Приложения, которые используются на Web-серверах, становятся более продвинутыми. Все больше разнообразного ПО работает «поверх» Web-инфраструктуры и обрабатывает более сложные запросы пользователей. Это уже не статическая страничка, как раньше, а целая система с собственными приложениями, языками программирования, «движками» для поиска и обработки запросов пользователей и их заказов, интерфейсами к базам данных, форумами и блогами. «Заплаток» к такого рода приложениям никто не выпускает, и о безопасности приходится заботиться самостоятельно.
Если раньше посетитель просто заходил на сайт в поисках информации, то сейчас пользователь стал активным: он вводит сетевые имена, пароли, личные данные и прочую информацию и получает ответную информацию от сервера. В результате Web-ресурс становится уязвимым для всех традиционных типов атак. Антон Разумов, консультант по безопасности компании Check Point Software Technologies, считает, что атак становится все больше и защищаться от них все сложнее: «Появляются новые сценарии, SQL- и LDAP-атаки (особенно часто встречаются, когда база пользователей находится на внешних ресурсах). Кроме того, в подобных прикладных системах чаще всего используются Web-серверы собственной разработки или в значительной степени переделанные из типовых программных продуктов. Зачастую администраторы уделяют больше внимания модификации своих разработок, функционала и в меньшей степени беспокоятся о безопасности. К сожалению, традиционные средства защиты не могут предотвратить подобные атаки».
Константин Соколов, директор департамента информационной безопасности компании «АМТ-ГРУП», склонен разделить проблематику на две основные части: «С одной стороны, российский бизнес в своей массе в повседневной деятельности слабо использует интернет-технологии в общем и Web-ресурсы в частности. Культура применения технологий удаленной работы с корпоративными приложениями и разработки самих приложений на настоящий момент низка. Проникновение широкополосного доступа в целом по стране недостаточно для повсеместного перехода на данные технологии. С другой стороны, технологии вредоносного воздействия на подобные приложения постоянно совершенствуются, и методы их применения оттачиваются на многочисленных, хорошо защищенных и, как правило, надлежащим образом администрируемых ресурсах в тех же Соединенных Штатах. Практика показывает, что при проведении аудитов безопасности Web-ресурсов практически в 100% случаев обнаруживаются доступные к “эксплуатации” уязвимости. Тем не менее это не повод для паники».
Почему не по-старому?
Евгений Модин, руководитель направления консалтинга компании «Аладдин Р. Д.», не совсем согласен с тем, что традиционные средства защиты не обеспечивают безопасности удаленных Web-ресурсов. Он считает необходимым совместное использование традиционных и новых средств защиты: «Мир не стоит на месте, появляются новые угрозы, разрабатываются новые методы борьбы с ними. Отследить все эти изменения и принять адекватные меры — задача нетривиальная, поэтому все большее распространение получают решения, позволяющие централизованно управлять данным процессом. Однако это не подразумевает отказа от традиционных средств защиты».
По мнению Виталия Яковлева, CIO компании ASTF, современные технологии позволяют не опасаться за целостность данных, поскольку подавляющее число Web-сервисов хранит данные в реплицированных хранилищах, а информационные базы резервируются в масштабе, приближенном к реальному времени или с заданной периодичностью: «Сами же реплицированные и “мгновенные” копии хранятся в системах, не предоставляющих Web-доступа. Большинство корпоративных Web-систем оснащено логикой проверки масштабных изменений или нехарактерных массовых выборок данных, при этом инженер службы безопасности оповещается о таких действиях, а скомпрометированная пользовательская запись будет блокирована. В данном контексте как угрозу безопасности можно рассматривать лишь неавторизованный доступ (просмотр, изменение или удаление), то есть необходимо решать проблему авторизации и доверия к пользовательской учетной записи».
Среди Web-приложений можно выделить две большие группы: собственные (внутрикорпоративные) Web-системы и арендуемые. Для первых по-прежнему актуальны «классические» средства защиты, и безопасность в них чаще всего обеспечивается на должном уровне. «Можно сказать, что с переходом от традиционных к Web-ориентированным системам поменялась только техническая составляющая, обеспечивающая защиту данных и авторизации, — считает Яковлев. — Если мы не рассматриваем защищенность канала связи, а говорим лишь о защите доступа, то во внутрикорпоративных системах этот вопрос решается посредством электронных ключей или меток, обеспечивающих авторизацию и туннелирование сессии авторизации внутри закрытого канала передачи данных. Единственным серьезным отличием от классических систем является отсутствие проверки по географическому принципу (точнее, его видоизменение)».
