Содержание. __ от редакции. Биография сетевого периметра в картинках
Скачать 5.92 Mb.
|
+ работа с SSL-трафиком как дополнительный уровень защиты (по мнению аналитиков Gartner, возможность проверки зашифро- ванного трафика является одним из важнейших отличий WAF от обычных межсетевых экранов и IPS); + службы проверки подлинности: WAF является единой точкой входа для веб-приложений или действует в качестве брокера проверки подлинности для устаревших приложений, механизм аутентификации которых нарушен; + поддержка политики безопасности контента (content security policy, CSP) для защиты от XSS и других атак. Кроме того, эксперты Positive Technologies прогнозируют следующие перспективные направления развития межсетевых экранов уровня приложений в ближайшем будущем: + новые алгоритмы поведенческого анализа, которые позволят лучше различать пользователей для выявления ботов и злоу- мышленников (UBA); + защита приложений, построенных на базе HTML5, на базе XML-протоколов, с использованием нереляционных БД (NoSQL); + WAF, ориентированные на конкретные типы приложений — бан- ковские (ДБО), ERP, приложения телекомов, масс-медиа и др. Эта статья посвящена только технологическим особенностям WAF, но на практике стоит учитывать и организационные — например, соответствие стандартам безопасности или возможность интегра- ции WAF с другими средствами безопасности (антивирусы, DLP и др.). Модели развертывания также могут быть различными: это может быть аппаратное, программное или виртуальное решение либо об- лачный сервис в моделях SaaS, VAS и MSS. 31 // ВЕБ-БЕзопасность 03 05 07 09 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59 61 63 65 67 69 71 73 75 77 79 81 83 85 87 89 91 93 95 97 99 101 103 СтатиСтика уязвимоСтей приложений финанСовой отраСли В 2015 гОДУ Анна Гнеденко, Евгений Гнедин Так как системы ДБО представляют собой общедоступные веб- и мобильные приложения, для них характерны все уязвимости, извест- ные в сфере безопасности приложений, а также угрозы, связанные со спецификой банковской сферы: хищение денежных средств, несанк- ционированный доступ к данным платежных карт, персональным данным и банковской тайне, отказ в обслуживании и другие угрозы, реализация которых может привести к существенным финансовым и репутационным потерям. Данный отчет содержит статистику, собранную в ходе работ по анализу защищенности систем ДБО, проведенных специалистами компании Positive Technologies в 2015 году. Сравнение с результата- ми аналогичных исследований 2014 и 2013 годов дает возможность оценить динамику развития современных систем ДБО с точки зрения информационной безопасности. иСходные данные В рамках исследования было рассмотрено 20 систем ДБО, включая несколько финансовых сервисов, разработанных на языке 1C, для которых характерны те же угрозы ИБ, что и для систем дистанцион- ного банковского обслуживания. В обзор вошли только те системы ДБО, для которых проводился наиболее полный анализ с учетом логики их функционирования. Большинство исследованных систем (75%) предназначены для обслуживания физических лиц. 35% си- стем — мобильные решения, представленные серверной и клиент- ской частью. 65% систем являются собственными разработками банков. В боль- шинстве случаев использовался язык программирования Java и лишь 8% приложений написаны на 1С. Остальные системы развер- нуты на базе платформ известных вендоров. В соответствии с поли- тикой ответственного разглашения, в настоящем отчете названия компаний-производителей не указываются. Большинство систем (75%) находились в промышленной эксплуата- ции и были доступны для клиентов, остальные представляли собой тестовые стенды, готовые к переводу в промышленную эксплуата- цию. 57% систем ДБО, предоставляемых известными вендорами, на- ходилась в промышленной эксплуатации. оБщие результаты: лидируют недоСтатки авторизации В сравнении с результатами 2013 и 2014 годов доля критически опас- ных уязвимостей заметно снизилась (на 14%). Однако уровень защи- щенности систем ДБО в целом остается на довольно низком уровне: критически опасные уязвимости встречаются практически в каждом интернет-банкинге (90%), что значительно хуже уровня 2013–2014 годов. Наиболее часто (55%) в системах ДБО встречались