения. Поэтому обучаться на реальном трафике могут единицы — и это только WAF.
  5. Помимо атак на Web-приложения существует класс атак, которые направлены на их клиентов, такие как рассмотренная в главе 1 межсайтовая подделка запроса. Так как трафик атаки не проходит через защищаемую область, то кажется, что защитить пользователя не представляется возможным. Допустим следующий сценарий атаки: пользователь зашел на сайт банка, пройдя аутентификацию, потом в другой вкладке браузера открывает зараженный ресурс. JavaScript, загрузившийся в другом окне, тайно от пользователя может создать запрос на перевод денег, а браузер, в свою очередь, предоставит все необходимые параметры аутентификации для проведения финансовой транзакции, так как сеанс связи клиента и банка не окончен. В описанном примере показаны слабости в алгоритме аутентификации ПО банка. Устранить данную проблему можно при помощи генерации уникального токена для каждой формы, содержащейся на странице сайта. Некоторые WAF имеют возможность самостоятельно внедрять такую защиту в Web-формы и таким образом защищать пользователя, а точнее его запросы, данные, URL и сессионные куки.
  6. Периметровое оборудование помимо защиты Web-приложений должно проводить мониторинг атак, который должен быть основан на понимании слабостей ПО, подвергающегося защите. Такие действия позволяют оставлять без внимания неактуальные попытки атак и сосредотачиваться на тех, которые касаются реальных уязвимостей, имеющихся в системе. Лучшие образцы WAF включают интегрированные сканеры уязвимостей, которые могут работать в режиме черного ящика либо динамического анализа. Такие сканеры могут использоваться в режиме реального времени для быстрой проверки уязвимостей, которые ищут злоумышленники для атаки.
  7. Устранение даже самых известных уязвимостей требует немало времени и средств, а иногда и остановки важных бизнес-процессов. Для устранения таких угроз системы IPS и NGFW используют пользовательские сигнатуры. Проблема заключается в том, что не каждый пользователь способен понять механизм атаки. Таким образом, пользовательская сигнатура может не только пропустить угрозу, но и вызвать большое количество ложных срабатываний. В WAF используется анализатор исходных кодов приложения, который не только показывает в отчете строки уязвимого кода, но и создает эксплоит, то есть вызов с определенными значениями для эксплуатации обнаруженной уязвимости. Далее эксплоит передается в WAF для автоматического создания виртуального патча, который обеспечивает мгновенное закрытие уязвимости до исправления кода.
  8. Обычный межсетевой экран срабатывает на каждое подозрительное событие, то есть выдает множество срабатываний, в которых нужно разбираться вручную для того, чтобы выявить угрозу. WAF способен группировать схожие срабатывания и выявлять цепочку развития атаки. В итоге специалисты по информационной безопасности вместо списка, состоящего из тысяч подозрительных событий, получают несколько десятков важных сообщений [4].

Заключение

Современный подход к защите веб-приложений основан на использовании специализированных решений — WAF. Обычно работают они с протоколами HTTP/HTTPS, но делают они это на максимально интеллектуальном уровне. Помимо традиционных методов, таких как репутационный анализ IP-адресов и распознавание атак по сигнатурам, они используют и уникальные подходы. Архитектура WAF позволяет анализировать целиком каждый сеанс связи и выполнять более точный поведенческий анализ, чем это делают NGFW. Как результат, WAF лучше выявляют отклонения в нормальной работе приложений и могут противостоять уязвимостям нулевого дня.

С известными уязвимостями WAF тоже борются оригинальным образом. Технология виртуального патчинга позволяет им закрыть известную брешь, не дожидаясь выхода обновления для уязвимого компонента. Анализатор исходных кодов способен не просто определить уязвимость, но и автоматически создать патч в оперативной памяти.

Рассмотренная ранее проблема с избыточностью запросов и лог-файлов решается в WAF за счет выявления корреляций между ними и объединения взаимосвязанных сообщений в цепочки. Они позволяют увидеть развитие атаки и быстро среагировать на нее, не теряя времени на пролистывание отчета.

Последние версии WAF обрабатывают XML, JSON и другие протоколы, используемые преимущественно мобильными приложениями.

Литература:

  1. Типы Файрволов. Web: https://www.dataarmor.ru/firewall-types/.
  2. IDS/IPS — системы обнаружения и предотвращения вторжений и хакерских атак. Web: http://www.altell.ru/solutions/by_technologies/ids/.
  3. Скородумов, А. В. Почему все переходят на системы защиты нового поколения — Firewall: Next Generation / А. В. Скородумов // Information Security/Информационная безопасность. — 2015. — № 2. — С.22–23.
  4. Чем защищают сайты, или зачем нужен WAF? Web: http://www.securitylab.ru/analytics/475861.php.
Основные термины (генерируются автоматически): WAF, NGFW, IPS, IDS, HTTP, HTTPS, приложение, JSON, информационная безопасность, нулевой день.


Ключевые слова

веб-приложение, кибератака, WAF, системы обнаружения и предотвращения вторжений IDS/IPS, фаервол, межсетевой экран нового поколения NGFW

Похожие статьи

Проектирование программного обеспечения сканера веб-уязвимостей TechnoScan c использованием нотаций диаграммы UML

В статье представлен анализ актуальности использования сканеров уязвимости для предотвращения возможных угроз и выявления уязвимостей веб-приложений на ранних этапах. Представлены результаты проектирования сканера веб-уязвимостей “TechnoScan” с испол...

