пятница, 30 марта 2012 г.

СОИБ. Проектирование. Защита web приложений


Заметка в продолжение предыдущей темы про IPS/HIPS.

Проблема защиты web сервисов и web приложений становится с каждым годом всё актуальнее.
Во-первых, больше компаний начинает продвигать услуги через сеть Интернет (партнерские разделы, клиентские разделы, форумы).  Во-вторых, появляется больше компаний, для которых основной бизнес связан с сетью Интернет (интернет банки, интернет магазины, социальные сети, интернет СМИ, онлайн почта, онлайн файлы, онлайн фото-видео, онлайн игры и т.п.). В-третьих, большинство критических корпоративных приложений переходит на web интерфейсы (почта, ERP, документооборот, корпоративные порталы и т.п.).

По данным аналитических лабораторий (1 и 2)  web-приложения имеют большое количество уязвимостей. Вероятность обнаружения уязвимостей составляет 80%.
Даже если вам удалось обнаружить уязвимости в своем приложении раньше злоумышленника, есть ещё задержка во времени, пока разработчик будет устранять уязвимости. Бывали случаи когда разработчики интернет-банка выпускали новую версию только через год  или вообще отказывались дорабатывать ПО.

Рассмотрим для примера экспресс анализ рисков для web приложения.


Рассмотрим контрмеры, которые можно использовать для нейтрализации угроз по неприемлемым рискам:
·        Существенно ограничить доступ мы не можем – ведь к нашему web приложению обращается широкий круг пользователей.
·        Межсетевой экран частично может использоваться для нейтрализации 2 угрозы. Но не поможет нам с 3 и 4.
·        Локальное система предотвращения вторжений совсем слабо поможет с угрозой 2 и 4 и абсолютно не поможет с 3.
·        Сетевое средство обнаружения вторжений поможет с 2, частично с 3-им и совершенно не поможет с 4.

В данном случае, единственным средством, понижающим риски до приемлемого уровня является специализированное средство защиты web приложений (например, IMPERVA).

В качестве подтверждения привожу сравнение решения IMPERVA Web Application Firewall с типовым сетевым средством обнаружения вторжений.



Возможные варианты размещения WAF:

и





2 комментария:

Артем Агеев комментирует...

картинки клевые! а статья рекламная )

ни слова о том как работает девайс. Просто ставьте и от всех 0day уязвимостей вы защищены.

Сергей Борисов комментирует...

Артем, не могу с тобой согласится.
Статья в первую очередь аналитическая.

Во-первых, кратко раскрыта проблематика защиты web-приложений. (И я ожидал комментариев именно по этой части)

Во-вторых проведен экспресс-анализ рисков для конкретного частного случая. (И я ожидал комментариев именно по этой части)

В-третьих, описаны возможности типовой "системы защиты web-приложений", на примере IMPERVA и проведено сравнение с типовой IPS в части защиты web-приложений.(И я ожидал комментариев именно по этой части в защиту IPS)

IMPERVA WAF приведена как один из возможных и лучших представителей в данном классе. Кроме данного решения я знаю ещё Fortigate Web, Barracuda WAF, CheckPoint Web Security Blade, но они реализуют от 30% до 80% от возможностей IMPERVA.

Да, немного рекламы в статье есть, но я всегда советовал, предлагал, рекламировал знакомым, заказчикам, читателям лучшие и наиболее эффективные решения.

На счет описания работы.
В данной заметке приведено описание возможностей решения. То есть "что может делать"

Как оно это делает в одну заметку не влезет.
Если описывать подробно - то получится технический проект.

Если описывать совсем кратко - то это инспекция на все уровнях модели OSI. Причем сигнатурные методы обнаружения атак - это только небольшой кусочек. Кроме этого используется ещё куча способов и правил обнаружения.

Я кстати давал ссылку на сайт производителя где описаны самые вкусные возможности: Dynamic Profiling, Universal User Tracking, Correlated Attack Validation, ThreatRadar Reputation, Virtual Patching.

Если у общественности будет интерес, то в одной из следующих заметок могу описать детали.