уязвимости, по- зволяющие получить несанкционированный доступ к данным поль- зователей. К этой категории в основном относятся недостатки авто- ризации. На втором месте (50%) — «Недостаточная защита сессии» (некорректное завершение сессий пользователей, некорректная настройка cookie-параметров, возможность параллельной работы с распределение систем по максимальной степени риска обнаруженных уязвимостей Высокий Средний Низкий 0% 20% 40% 60% 80% 100% 90% 10% 78% 18% 4% | 20132014 | 2015 несколькими активными сессиями для одного пользователя, отсут- ствие привязки сессии к IP-адресу клиента). В рамках исследования были выделены наиболее опасные угрозы, которые потенциально могли быть реализованы в отношении си- стем ДБО, с учетом совокупности уязвимостей, выявленных в ходе анализа. Так, в одной из исследованных систем ДБО выявлена возможность хищения денежных средств пользователя в результате эксплуатации комбинации уязвимостей различных категорий (недостаточной за- щиты сессии и недостатков реализации механизмов двухфакторной аутентификации) внешним нарушителем. В отношении 25% исследованных систем ДБО могут быть реализова- ны такие угрозы, как кража денежных средств со стороны авторизо- ванного пользователя. Нарушитель может использовать, в частности, атаки на округление, несанкционированный доступ к операциям другого пользователя, а в некоторых случаях «Внедрение опера- торов SQL». В результате подобных действий банки могут понести существенные финансовые потери, а также утратить репутацию на- дежного партнера. В каждом втором проекте (55%) была выявлена возможность осу- ществления несанкционированного доступа к СУБД, в которых хра- нятся персональные данные пользователей, данные платежных карт, финансовая информация. positive research 2016 32 02 04 06 08 10 12 14 16 18 20 22 24 26 28 30 32 34 36 38 40 42 44 46 48 50 52 54 56 58 60 62 64 66 68 70 72 74 76 78 80 82 84 86 88 90 92 94 96 98 100 102 СиСтемы для юрлиц Стали уязвимее Все исследованные системы ДБО для юридических лиц оказались подвержены опасным уязвимостям, а среди систем для физлиц та- ких оказалось 87%. При этом в системах ДБО для юридических лиц в 2015 году количество уязвимостей средней степени риска на одну систему возросло в несколько раз. Уровень защищенности систем ДБО для юридических лиц существенно снизился, а для физических лиц — остался на том же низком уровне. рейтинг самых распространенных уязвимостей систем дБо | Разглашение важных данных | Недостаточная защита от подбора учетных данных пользователей 0% 20% 40% 60% 80% 100% 14% 25% 14% 25% | Небезопасная передача данных 46% 25% | Атаки на округление 11% 25% | Некорректная реализация механизма OTP 14% 25% | Межсайтовое выполнение сценариев 54% 30% | Внедрение внешних сущностей XML 46% 35% | Идентификация приложений 57% 40% | Недостаточная защита сессий 54% 50% | Недостаточная авторизация при доступе к данным пользователей 36% 55% 20132014 годы 2015 год (высокий, средний и низкий риск) реализуемые угрозы информационной безопасности систем дБо 10% 25% 15% 30% 15% 5% Кража денежных средств со стороны внешнего злоумышленника Кража денежных средств со стороны авторизованного пользователя, доступ к ОС или СУБД Кража денежных средств со стороны авторизованного пользователя, несанкционированный доступ к банковской тайне Доступ к СУБД или файловой системе, несанкционированный доступ к банковской тайне Доступ к файловой системе или СУБД Несанкционированный доступ к сведениям, составляющим банковскую тайну на уровне отдельных клиентов Среднее количество уязвимостей различного уровня риска на одну систему для физических и юридических лиц распределение уязвимостей по степени риска для систем, предоставленных разными категориями разработчиков (доля от общего количества уязвимостей) | Юридические лица 0 2 4 6 8 10 6,6 3,8 4,2 | Физические лица 2,3 2,3 2,0 Низкий Средний Высокий дБо вендора не Гарантирует защиту В системах, приобретенных банками у известных вендоров, доля уязвимостей, связанных с ошибками в программном коде, оказалась выше, чем в системах собственной разработки банков (40% против 28%). В то же время в системах собственной разработки был выяв- лен больший процент уязвимостей конфигурации (35% против 27%). В прошлые годы таких