Содержание. __ от редакции. Биография сетевого периметра в картинках
Скачать 5.92 Mb.
|
н/д 33% | Промышленность н/д 71% 50% | Телекоммуникации н/д 80% 57% | СМИ 80% н/д 80% | ИТ 75% 67% 100% | Финансовые организации и банки 67% 89% 100% 2013 2014 2015 анализ иСходноГо кода лучШе выявляет опаСные уязвимоСти Доля систем, подверженных критически опасным уязвимостям, кото- рые были обнаружены методом черного ящика, существенно ниже, чем аналогичный показатель для сайтов, где анализировали исход- ные коды приложения. Однако даже для метода черного и серого ящика доля систем с опасными уязвимостями довольно велика (59%). Таким образом, отсутствие у атакующего доступа к исходным кодам не делает веб-приложения защищенными. При этом среднее количество уязвимостей различного уровня риска на одну систему, выявленных методом белого ящика, существенно выше, чем при тестировании методами черного и серого ящиков. positive research 2016 26 02 04 06 08 10 12 14 16 18 20 22 24 26 28 30 32 34 36 38 40 42 44 46 48 50 52 54 56 58 60 62 64 66 68 70 72 74 76 78 80 82 84 86 88 90 92 94 96 98 100 102 доли систем с уязвимостями разной степени риска по методу тестирования Среднее количество выявленных уязвимостей определенного уровня риска на одну систему Среднее количество обнаруженных уязвимостей на одну систему | Черный и серый ящик 0% 20% 40% 60% 80% 100% 65% 100% 59% | Белый ящик 20% 100% 80% Низкий Средний Высокий 0 5 10 15 20 25 | Низкий | Средний 0,1 3,0 22,2 15,0 | Высокий 15,1 4,0 Анализатор кода Ручное тестирование | Черный и серый ящик 0 2 4 6 8 10 0,9 6,6 0,7 | Белый ящик 0,7 9,8 5,1 Низкий риск Средний Высокий В рамках исследования была также проведена оценка результа- тов работ, осуществленных методом белого ящика вручную либо с использованием автоматизированного сканера. В среднем в ка- ждой системе выявлено около 15 критически опасных уязвимостей в случае использования анализатора кода (учитывались только подтвержденные уязвимости), и всего 4 уязвимости — ручными методами. Таким образом, анализ защищенности методом белого ящика суще- ственно эффективнее других методов, при которых не анализирует- ся исходный код приложения. При этом автоматизированный анализ кода оказывается достаточно эффективным, особенно если учесть объемы кода современных приложений, где используется множе- ство библиотек. В целом полученные данные свидетельствуют о необходимости ре- гулярно проводить работы по анализу защищенности веб-приложе- ний. Важно осуществлять такой анализ на всех стадиях разработки, а также регулярно (например, дважды в год) в процессе эксплуатации систем. Кроме того, приложения, уже находящихся в эксплуатации, нуждаются в эффективной защите от атак: более половины таких ресурсов (63%) оказались подвержены критически опасным уязви- мостям. Эти недостатки могут привести не только к разглашению важных данных, но и к полной компрометации системы, либо выводу ее из строя. Для защиты от таких атак рекомендуется применять меж- сетевые экраны уровня приложений. posiTiVe Technologies назвали «визионером» в рейтинГе gArTner mAgic QuAdrAnT по БезопаСноСти веБ-приложений Одна из самых авторитетных международных аналитических компаний включила Positive Technologies в свой рейтинг ми- ровых производителей защиты для веб-приложений 2015 Magic Quadrant for Web Application Firewalls. В список попали 14 компаний, но статуса «визионера» (visionary) получили только две. Аналитики Gartner рекомендуют обратить внимание на Positive Technologies «за уникальные и передовые технологии безопасности». Убедиться в эффективности продуктов ком- пании можно в ходе бесплатного тест-драйва: участники программы получают систему PT Application Firewall в виде аппа- ратного или виртуального решения на согласованный срок проведения пилотного проекта. Установка защитного экрана не требует внесения изменений в инфраструктуру участника программы, при этом весь процесс тестирования сопро- вождается экспертами Positive Technologies либо сертифицированными специалистами компаний-партнеров. Оставить заявку на участие и получить полную версию отчета Gartner можно на сайте af.ptsecurity.ru. 27 // ВЕБ-БЕзопасность 03 05 07 09 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59 61 63 65 67 69 71 73 75 77 79 81 83 85 87 89 91 93 95 97 99 101 103 чем защищают Сайты, ИЛИ ЗАЧЕМ НУЖЕН WAF? Экраны для