Руководство по защите веб-приложений
25.11.2014
Руководство по защите <nobr>веб-приложений</nobr>
Ответы на вопросы для системных и сетевых администраторов

Несколько недель назад специалист Incapsula Orion Cassetto провел вебинар на тему “Руководство по защите веб-приложений для системных и сетевых администраторов”. В ходе вебинара было задано большое количество интересных вопросов, поэтому мы решили создать пост на основе сессии “Вопрос – Ответ”.

  1. На вебинаре вы упомянули несколько решений по безопасности. Они доступны в виде SaaS-сервисов?
  2. Если 61% трафика – это боты, поэтому они не отображаются в моей системе аналитики?
  3. Какой подход к тестированию безопасности вы рекомендуете, Белый или Черный ящик?
  4. Увеличивается ли время отклика сервера из-за перенаправления трафика сайта через сервис, подобный Incapsula?
  5. У меня есть межсетевой экран нового поколения (NGFW), тогда зачем мне нужен WAF?
  6. Мой хостинг-провайдер обеспечивает защиту от DDoS-атак бесплатно. Зачем мне нужно стороннее решение?
  7. Каковы затраты на тестирование с использованием методов Белого и Черного ящиков? Какой из них дешевле?
  8. Может ли Incapsula использоваться с такими облачными сервисами, как Amazon Web Services (AWS)?
  9. Как отличить хорошего бота от плохого?
  10. Похожа ли отрасль информационной безопасности на отрасль физической безопасности тем, что компании инвестируют в систему защиты только после инцидента?
  11. Вы определили сколько стоит стать жертвой DDoS-атаки. А сколько стоит защитить бизнес от этих атак?

Вопрос 1: На вебинаре вы упомянули несколько решений по безопасности. Они доступны в виде SaaS-сервисов?

Orion Cassetto: Да. Многие из предлагаемых решений доступны в виде SaaS. Например, сканеры уязвимостей развернутые на модели SaaS достаточно распространены и многие из крупных вендоров их предлагают.

Web Application Firewalls (WAFs) в качестве услуги, появившиеся за последние 4-5 лет, хорошо себя зарекомендовали. Они предоставляют полезный сервис по безопасности без накладных расходов.

Анализ исходного кода в качестве услуги существует, но не очень популярен. Это потому, что многие организации рассматривают свой исходный код как критически важную часть интеллектуальной собственности и не охотно передают его третьим лицам для сканирования.

Вопрос 2: Если 61% трафика – это боты, поэтому они не отображаются в моей системе аналитики?

OC: Многие люди используют Google Analytics в качестве единственного источника информации о трафике своего сайта. Google Analytics работает используя фрагмент кода JavaScript, который размещается на отслеживаемых страницах. Так как только 1% ботов исполняет JavaScript (согласно отчету по бот-трафику от Incapsula), для остальных 99% этот механизм отслеживания вообще не срабатывает, поэтому информация по ботам не фиксируется Google Analytics и другими подобными системами аналитики.

Вопрос 3: Какой подход к тестированию безопасности вы рекомендуете, Белый или Черный ящик?

OC: Я рекомендую оба. Каждый из них имеет свои преимущества. Черный ящик легко и дешево реализовать. Он помогает выявить такую проблему, как ошибки конфигурирования, в то время как Белый ящик помогает найти местоположение уязвимости в самом коде. В подходе Серый ящик реализуются обе модели - это помогает устранить ложные срабатывания, присущие подходу Белого ящика, путем сравнения их с результатами сканирования.

В любом случае, вы должны будете устранить уязвимости, как только их найдете. Это потребует времени и ресурсов разработчиков. Я рекомендую сначала развернуть WAF перед приложением для немедленной защиты, а затем, используя подход Серого ящика, исправить найденные уязвимости. В результате вы получите мгновенно-улучшенный уровень безопасности и необходимое время на устранение уязвимостей.

Вопрос 4: Увеличивается ли время отклика сервера из-за перенаправления трафика сайта через сервис, подобный Incapsula?

OC: Если WAF или любой другой рассматриваемый сервис не включает в себя CDN (сеть доставки контента), тогда да, задержки будут происходить.

Incapsula создана на базе сети доставки контента, которая способна оптимизировать, кэшировать и обрабатывать содержимое веб-сайта и таким образом значительно сокращать время загрузки страниц сайта.

Вопрос 5: У меня есть межсетевой экран нового поколения (NGFW), тогда зачем мне нужен WAF?

OC: Отличный вопрос. NGFW - это, в основном, продукт эволюции межсетевых экранов с сохранением состояний, которые понимают контекст приложений. Он распознает трафик приложений, может идентифицировать и заблокировать приложения на основе определенных паттернов и "отпечатков" приложения. Но это не означает, что NGFW понимает трафик приложения и логику приложения.

В отличие от него, WAF - это решение для информационной безопасности, созданное для анализа веб-трафика (HTTP/S), поиска признаков вредоносных запросов и атак на веб-приложения.

Эти два класса решений нужно использовать вместе. Критичное приложение должно защищаться и с помощью NGFW, и с помощью Web Application Firewall.

Вопрос 6: Мой хостинг-провайдер обеспечивает защиту от DDoS-атак бесплатно. Зачем мне нужно стороннее решение?

OC: Это зависит от того, какого уровня защиту он предоставляет вам. Вполне возможно, что вам и не нужно дополнительное решение. Тем не менее, рекомендую исследовать его предложение с точки зрения мощности защиты и типов атак, с которыми оно может справиться.

