Equifax – не единственный случай: опасность веб-приложений
В наши дни можно сделать все что угодно через веб-браузер благодаря развитию облачных вычислений. Раньше пользователи должны были скачивать, устанавливать и запускать программы для выполнения практически любой задачи. Но теперь, благодаря веб-приложениям, достаточно просто иметь браузер: мы используем веб-приложения для проверки электронной почты, проведения презентаций, просмотра ТВ-сериалов и фильмов, редактирования картинок и пр., причем это делаем как дома, так и на работе.
Под прицелом кибер-преступников
Все более широкое распространение веб-приложений не осталось незамеченным со стороны кибер-преступников. За последние месяцы такие приложения получили популярность в качестве вектора для атак в рамках многочисленных инцидентов безопасности. Исследование Verizon Data Breach Report 2017выделяет два статистических показателя, которые наглядно иллюстрируют популярность этих атак: почти 3 из 10 нарушений безопасности были вызваны атаками на веб-приложения, а число инцидентов безопасности, произошедших по причине проблем безопасности с веб-приложениями, выросло на 300% в период с 2014 по 2016 годы.
В мире, который сейчас «крутится» вокруг веб-приложений, те из них, которые не имеют адекватного уровня безопасности, стали желанными целями для кибер-преступников, которые ищут простые способы проникновения в корпоративные сети. Несмотря на то, что компании извлекают различные выгоды от возможностей веб-приложений, распространенность уязвимостей безопасности в них подвергает эти компании значительному риску. Наиболее показательным случаем негативных последствий от отсутствия должного уровня безопасности таких инструментов стал случай с Equifax.
Случай с Equifax : риску подверглись данные более 147 миллионов пользователей
Нарушение безопасности, которое произошло с этой компанией в сентябре 2017 года, было одно из самых крупных случаев утечки данных за всю историю. До недавнего времени компания признавала, что произошла утечка данных примерно 145,5 миллионов ее пользователей, хотя сейчас они скорректировали эту цифру до 147,9 миллионов.
Вопрос: а можно ли было как-то предотвратить эту атаку? Ответ простой: да. Equifax оставил «открытую дверь» для кибер-преступников, не обновляя Apache Struts – платформу с открытым кодом для разработки веб-приложений. В результате не применения патчей уязвимость позволила хакерам украсть номера страховок, почтовые адреса и даже номера водительских удостоверений у миллионов людей. Это показывает, как несоблюдение основных мер безопасности, таких как обновление используемого в компании ПО, может привести к печальным последствиям. Как сказал Зейн Лаки, ведущий эксперт по безопасности веб-приложений, из атаки на Equifax мы должны извлечь два урока. Во-первых, 99% атак происходят в результате общераспространенных и простых ошибок: необновленные системы, простые пароли, вредоносные программы на конечных устройствах и пр. А во-вторых, риски безопасности переместились с уровня сети на уровень приложений и конечных устройств.
Пришло время защищать веб-приложения
Если вы не хотите, чтобы ваша компания стала следующим Equifax, вам следует обращать внимание на эти типы общераспространенных атак и предпринимать меры по их предотвращению.
По данным Imperva, наибольшее число уязвимостей в веб-приложениях в 2017 году было вызвано межсайтовыми скриптами или XSS-уязвимостями. Фактически, их число удвоилось по сравнению с 2016 годом. Эти атаки вставляют вредоносные скрипты в уязвимые сайты и позволяют злоумышленникам красть конфиденциальную информацию или даже получать контроль над устройствами. Imperva прогнозирует, что такие атаки продолжат оставаться наиболее часто совершаемыми атаками в 2018 году.
Другая популярная атака – это SQL-инъекция. Язык программирования SQL также часто используется для управления и обмена информацией между приложениями, а потому кибер-преступники рассматривают его как прекрасную возможность для выполнения атак за счет встраивания собственных SQL-команд в базы данных. Т.к. многие серверы, которые хранят конфиденциальные данные из веб-приложений, используют SQL для управления коммуникациями с данными, то хакеры рады добавлять команды, которые позволяют им изменять, красть или удалять эту информацию.
В дополнение к опасности внешних веб-приложений, стоит добавить, что и внутренние веб-приложения также представляют серьезный риск безопасности, и они даже являются более легкими добычами в том случае, если злоумышленник сумел получить доступ к внутренней сети.
Чтобы убедиться в том, что безопасность не скомпрометирована уязвимостями веб-приложений, приоритетом должна быть безопасная разработка таких приложений с самого начала. С этой целью вы можете следовать таким советам:
· храните первичные данные и шифруйте их при рендеринге, избегайте небезопасных сред (или регулярно обновляйте те, что вы используете не берите пример с Equifax!) и вызовов JavaScript, которые осуществляются без шифрования и пр. Вы также должны предоставить разработчикам инструменты, которые позволяют им видеть, как их веб-приложения подвергаются атакам, чтобы они могли реагировать соответствующим образом.
· Другой важной мерой является шифрование всех данных. WAF’ы (файерволы для веб-приложений) не являются панацеей и они не могут предоставить 100% защиты, но шифрование информации способно помешать потенциальным атакам.
· Наконец, установите решение безопасности, которое обеспечивает детальную видимость всех активностей на конечных устройствах, осуществляя непрерывный мониторинг всех запущенных процессов и приложений. Например, в числе таких решений можно выделить Panda Adaptive Defense, который защищает вас от опасностей веб-приложений и не позволяет стать вашей компании следующим Equifax.
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.