защиты веб-приложений (WAF) — достаточно новая тех- нология. Можно заметить, что наиболее авторитетное сравнительное исследование по таким системам — Gartner Magic Quadrant for Web Application Firewalls — публикуется лишь с 2014 года (а «квадран- ты» по SIEM, например, стали выходить еще в 2009 году). Кроме того, Изначально термин firewall (брандмауэр, экран) обозначал сетевой фильтр, который ставится между доверенной внутренней сетью и внешним интернетом (отсюда прилагательное «межсетевой»). Этот фильтр был призван блокировать подозрительные сетевые пакеты Евгений Миньковский, Алексей Андреев habrahabr.ru/company/pt/blog/269165/ 1. в начале времен: пакетные фильтры некоторые до сих пор путаются с терминологией, не отличая WAF от обычного межсетевого экрана (network firewall) и от систем предот- вращения вторжений (IPS). В этой статье мы расскажем о том, как идет эволюция периметровой защиты по мере роста изощренности атак, и какую роль здесь играет WAF. на основе критериев низких уровней модели OSI: на сетевом и ка- нальном уровнях. Иными словами, фильтр учитывал только IP-адреса источника и назначения, флаг фрагментации, номера портов. positive research 2016 28 02 04 06 08 10 12 14 16 18 20 22 24 26 28 30 32 34 36 38 40 42 44 46 48 50 52 54 56 58 60 62 64 66 68 70 72 74 76 78 80 82 84 86 88 90 92 94 96 98 100 102 В дальнейшем возможности расширились до шлюзов сеансового уровня, или фильтров контроля состояния канала (stateful firewall). Эти межсетевые экраны второго поколения повысили качество и производительность фильтрации за счет контроля принадлежности пакетов к активным TCP-сессиям. К сожалению, подобная система защиты практически бесполезна против современных киберугроз, где более 80% атак используют уязвимости приложений, а не уязвимости сетевой архитектуры и сервисов. Хуже того: блокирование отдельных портов, адресов или протоколов (основной способ работы межсетевых экранов) может «вырубить» вполне легитимные приложения. Это значит, что защит- ная система должна проводить более глубокий анализ содержания пакетов — то есть лучше «понимать» работу приложений. 3. вСе в кучу: ngFW/uTm 2. копаем ГлуБже: ids/ips Следующим поколением защитных экранов стали системы обна- ружения и предотвращения вторжений (IDS/IPS). Они способны изучать в TCP-пакетах поле данных и осуществлять инспекцию на уровне приложения по определенным сигнатурам. Системы IDS приспособлены к тому, чтобы выявлять атаки не только сна- ружи, но и внутри сети — за счет прослушивания SPAN-порта коммутатора. Для совершенствования защитных механизмов в IDS/IPS стали при- меняться декодеры (разбор полей TCP-пакета) и препроцессоры (разбор частей протокола уровня приложения, например HTTP). Применение препроцессоров в IPS Snort позволило существенно расширить функциональность периметровой защиты в сравнении с пакетным фильтром, даже если последний проверяет пакеты на уровне приложений (iptables с модулем layer7). Однако при этом сохранился основной недостаток пакетного филь- тра: проверка осуществляется попакетно, без учета сессий, cookies и всей остальной логики работы приложения. Параллельно для борьбы с распространением вирусов появляются прокси-серверы, а для решения задач балансировки нагрузки — об- ратные прокси-серверы. Они отличаются технически, но главное, что и те и другие полноценно работают на уровне приложения: открыва- ется два TCP-соединения от прокси к клиенту и от прокси к серверу, анализ трафика ведется исключительно на уровне приложения. 29 // ВЕБ-БЕзопасность 03 05 07 09 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59 61 63 65 67 69 71 73 75 77 79 81 83 85 87 89 91 93 95 97 99 101 103 Следующим шагом эволюции систем обнаружения вторжений стало появление устройств класса UTM (unified threat management, систе- ма единого управления угрозами) и NGFW (next generation firewall, экраны нового поколения). Системы UTM отличаются от NGFW лишь маркетингом, их функции практически совпадают. Оба класса программных продуктов явились попыткой объединить функции различных продуктов (антивирус, IDS/IPS, пакетный фильтр, VPN-шлюз, маршрутизатор, балансировщик и др.) в одном устройстве. В то же время обнаружение атак в устрой- ствах UTM/NGFW нередко осуществляется на старой технологиче- ской базе, при помощи упомянутых выше препроцессоров. Специфика веб-приложений предполагает, что за один сеанс рабо- ты пользователя с веб-сервером может осуществляться большое количество различных TCP-соединений, которые открываются с различных адресов, но имеют один (возможно динамический) иден- тификатор сессии. Это приводит к тому, что для аккуратной защиты веб-трафика необходима платформа на основе полнофункциональ- ного реверс-прокси-сервера. Но разница в технологической платформе — не единственное, что отличает защиту веб-приложений. 