DDoS атаки подразделяются на две основные категории: атаки прикладного уровня и атаки сетевого уровня. Большинство интернет и хостинг провайдеров предоставляют решения, которые защищают от атак на сетевом уровне (3 и 4 уровень по модели OSI), но не защищают от атак на уровне приложения (7 уровень). Атаки прикладного уровня, как правило, менее мощные, но более сложные. Но даже атака с небольшой мощностью может сделать недоступным ваш сайт или приложение.

Поэтому вам нужно определить уровень предоставляемой защиты и с точки зрения мощности отражения атак. Эта величина выражается в Гбит в секунду. Многие интернет-провайдеры гарантируют защиту от атак до 1, 2 или 4 Гбит/сек. С учетом сегодняшнего среднего размера атаки в 10 Гбит/сек, это очень мало. Даже в случае самой скромной атаки, защита с такой мощностью не сможет обеспечить непрерывную доступность вашего веб-сайта.

Вопрос 7: Каковы затраты на тестирование с использованием методов Белого и Черного ящиков? Какой из них дешевле?

OC: Помимо стоимости лицензии, вы также должны учитывать стоимость использования этих методов. Что включает в себя затраты на поиск уязвимостей и их ликвидацию. Стратегию Черного ящика легко использовать, но она не точно определяет уязвимости в коде. Также требуется, чтобы приложение было уже запущено, до начала ее применения. Это означает, что вам придется ждать до конца жизненного цикла разработки (SDLC), чтобы начать использовать этот подход.

Что касается метода Белого ящика, то его можно использовать с момента начала написания кода. Для некоторых утилит придется подождать, пока код не будет скомпилирован для того, чтобы проверить его. Но в любом случае вы сможете приступить к выявлению и ликвидации уязвимостей на начальном этапе SDLC, когда стоимость устранения каждой ошибки гораздо ниже. По этой причине, я полагаю, что тестирование методом Белого ящика имеет более низкую полную стоимость владения.

Кроме того, я рекомендую сначала подключить WAF, так как это самый простой и быстрый способ получить высокий уровень безопасности. После его развертывания, уязвимости будут закрыты с помощью виртуального патчинга, что сделает ваш ресурс защищеным во время применения методов Белого или Черного ящика для поиска и исправления уязвимостей.

Вопрос 8: Может ли Incapsula использоваться с такими облачными сервисами, как Amazon Web Services (AWS)?

OC: Конечно может. Incapsula защищает сотни тысяч крупных веб-сайтов. Они разбросаны по всем видам сред, включая AWS, виртуальный хостинг, разделяемый хостинг, управляемый хостинг, хостинг внутри дата-центра компании и т.д. Веб-сайты развернутые на AWS являются отличными кандидатами для использования нашей защиты. Incapsula также корректно обслуживает сайты, которые используют и Amazon ELB.

Вопрос 9: Как отличить хорошего бота от плохого?

OC: Сначала нужно определить является посетитель ботом или человеком. Это может быть сделано, глядя на такой параметр, как HTTP заголовки запроса, которые дают ответы на следующие вопросы:

  • В каком порядке и с какой периодичностью посетитель запрашивал доступ к информации?
  • Какой он использует браузер и клиент?
  • Поддерживает ли он куки или JavaScript?
  • Может ли он пройти CAPTCHA?
  • Взаимодействует ли он с веб-сервером таким образом, который свидетельствует о поведении человека?

Если посетитель оказался ботом, нужно идентифицировать какой это бот - плохой или хороший. Самый простой способ – использовать сторонние инструменты. Например, такие как контроллеры доставки приложений или WAF, которые обеспечивают блокирование плохих ботов, в рамках предоставляемого сервиса.

Вопрос 10: Похожа ли отрасль информационной безопасности на отрасль физической безопасности тем, что компании инвестируют в систему защиты только после инцидента?

OC: Мы безусловно видим некоторое сходство, особенно в том, что касается DDoS атак. Некоторые организации считают, что они не станут целью злоумышленников и поэтому инвестиции в решения по защите не обязательны.

К сожалению, обеспечение безопасности посредством незаметности не является хорошей практикой. DDoS атаки имеют разные мотивы, среди них политический активизм, шантаж с целью выкупа, конкурентная борьба, маскировка взлома и кражи критически-важных данных и даже личностная неприязнь к кому-либо из руководства компании. По этой причине, целью злоумышленников может стать даже относительно неизвестный сайт.

Основываясь на результатах нашего недавнего исследования «Последствия DDoS-атак», средняя стоимость DDoS атаки составляет $40 000 в час. Эта сумма состоит из недополученных доходов, затрат на восстановление репутации, расходов на техническую поддержку и т.д.

В большинстве случаев дешевле подключить защиту от DDoS заблаговременно, чем неожиданно стать жертвой и понести крупные потери. Но, к сожалению, достаточно распространена ситуация, когда компания сначала подвергается хакерской атаке и только после этого начинает срочно искать инструмент для защиты.

Вопрос 11: Вы определили сколько стоит стать жертвой DDoS-атаки. А сколько стоит защитить бизнес от этих атак?

OC: Решения по безопасности веб-приложений варьируются от бесплатной или дешевой защиты на сетевом уровне, которая может быть частью определенного продукта или услуги, до защиты за несколько сотен тысяч долларов в год для крупных, транснациональных компаний с дорогой онлайн собственностью. Но даже покупка самого дорогого продукта по защите почти всегда обходится дешевле, чем затраты на восстановление работы веб-сайта и инфраструктуры после DDoS-атак.

Подробнее узнать, как работает защита от DDoS от Incapsula можно по ссылке.