уязвимостей у ДБО вендоров было вдвое меньше (14%). Высокий Средний Низкий 0% 20% 40% 60% 80% 100% 27,1% 35,3% 37,6% 32,6% 26,7% 40,7% | Системы собственной разработки | Системы, приобретенные у вендоров 33 // ВЕБ-БЕзопасность 03 05 07 09 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59 61 63 65 67 69 71 73 75 77 79 81 83 85 87 89 91 93 95 97 99 101 103 По сравнению с предыдущими годами, количество уязвимостей вы- сокой степени риска в системах ДБО, предоставленных вендорами, снизилось практически вдвое. Однако все такие продукты подвер- жены критически опасным уязвимостям. Соотношение уязвимостей различного уровня риска в тестовых и продуктивных системах (доля от общего количества уязвимостей) Высокий Средний Низкий 0% 20% 40% 60% 80% 100% 16,2% 35,1% 48,6% 40,2% 27,8% 32,0% | Продуктивные системы | Тестовые площадки Кроме того, системы ДБО, поставляемые специализированными ком- паниями, в среднем содержат в 1,5–2 раза больше уязвимостей, чем системы собственной разработки. Это неудивительно, поскольку собственные системы ДБО проектируются под конкретную архитек- туру и обладают заданным банком функционалом, что делает их бо- лее простыми и, как следствие, менее уязвимыми. Однако переход от систем известных вендоров к собственной разработке также не дает гарантий, что создаваемая система окажется полностью защищенной. СиСтемы в экСплуатации — уязвимы Количество уязвимостей различных категорий в продуктивных си- стемах в 2015 году заметно ниже, чем в тестовых. Это свидетельствует о положительных результатах работы банков по обеспечению защи- ты приложений, находящихся в эксплуатации. Однако уровень защи- щенности продуктивных систем ДБО нельзя считать высоким: прак- тически во всех таких системах были выявлены критически опасные уязвимости. 40% всех уязвимостей систем ДБО, уже находящихся в эксплуатации, — критически опасные. По этому показателю они даже хуже тестовых. проБлемы механизмов защиты Предсказуемый формат идентификаторов характерен для всех си- стем ДБО, при этом возможность сменить такой идентификатор пре- доставлена пользователям лишь 60% систем. Двухфакторная аутентификация при входе в личный кабинет и про- ведении транзакций позволяют существенно снизить риски хищения денежных средств со счетов пользователей, однако по-прежнему ве- лика доля систем ДБО, где такие механизмы не предусмотрены вовсе (24%), либо реализованы некорректно (29%). Уязвима почти каждая вторая система собственной разработки (45%), и даже в системах ДБО, предоставленных вендорами, встречаются такие недостатки (33%). Кроме того, каждая третья система ДБО (35%) не обеспечивает доста- точную защиту сессии от перехвата и последующего использования злоумышленником. моБильные СиСтемы дБо для ios немноГо лучШе Мобильные системы ДБО под управлением iOS по-прежнему облада- ют более высоким уровнем защищенности по сравнению с системами под Android, где 75% систем подвержены критически опасным уязви- мостям. Однако треть уязвимостей, обнаруженных в приложениях для iOS, характеризуются высокой степенью риска. Эти недостатки связаны с хранением и передачей важных данных в открытом виде. доля систем, подверженных уязвимостям механизмов аутентификации (для различных категорий разработчиков) наиболее распространенные уязвимости клиентского по мобильных систем Системы, приобретенные у вендоров Системы собственной разработки | Недостаточная строгость парольной политики | Недостаточная аутентификация 9% 17% 18% н/д | Отсутствие либо недостатки обязательной двухфакторной аутентификации 45% 33% | Недостаточная защита от подбора учетных данных 18% 17% 0% 20% 40% 60% 80% 100% 20132014 годы 2015 год | Доступность интерфейса отладки | Разглашение важных данных 0% 20% 40% 60% 80% 100% 5% 14% 9% 14% | Недостаточная защита сессий 55% 29% | Небезопасная передача данных 73% 29% | Небезопасное хранение данных в мобильном приложении 41% 43% доли клиентского по мобильных систем дБо, подверженных уязвимостям различной степени риска | Android 50% 75% 75% | iOS 67% 33% 33% Низкий Средний Высокий 0% 20% 40% 60% 80% 100% Каждое приложение на базе Android содержит 3,8 уязвимости, что примерно соответствует уровню 2013 и 2014 годов (3,7). Для iOS-при- ложений данный параметр равен 