Внешние Web-сервисы в гораздо большей степени открыты для хакерских действий, чем внутрисетевые приложения. При этом внешние Web-сервисы все более активно интегрируются с сервисами, доступными лишь из интранета, и другими корпоративными приложениями. «В результате целью первичной атаки злоумышленника может оказаться Web-сервер, для которого открылась новая уязвимость. Но захват контроля над Web-сервером — лишь инструмент для основной цели, которая в большинстве случаев заключается в получении доступа к базам данных, тесно интегрированным с атакованным Web-сервисом. Нередко вопросу организации системы идентификации пользователя не уделяется должного внимания. Чаще всего используется лишь простая однофакторная идентификация в виде пароля», — отмечает Вениамин Левцов, региональный менеджер компании Trend Micro в России и СНГ.
Завтрашние проблемы сегодня
В последнее время наблюдается тенденция переводить информационные ресурсы и базы данных из собственных ЦОД вместе с собственными внутрикорпоративными Web-системами на арендуемые Web-платформы, предоставляющие сервисы удаленного доступа и возможности работы с корпоративными базами данных. При этом, как правило, арендуемые приложения располагаются в облачной инфраструктуре, следовательно, заказчик полностью лишен контроля над физическим носителем.
По мнению Яковлева, самым очевидным минусом в подобных системах является их главное преимущество — предоставление ПО как услуги (Software as a Service, SaaS): «Это означает, что все клиенты облачного или арендуемого решения работают с одним и тем же программным обеспечением на основе тех же самых логических принципов и алгоритмов (все используют одни и те же принципы авторизации, обеспечения безопасности данных и пр.). В результате это приносит некоторую усредненность в предлагаемых решениях обеспечения безопасности. Множество компаний сочтет их удобными, легко настраиваемыми, а зачастую и более надежными, чем собственные корпоративные решения, однако ряд компаний придут к выводу, что предлагаемые принципы и алгоритмы будут обеспечивать уровень защиты, более низкий по сравнению с внутрикорпоративными решениями. Вызвано это тем, что подавляющее число клиентов облачных платформ не предъявляют высоких требований к защите данных, проверке пользовательских учетных записей и другим подобным аспектам. На текущий момент распространенной практикой является авторизация пользователя по паре логин – пароль, где оба параметра являются короткими текстовыми строками, то есть не используются такие возможности повышения уровня защищенности, как пары электронных ключей, цифровые терминалы доступа, геолокационные проверки и пр.».
По наблюдениям Разумова, в последние два года существенно увеличился спрос на системы защиты Web-приложений, способные анализировать Web-протокол именно с точки зрения передаваемой внутри него информации. Появляется возможность раскрывать SSL-трафик, анализировать информацию в расшифрованном виде и передавать ее на прикладные системы после глубочайших проверок. Таким образом, данные остаются защищенными от перехвата третьей стороной. «Но новые угрозы появляются постоянно, и защита должна иметь возможность быстро обновляться, — уверен Разумов. — Необходимо различать обновление ПО (как правило, оно происходит раз в несколько месяцев или раз в год) и обновления для борьбы с новыми видами атак. Ведь работают и такие системы, которые невозможно блокировать как сигнатуру (к примеру, SQL injection). Чтобы поддерживать их актуальность, должны быть предусмотрены возможности обновления эвристических механизмов анализа».
Очевидно, что корпоративные системы с Web-доступом становятся все более и более популярными. В результате все больше компаний приходят к выводу о финансовой эффективности использования решений, которые позволяют сотрудникам и руководству иметь доступ к корпоративной информации в режиме реального времени, без привязки к офисным терминалам, местоположению, времени суток. Яковлев считает, что рано или поздно системы с Web-доступом обретут логику обеспечения безопасности «классических» систем: «В дополнение к чисто цифровой авторизации будут добавлены электронный ключ, электронная метка, авторизационный мобильный терминал. Объединение электронных и физических средств обеспечения безопасности доступа нивелирует разницу в классификации безопасности между “классическими” и Web-системами, что, безусловно, приведет к лавинообразному росту популярности последних».