Изъяны архитектуры и дефицит кадров: угрозы безопасности веба в 2024 году

С каждым годом хакерские атаки становятся всё сложнее. Киберпреступность эволюционирует и автоматизируется. По значимым, популярным ресурсам идёт адресная работа. Веб-приложения постоянно сканируют и ищут в них уязвимости, чтобы атаковать точечно и болезненно. В сложившейся ситуации критически необходимо вкладываться в информационную безопасность веб-приложений.

Недавно руководитель отдела клиентских решений NGENIX Антон Апряткин принял участие в прямом эфире AM Live «Современная защита веб-приложений».

Делимся с вами основными тезисами Антона и рассказываем:

➡️ почему веб-приложения в опасности;
➡️ какие веб-приложения попадают в зону риска;
➡️ какие атаки сейчас популярны;
➡️ как защитить веб-приложение.

Почему веб-приложения в опасности?

Можно выделить 3 основные причины, из-за которых веб-приложения под угрозой:

1. Изъяны в безопасности не учитываются на этапе разработки
   
   Если компания придумала раньше конкурентов что-то, что улучшит опыт потребителя или повысит конверсию, то она отвоюет долю рынка. Главное — быстро сделать, запустить и начать использовать MVP. Вот только оперативная реализация может сказаться на безопасности приложения.
   
   
2. Уязвимости в готовом ПО
   
   На рынке много доступных CMS, движков, сторонних компонентов — их используют разные веб-приложения. Если в одном из таких компонентов есть незакрытая дыра, злоумышленник может ходить с одним эксплойтом по всем уязвимым ресурсам: ломать, дефейсить, сливать данные пользователей.
   
   
3. Между прибылью и безопасностью выбирают первое
   
   Веб-бизнес мыслит получением прибыли. Часто источники прибыли появляются с внедрением новых технологий: пользовательских сценариев, плагинов, библиотек, интеграций — так что большая часть средств идет сюда. А вот на внедрение ИБ не все владельцы веб-ресурсов готовы тратиться — это довольно ощутимый расход. И только столкнувшись с проблемой, они осознают, что успешные атаки могут привести к потере выручки.

Какие веб-приложения попадают в зону риска?

Если у вас есть веб-ресурс, его когда-нибудь атакуют, либо уже атаковали, либо атаковали, но вы пока об этом не знаете. Поэтому можно без преувеличения сказать, что все веб-приложения находятся в зоне риска. Особенно — социально значимые, прибыльные, популярные, а также небольшие и, как следствие, плохо защищенные.

Социально значимые веб-приложения, чаще всего, попадают под удар хактивистов, которые мотивированы идейно.

Прибыльные веб-приложения — самый привлекательный «приз» для злоумышленников, потому что хакеры мотивированы финансово. Даже несмотря на то, что такие приложения, обычно, хорошо защищены и киберпреступникам нужно потратить немало усилий для преодоления мер защиты.

Публичные веб-приложения, чья репутация может серьезно пострадать от кибератаки, — заметная цель для тех злоумышленников, кто нарабатывает соцкапитал в киберпреступном мире или занимается простыми атаками ради фана.

Веб-приложения небольших компаний не являются основной целью злоумышленников, поэтому, чаще всего, они плохо защищены — в них не инвестируют достаточно средств для обеспечения информационной безопасности. Но в итоге небольшие компании становятся для злоумышленников «низко висящим фруктом, который легко сорвать», и всё же сталкиваются с атаками, пусть и более примитивными.

В большинстве случаев причина атак — желание навредить финансово:

• заддосить и вывести на время из игры;
• украсть контент;
• сделать много фиктивных заказов, чтобы реальным пользователям не хватило товаров и они купили у кого-то другого;
• истощить ресурс инфраструктуры и так далее.

В первую очередь, охотятся за пользовательскими или платежными данными, поэтому если веб-ресурс предполагает регистрацию или оплату, его обязательно будут ломать.

Рассмотрим на примере

Яркий пример жертвы — крупный ecommerce-ресурс. Онлайн-магазин, сервис бронирования, классифайдер, агрегатор, маркетплейс — любое открытое для интернет-пользователей веб-приложение с большим количеством транзакций. У него есть полный набор интерфейсов, выставленных в публичный интернет и взаимодействующих с бэкендом через API.

Такие веб-ресурсы работают в условиях жесткой конкуренции и воюют за потребителя. Чтобы конверсия была выше, любой интернет-пользователь может совершать большую часть действий до аутентификации: смотреть каталог, выбирать товары, класть их в корзину и не только. Этой особенностью бизнес-логики активно пользуются злоумышленники.

Например, боты могут постоянно дергать API, увеличивая количество запросов на бэкэнд. Тогда ИТ-команде надо закупать дополнительное оборудование или увеличивать затраты на услуги провайдера. Бизнес несет реальные финансовые убытки: масштабирует инфраструктуру, платит за фиктивные SMS, хотя мог бы инвестировать в core business.