Современные системы автоматизированного динамического анализа вредоносных файлов

Статья посвящена исследованию трех современных систем автоматизированного динамического анализа вредоносных файлов: Cuckoo Sandbox, Anubis и DRAKVUF. Показано значение подобных систем в области изучения функциональности вредоносных программ. Раскрыты...

Разработка DLP-системы с использованием алгоритмов глубокого анализа трафика

В ходе научной работы рассмотрены основные лидеры рынка Data Leak Protection — систем, предназначенных для корпоративных сетей малого и среднего бизнеса. Проведен сравнительный анализ рассмотренных систем по каналам утечки информации и выявлены сущес...

Особенности использования корпоративной информационной системы

В статье рассмотрено преимущество внедрения и использования корпоративных информационных систем, основной задачей которой является обеспечение безперебойной и системной работы внутриорганизационных подразделений, также и организация контроля поступаю...

Особенности автоматизации мониторинга социальных сетей

В настоящей статье рассмотрены особенности автоматизации мониторинга социальных сетей. Также автор привел содержательные статистические данные по интенсификации использования социальных сетей, уделив особое внимание процессу мониторинга контента в ни...

Разработка системы контроля и управления доступом с применением биометрических методов идентификации

В статье рассмотрены биометрические методы идентификации, применяемые в системах контроля и управления доступом, приведена классификация методов идентификации и основные параметры оценки представленных систем. В качестве базовой технологии выступает ...

Система активного учета технических средств

Статья посвящена рассмотрению вопросов разработки системы учета измерительного оборудования в специализированном подразделении крупной строительной компании. Внедрение представленного программного обеспечения позволит вести необходимый контроль место...

Проблемы информационной безопасности при использовании ERP-систем

Обозначена актуальность использования ERP-систем в деятельности современного предприятия. Выделены основные функции ERP-систем и категории данных обрабатываемых ими. Проанализирована проблема нарушения информационной безопасности в ERP-системе. Соста...

Методы защиты веб-приложений от CSRF-атак

Сегодня CSRF-атаки предстают перед нами в числе уязвимостей, которые разработчики веб-приложений не воспринимают всерьез. Это упущение ежегодно приносит серьезные убытки всем, начиная от рядового пользователя сети Интернет, заканчивая крупнейшими IT-...

Анализ особенностей использования фаззинга как инструмента тестирования межсетевых экранов безопасности веб-приложений

В научном исследовании представлены результаты анализа особенностей фаззинга тестирования межсетевых экранов безопасности веб-приложений. Актуальность направления изучения объясняется невозможностью межсетевых экранов в полной мере противостоять дина...

Похожие статьи

Проектирование программного обеспечения сканера веб-уязвимостей TechnoScan c использованием нотаций диаграммы UML

В статье представлен анализ актуальности использования сканеров уязвимости для предотвращения возможных угроз и выявления уязвимостей веб-приложений на ранних этапах. Представлены результаты проектирования сканера веб-уязвимостей “TechnoScan” с испол...

Современные системы автоматизированного динамического анализа вредоносных файлов

Статья посвящена исследованию трех современных систем автоматизированного динамического анализа вредоносных файлов: Cuckoo Sandbox, Anubis и DRAKVUF. Показано значение подобных систем в области изучения функциональности вредоносных программ. Раскрыты...

Разработка DLP-системы с использованием алгоритмов глубокого анализа трафика

В ходе научной работы рассмотрены основные лидеры рынка Data Leak Protection — систем, предназначенных для корпоративных сетей малого и среднего бизнеса. Проведен сравнительный анализ рассмотренных систем по каналам утечки информации и выявлены сущес...

Особенности использования корпоративной информационной системы

В статье рассмотрено преимущество внедрения и использования корпоративных информационных систем, основной задачей которой является обеспечение безперебойной и системной работы внутриорганизационных подразделений, также и организация контроля поступаю...

Особенности автоматизации мониторинга социальных сетей

В настоящей статье рассмотрены особенности автоматизации мониторинга социальных сетей. Также автор привел содержательные статистические данные по интенсификации использования социальных сетей, уделив особое внимание процессу мониторинга контента в ни...

Разработка системы контроля и управления доступом с применением биометрических методов идентификации

В статье рассмотрены биометрические методы идентификации, применяемые в системах контроля и управления доступом, приведена классификация методов идентификации и основные параметры оценки представленных систем. В качестве базовой технологии выступает ...

Система активного учета технических средств

Статья посвящена рассмотрению вопросов разработки системы учета измерительного оборудования в специализированном подразделении крупной строительной компании. Внедрение представленного программного обеспечения позволит вести необходимый контроль место...

Проблемы информационной безопасности при использовании ERP-систем

Обозначена актуальность использования ERP-систем в деятельности современного предприятия. Выделены основные функции ERP-систем и категории данных обрабатываемых ими. Проанализирована проблема нарушения информационной безопасности в ERP-системе. Соста...

Методы защиты веб-приложений от CSRF-атак

Сегодня CSRF-атаки предстают перед нами в числе уязвимостей, которые разработчики веб-приложений не воспринимают всерьез. Это упущение ежегодно приносит серьезные убытки всем, начиная от рядового пользователя сети Интернет, заканчивая крупнейшими IT-...

Анализ особенностей использования фаззинга как инструмента тестирования межсетевых экранов безопасности веб-приложений

В научном исследовании представлены результаты анализа особенностей фаззинга тестирования межсетевых экранов безопасности веб-приложений. Актуальность направления изучения объясняется невозможностью межсетевых экранов в полной мере противостоять дина...

Задать вопрос