4. защита веБа: что должен уметь WAF Если говорить совсем просто, то веб-приложения отличаются от обычных приложений двумя вещами: огромным разнообразием и значительной интерактивностью. Это создает целый ряд угроз, с которыми традиционные межсетевые экраны не справляются: по на- шим оценкам, в 2014 году 60% атак на корпоративные сети осущест- влялись через веб-приложения, невзирая на наличие традиционных защитных средств. Именно здесь вступает в дело web application firewall (WAF), защит- ный экран для приложений, осуществляющих передачу данных через HTTP и HTTPS. Вот какие функции отличают WAF от защитных систем предыдущих поколений: WAF IPS NGFW/UTM multiprotocol security – + + ip reputation ± ± ± Сигнатуры атак + ± ± автоматическое обучение, поведенческий анализ + – – защита пользователей + – – Сканер уязвимостей + – – виртуальный патчинг + – – корреляции, цепочки атак + – – Теперь подробнее об этих функциях. Multiprotocol security Будучи узкоспециализированным средством, WAF не защищает от проблем протоколов, отличных от HTTP/HTTPS. Но у любой медали две стороны. Многообразие способов обмена данными поверх протокола HTTP настолько велико, что ориентировать- ся в нем может только специализированное средство. Лишь для примера: где-то переменные и значения передаются в формате example.com/animals?dogs=32&cats=23 , где-то в формате example. com/animals/dogs/32/cats/23 , где-то передача параметров прило- жения осуществляется в cookie, а где-то — в параметрах заголов- ка HTTP. Кроме того, продвинутые модели WAF могут анализировать XML, JSON и другие протоколы современных порталов и мобильных при- ложений. В частности, это позволяет противодействовать большин- ству методов обхода защитного экрана (HPC, HPP, Verb Tampering и др.). IP Reputation Технология IP Reputation опирается на внешние черные и белые списки ресурсов и одинаково доступна любым периметровым средствам защиты. Но ценность этого метода несколько преуве- личена. Так, в практике наших специалистов случались ситуации, когда крупные новостные агентства из-за своих уязвимостей меся- цами раздавали malware пользователям, и при этом не попадали в черные списки. К сожалению, векторы проникновения вредонос- ного ПО очень разнообразны, и в наши дни источником заражения для пользователей могут быть даже сайты органов государствен- ной власти. А возможна и обратная проблема, когда по IP блокиру- ются «невиновные» ресурсы. positive research 2016 30 02 04 06 08 10 12 14 16 18 20 22 24 26 28 30 32 34 36 38 40 42 44 46 48 50 52 54 56 58 60 62 64 66 68 70 72 74 76 78 80 82 84 86 88 90 92 94 96 98 100 102 Сигнатуры атак Сигнатурный подход к обнаружению атак применяется повсюду, но только грамотный препроцессинг трафика, доступный для WAF, мо- жет обеспечить адекватное применение сигнатур. Недостатки пре- процессинга приводят к излишней «монструозности» сигнатур атак: администраторы не могут разобраться в сложнейших регулярных выражениях, весь смысл которых в том, что их авторы, например, всего лишь пытались учитывать возможность передачи параметра как открытым текстом, так и в форме шестнадцатеричного кода с процентом. Автоматическое обучение и поведенческий анализ Для атак на веб-приложения злоумышленники активно используют уязвимости нулевого дня, что делает бесполезными сигнатурные ме- тоды анализа. Вместо этого нужно анализировать сетевой трафик и системные журналы для создания модели нормального функциони- рования приложения, и на основе этой модели выявлять аномальное поведение системы. WAF в силу своей архитектуры может разобрать весь сеанс связи пользователя, и потому способен на более глубокий поведенческий анализ, чем NGFW. В частности, это позволяет выяв- лять атаки с использованием автоматических средств (сканирование, подбор паролей, DDoS, фрод, вовлечение в ботнеты). Однако в большинстве случаев обучение поведенческой