Какие атаки сейчас популярны?

В 2024 году хакеры сменили тактику: теперь они выбирают конкретные цели и развивают инструменты для нападения именно на них.Сейчас хакерам не так выгодно выводить сайт или приложение из строя, как происходит в случае с DDoS-атаками. Лучше оставить его доступным, но получить выгоду: спарсить контент, украсть данные при помощи ботов и так далее.

Всё чаще злоумышленники атакуют бизнес-логику: формы аутентификации, системы бронирования, резервирование записи у организации, формы обратной связи — всё, что увеличивает интенсивность вызова API.

Участились supply chain атаки. Если в каком-то стороннем решении есть дыра и о ней известно, киберпреступники нацеливаются на все компании, где внедрено это ПО. Они будто ходят с отмычкой от двери к двери, пока она не подойдет к какому-то замку. Неидеальная культура управления уязвимостями дает им большие шансы на успех.

В публичных веб-приложениях на уровне L7 всё еще наблюдается непрерывный поток DDoS-атак: хоть их интенсивность по сравнению с прошлыми годами снизилась, они никуда не делись. Но DDoS уже привычны и изучены — есть четкое представление, как их отражать. 

Основной головной болью остаются боты, так как они разнообразны и труднодетектируемы. Таким атакам даже необязательно быть интенсивными, чтобы навредить заказчику. Злоумышленники часто атакуют конкретную болевую точку в веб-приложении или изъян в бизнес-логике. К числу таких атак можно отнести SMS-бомбинг, брутфорс, парсинг, скраппинг. Сценариев много, и для таких угроз нет универсального решения.

Что поможет обеспечить защиту веб-приложений?

Защита веб-приложений — это всегда гонка вооружений. Растет фон атак — растет и желание защищаться: предотвращать киберпреступления, повышать эффективность своих ИБ-решений. Постепенно появляются новые практики, инструменты защиты — и интерес к ним растет. Наблюдается рост количества bug bounty и использования услуг пентестинга или ИБ-аудита. 

6 конкретных советов, как защитить веб-приложение

Совет №1 
Начните работу над безопасностью веб-приложения с повышения культуры ИБ в разработке и внедрения практик DevSecOps. Они помогают правильно спроектировать приложение, чтобы оно легко интегрировалось с любыми системами защиты и не имело изъянов логики. Пригласите ИБ-специалистов на этапе проектирования архитектуры веб-приложения. Рефакторить код после разработки — сложно и дорого, а иногда невозможно, но защищать веб-приложение всё равно придется. 

Совет №2
Постройте несколько эшелонов защиты для фильтрации мусорного и вредоносного трафика:

➡️ режьте объемные атаки на уровне L3/L4;
➡️ фильтруйте атаки по типовым признакам запроса (например, принадлежности к сетям ЦОД, географии IP-адресов и так далее);
➡️ защищайтесь на уровне L7 системой защиты от DDoS;
➡️ для митигации более сложных атак, которые прошли все предыдущие эшелоны, используйте WAF. 

Совет №3
Следите засвоим приложением, размечайте трафик, обновляйте белые и черные списки. 

Совет №4
Разнесите по разным доменам ресурсы: статический контент — на один домен, динамический — на другой; также и в отношении внешних и внутренних пользователей. 

Совет №5
Если у вас нет ИБ-отдела,идите за информационной безопасностью к подрядчикам: специализированным MSSP, сервис-провайдерам. Они помогут закрыть отсутствие ИБ-компетенций в компании конкретными сервисами или аутсорсингом. А нанять себе в компанию ИБ-специалиста в нынешних реалиях сложно — кадров по-прежнему мало.

Совет №6
Активно взаимодействуйте с ИБ-командой: внутренней или провайдера. Фон атак сейчас изменчивый, постоянно появляются новые техники и способы, поэтому решения нужно искать сообща.

Тренды и векторы атак меняются каждый год, предсказать их невозможно. Но точно стоит быть готовыми к любой ситуации. Базовое средство защиты веба сегодня — неразрывная технологическая связка: антибот + антидидос (L3,4,7) + WAF.

🧑‍💻 Подробнее о WAF мы рассказали в серии статей:

«Защита от взлома: как WAF помогает защитить сайт», где мы рассказали, откуда появляются уязвимости; чем опасны атаки на веб-приложения; что такое WAF и зачем он нужен; как устроен WAF и какие угрозы предотвращает.
 
«On-premise или Cloud WAF: какую модель выбрать и почему?», где поделились, какие есть модели использования WAF; кому подойдет on-premise и какие у него недостатки; почему WAF в облаке — это удобно и что такое NGENIX Cloud WAF.

«Таблетка не волшебная, но полезная: 5 мифов о WAF, которые пора развеять», где мы собрали несколько распространенных заблуждений о технологии WAF и решили их разоблачить.