1,6, что значительно лучше резуль- тата предыдущих лет, когда на каждое приложений приходилось 2,3 уязвимости. Несмотря на то, что наиболее распространенные уязвимости мо- бильных систем ДБО характеризуются средней степенью риска, в ряде случаев выявленные недостатки в совокупности позволяли positive research 2016 34 02 04 06 08 10 12 14 16 18 20 22 24 26 28 30 32 34 36 38 40 42 44 46 48 50 52 54 56 58 60 62 64 66 68 70 72 74 76 78 80 82 84 86 88 90 92 94 96 98 100 102 реализовать серьезные угрозы безопасности. Например, некор- ректная реализация механизма входа по короткому PIN-коду вместе с хранением в файловой системе устройства идентификатора сессии позволяют злоумышленнику, обладающему физическим доступом к данному устройству, подменить ответ веб-сервера таким образом, что на любую попытку неверного ввода PIN-кода сервер будет воз- вращать значение true. В результате успешной атаки злоумышленник может получить полный контроль над личным кабинетом атакуемого пользователя, в том числе изменять настройки и совершать тран- закции от его имени. Также в одном из проектов нарушитель мог получить доступ к мобильному банкингу пользователя вследствие недостаточно защищенной передачи данных. В данном случае си- стема позволяла использовать самоподписанные сертификаты при передаче информации по протоколу HTTPS. заключение Уровень защищенности систем ДБО остается низким, несмотря на сокращение общей доли критически опасных уязвимостей среди всех выявленных недостатков по сравнению с прошлыми годами. Низкая защищенность систем ДБО, находящихся в эксплуатации, наглядно свидетельствует о необходимости внедрения процессов обеспечения безопасности на всех стадиях жизненного цикла при- ложений. Анализ защищенности систем необходимо проводить не только на этапах разработки приложения и перед вводом системы в эксплуатацию, но и во время ее активного использования клиентами банка. Причем такой анализ необходимо осуществлять на регуляр- ной основе (например, дважды в год) с контролем устранения выяв- ленных недостатков. Системам ДБО, приобретенным у вендоров, стоит уделить особое внимание: они зачастую более подвержены уязвимостям, чем си- стемы, собственной разработки банков. Кроме того, рекомендуется использовать средства превентивной защиты, такие как межсетевой экран уровня приложения. Для продуктивных систем, приобретае- мых у вендоров, межсетевой экран уровня приложения рекоменду- ется использовать, чтобы избежать эксплуатации известных уязвимо- стей до выпуска очередного обновления. Для получения доступа к личному кабинету пользователя нарушите- лю достаточно использовать давно известные и распространенные уязвимости (например, недостаточную защиту сессии). Необходимо уделять особое внимание корректной реализации механизмов за- щиты. Также следует внедрять процессы безопасной разработки, обеспечивать всестороннее тестирование безопасности систем при приемке работ. В качестве основы для внедрения процессов обеспе- чения информационной безопасности систем ДБО на всех стадиях жизненного цикла могут быть использованы выпущенные в 2014 году рекомендации Банка России — РС БР ИББС-2.6-2014. Учитывая высокую долю критически опасных уязвимостей на уровне кода веб-приложений, необходимо проводить регулярные провер- ки его качества, например путем проведения анализа защищенности методом белого ящика (в том числе с помощью автоматизированных средств). роСевроБанк выБрал pT ApplicATion FireWAll для защиты СвоеГо Сайта «РосЕвроБанк» входит в число 50 крупнейших банков России по величине активов и собственного капитала. В условиях растущих угроз, связанных с кибератаками на веб-приложения, банку потребовался современный инструмент для защи- ты сайта. После тщательного изучения решений различных производителей, в том числе лидеров зарубежного рынка, управление безопасности остановилось на продукте Positive Technologies. На этапе тестирования защитный экран PT Application Firewall уверенно противодействовал всем распространенным атакам по классификациям OWASP и WASC, включая SQLi, XSS, XXE и CSRF. На втором этапе в сети РосЕвроБанка был построен двухузловой отказоустойчивый кластер PT Application Firewall с возможностью дальнейшего горизонтального масштабирования. |