моде- ли состоит в том, что операторы откуда-то берут «белый трафик» и «скармливают» его средству защиты. Но после сдачи в эксплуатацию поведение пользователей может меняться: программисты допи- сывают интерфейс по скорректированному техническому заданию, дизайнеры «добавляют красоты», рекламные кампании меняют на- правление внимания. Нельзя раз и навсегда составить схему пове- дения «правильного» посетителя. При этом обучаться на реальном, «сером» трафике могут только единицы программных продуктов — и это только WAF. Защита пользователей Периметровое оборудование, обсуждаемое в настоящей статье, предназначено для защиты серверов с веб-приложениями. Однако существует классы атак (например, CSRF), направленных на клиента веб-приложения. Поскольку трафик таких атак не проходит через защитный периметр, защитить пользователя оказывается, на первый взгляд, невозможно. Рассмотрим следующий сценарий атаки: пользователь заходит на сайт банка, проходит там аутентификацию и после этого в другой вкладке браузера открывает зараженный ресурс. JavaScript, загру- зившийся в другом окне, может сделать запрос на перевод денег втайне от пользователя, а браузер при этом подставит все необхо- димые аутентификационные параметры для осуществления финан- совой транзакции, так как сеанс связи пользователя с банком еще не окончился. В описанной ситуации налицо слабости в алгоритме аутентификации в банковском ПО. Если бы для каждой формы, содер- жащейся на странице сайта, генерировался уникальный токен, про- блемы бы не было. К сожалению, разработчики ПО практически никогда так не делают. Однако некоторые WAF могут самостоятельно внедрять подобную защиту в веб-формы и защищать таким образом клиента — а вернее, его запросы, данные, URL и cookie-файлы. Взаимодействие со сканерами уязвимостей На периметровое оборудование возлагается не только защита веб-приложений, но и мониторинг атак. При этом грамотный мони- торинг основан на понимании слабостей защищаемого ПО, которое позволяет отсеять неактуальные попытки атак и выделить только те, которые касаются реальных уязвимостей, имеющихся в системе. Лучшие образцы WAF имеют в своем распоряжении интегрирован- ные сканеры уязвимостей, работающие в режиме черного ящика или динамического анализа (DAST). Такой сканер может использоваться в режиме реального времени для быстрой проверки тех уязвимостей, которые «прощупывают» злоумышленники. Виртуальный патчинг Даже известные уязвимости невозможно устранить сразу: исправле- ние кода требует средств и времени, а зачастую и остановки важных бизнес-процессов; иногда в случае использования стороннего ПО исправление невозможно вообще. Для парирования таких «частных» угроз в системах IDS/IPS, а по наследству в UTM/NGFW, применяются пользовательские сигнатуры. Но проблема в том, что написание та- кой сигнатуры требует глубокого понимания механизма атаки. В про- тивном случае такая сигнатура может не только «пропустить» угрозу, но и породить большое число ложных срабатываний. В наиболее современных WAF используется автоматизированный подход к виртуальному патчингу. Для этого используется анализатор исходных кодов приложения (SAST, IAST), который не просто показы- вает в отчете строки уязвимого кода, но тут же генерирует эксплойт, то есть вызов с конкретными значениями для эксплуатации обна- руженной уязвимости. Эти эксплойты передаются в WAF для авто- матического создания виртуальных патчей, которые обеспечивают немедленное закрытие бреши еще до исправления кода. Корреляции и цепочки атак Традиционный межсетевой экран дает тысячи срабатываний на по- дозрительные события, в которых необходимо разбираться вруч- ную, чтобы выявить реальную угрозу. Как отмечает Gartner, вендоры систем IPS вообще предпочитают отключить большинство сигнатур веб-приложений, чтобы снизить риск возникновения таких проблем. Современный WAF может группировать сходные срабатывания и выявлять цепочку развития атаки — от разведки до кражи важных данных или установки закладок. В результате вместо списка из тысяч подозрительных событий ИБ-специалисты получают несколько де- сятков действительно важных сообщений. что дальШе? Понятно, что решения разных вендоров WAF всегда будут отличать- ся набором функций. Поэтому перечислим здесь лишь наиболее известные дополнительные фичи современных защитных экранов уровня приложений: |