Захист сайту від хакерських атак — Web Application Firewall


Практично кожен сайт в інтернеті був атакований зловмисниками. Більша частина частина атак завершилася успішно — зловмисники змогли скомпрометувати веб-додаток, отримати доступ до сервера або базі даних. У цій статті я розповім про механізм захисту сайтів від хакерських атак — Web Application Firewall.

Наявність у вільному доступі великої кількості інструментарію для проведення атак на веб-додатки, мануалів і відео-демонстрацій атак, а також удавана безкарність за свої дії дає сучасну картину «дикого інтернету» — багато хто намагається спробувати свої сили «у зломі» сайтів, використовуючи чужі ресурси в якості тренувальних майданчиків, засобів підвищення самооцінки або монетизації.

Також існує досить багато людей, які перетворили злом сайту в досить прибутковий, але незаконний бізнес. Це можуть бути як цільові атаки сайтів, для вилучення інформації для продажу або на замовлення, або нецільової, коли сайти ламаються виходячи з наявності однієї-двох вразливостей в масовому порядку (наприклад після появи т. н. експлойтів 0 дні).

До власників сайтів інформація про те, що той чи інший компонент вразливий доходить зазвичай вже після злому — зловмисники тут на крок попереду з ряду причин:

  • відстежують bugtraq летны про наявність вразливостей;
  • відвідують ресурси, пов'язані з веб-безпекою;
  • діляться або обмінюються приватною інформацією про уразливості;
  • проводять власні дослідження з вивчення коду додатків для виявлення вразливостей.
У зломышленников також існує «вікно можливості злому» — час від публікації уразливості до виправлення розробниками та впровадження патча на веб-додатку. Наприклад уразливість в компоненті Apache Struts2 дозволила зловмисникам скпопрометировать безліч сайтів. Навіть при наявності патча не завжди є можливість його швидкого розгортання на «бойових серверах».

У всіх випадках необхідна додаткова міра захисту, для того щоб перекрити зловмисникам можливість експлуатації вразливостей, в тому числі і нульового дня.

Уразливості
Якщо взяти світову статистику часто використовуваних CMS, то порядок буде наступним:

  • WordPress;
  • Joomla!;
  • Magento;
  • Drupal;
  • vBulletin;
  • ModX.
Якщо взяти статистику вразливостей, то видно, що уразливості в цих CMS або їх компоненти знаходять кожну тиждень, більше того, критичні уразливості самих CMS виявляють приблизно раз в 2-3 місяці.

Приклад нещодавніх вразливостей:

  • 30.01.17 В WordPress пропатчены три уразливості, у тому числі можливість для міжсайтового скриптинга і впровадження SQL-коду. Реліз 4.7.2
  • 31.10.16 В Joomla, починаючи з версії 3.4.4 і закінчуючи версією 3.6.3, виявлена критична уразливість, що дозволяє обходити заборону на реєстрацію користувачів на сайті і підвищувати групу доступу зареєстрованих користувачів.
  • 26.01.17 В Magento усунуто 20 вразливостей, включаючи критичні.
Навіть наявність сучасних «захищених» фреймворків, безлічі рекомендація щодо створення безпечного коду не може вберегти від помилок.

Web Application Firewall
Web Application Firewall — захисний екран рівня додатків, призначений для виявлення і блокування сучасних атак на веб-додатки, у тому числі і з використанням вразливостей нульового дня. Такий захисний механізм дозволяє блокувати атаки категорії OWASP TOP 10, їх сукупності та комбінації.

Якщо для десктопних і серверних систем хорошим тоном вважається використання захисних програмних засобів (антивірус, фаєрвол і т. д.), то для веб-додатків така картина не спостерігається зовсім. Тільки останнім часом спостерігається тенденція впровадження таких захисних засобів, наприклад вказівку 3.2 редакції PCI DSS:
PCI DSS compliance: Web application firewalls (WAFs)
Web application firewalls (WAFs) are one option for those seeking compliance with requirement 6.6 of the PCI DSS.
Яким чином кошти Web Application Firewall дозволяють виявляти і блокувати атаки?
В першу чергу це підхід до проектування захисного засобу: від складання математичної моделі загрози до перевірки методів обходу захисних засобів при наявності тієї чи іншої уразливості.

Важливий і аналіз загрози: комбіновані методи виявлення атак на основі сигнатур і машинного навчання (виявлення нелигитимных дій користувача, що відрізняють його від легітимних відвідувачів сайту).

Систематичне оновлення бази сигнатур
База сигнатур так захисних засобів агрегується з декількох джерел. Наприклад, для Nemesida WAF використовуються наступні джерела:
  • атаки на захищаються веб-додатки клієнтів з загальним трафіком: 300-800 Mbps;
  • атаки на інфраструктуру Pentestit;
  • атаки на спеціалізовані лабораторії тестування на проникнення «Test lab» з «чистим» трафіком атак до 30 Mbps;
  • власні дослідження;
  • спеціалізовані ресурси і security-розсилки, вивчення досліджень;
  • база атак на веб-додатки відділу аналізу захищеності Pentestit (у 8 з 10 випадків аудиту безпеки сайтів виявлені вразливості зі статусом «критичний») ;
  • а також машинне навчання, що дозволяє виявляти аномалії в поведінці користувачів сайту.
В якості прикладу роботи Web Application Firewall пропоную всім бажаючим ознайомитися з відеозаписом вебінару:


Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.