Курс PTAF PRO Getting Started. Статья 1: Защита веб-приложений

Positive Technologies
Курс PTAF PRO Getting Started. Статья 1: Защита веб-приложений
Введение

Приветствуем вас в первой статье нового курса «Курс PTAF PRO Getting Started»!

Эта статья является введением в цикл обучающих материалов о защите веб-приложений с помощью устройств WAF. А именно: при помощи файерволла от компании Positive Technologies: PT AF PRO.

Предлагаем начать знакомство с решением по порядку.

Статью подготовили инженеры внедрения и технической поддержки TS Solution .

Группа компаний «TS Solution» решает задачи по проектированию и внедрению комплексных проектов в сфере ИТ и ИБ на основе отечественных и зарубежных решений.

Основные направления деятельности:

– Аудит, соответствие требованиям регуляторов, категорирование объектов КИИ;

– Полный спектр работ по построению системы ИБ;

– Построение IT-инфраструктуры;

– Проектирование и внедрение инфраструктурных решений, серверные технологии и системы хранения данных;

– Работы требующие аттестации ФСТЭК и ФСБ;

– Предоставление 1-й и 2-й линии технической поддержки и полное техническое сопровождение проектов;

– Проведение авторизованных и авторских курсов и программ обучения


В современном мире всё больше увеличивается необходимость в публикации ресурсов компании во внешнюю сеть Интернет с целью развития бизнес-процессов и повышения качества оказываемых услуг. Располагаются эти ресурсы на серверах компании, и к ним разрешается доступ внешним пользователям.

Естественно, найдутся среди них (пользователей) те, кто попытается воспользоваться потенциальными уязвимостями в архитектуре приложения или самого сервера, чтобы скомпрометировать данный участок сети (с целью получения финансовой выгоды, либо осуществления промышленного саботажа).


OWASP top-10

Самую актуальную информацию о наиболее опасных угрозах для веб-сервисов представляет собой статистика, собираемая международной компанией OWASP.

Их целью является повышение осведомленности всех специалистов отрасли информационной безопасности в вопросах разработки, эксплуатации и защиты веб-приложений.

OWASP Top 10 — один из наиболее известных проектов организации. А OWASP Top 10 — это рейтинг из десяти наиболее опасных рисков информационной безопасности для веб-приложений, составленный сообществом экспертов отрасли. На данный момент актуальной является статистика от 2021 года.

В неё входят:

  1. Нарушение контроля доступа. Позволяет злоумышленникам обходить аутентификацию и получать доступ к конфиденциальным данным и системам. Они могут воспользоваться этой уязвимостью, просто изменив URL-адрес или изменив параметр в браузере. Происходит это из-за отсутствия правильной настройки контроля доступа;
  2. Ошибки работы криптографических алгоритмов. Обход шифрования конфиденциальных данных (таких как: пароли, финансовые записи, номера кредитных карт, медицинские записи, личная информация и даже секретная информация, связанная с бизнесом). Эта уязвимость используется в сценариях, в которых используется либо автоматическое шифрование базы данных, либо отсутствует надлежащее шифрование сетевых запросов, либо когда для шифрования хранилища данных используются простые или хэши без соли;
  3. Инъекции. Уязвимости, позволяющие хакерам использовать приложение в своих целях или даже получить доступ к его инфраструктуре, если оно не очищает должным образом пользовательский ввод. Его можно выполнить путем загрузки непредусмотренных данных или фрагментов кода вместе с веб-запросом, в результате чего интерпретатор выводит конфиденциальную информацию, хранящуюся на сервере базы данных;
  4. Небезопасный дизайн приложения. Обусловлен возможностью для пользователя выполнить вредоносные действия, вызванные отсутствием или недостаточностью мер безопасности в архитектуре сайта;
  5. Неправильная конфигурация безопасности. Это могут быть неправильно настроенные или неизмененные учетные данные по умолчанию (общие), включить ненужные функции (такие как порты, службы, привилегии, страницы и т. д.), устаревшее программное обеспечение и т. д;
  6. Уязвимые и устаревшие компоненты. Эта уязвимость возникает, если не производить обновления или не внедрять последнюю версию безопасного программного обеспечения. Сюда входят: операционная система, веб-серверы и серверы приложений, системы управления базами данных, среды выполнения, библиотеки, а также все API и связанные части;
  7. Сбои идентификации и аутентификации. Уязвимость связана со слабостью безопасности в модуле входа в систему. Это происходит из-за отсутствия ограничений для автоматических атак, неизменных паролей по умолчанию, неправильной проверки или истечения срока действия сеанса. А также отсутствия ограничений для слабых или хорошо известных паролей;
  8. Нарушения целостности программного обеспечения и данных. Уязвимость возникает из-за отсутствия целостности кода и инфраструктуры используемого программного обеспечения или обоих. Это может быть связано с использованием плагинов, модулей или библиотек из незаконных источников. Кроме того, к этому может привести отсутствие надлежащих проверок целостности обновлений программного обеспечения;
  9. Сбои при ведении журнала безопасности и мониторинга. Мониторинг и регистрация инцидентов играют жизненно важную роль в обнаружении нарушений. Эта категория предназначена для того, чтобы помочь находить активные нарушения и правильно реагировать на них с помощью журналов. Это происходит из-за отсутствия или неясности журналов неудачных или подозрительных попыток входа в систему, крупных транзакций и т. д;
  10. Подделка запроса на стороне сервера (SSRF). Уязвимости SSRF возникают, когда веб-приложение не проверяют URL-адреса, предоставленные пользователем. Это позволяет злоумышленнику отправить поддельный запрос от имени сервера, даже если он защищен брандмауэром, VPN или какими-либо другими мерами контроля доступа к сети.
Web Application Firewall


Чтобы бороться с потенциальными угрозами для веб-приложений был разработан общий концепт устройств, направленных на обработку трафика, поступающего от пользователей Интернет в сторону серверов с опубликованными ресурсами: WAF (web application firewall).

По-сути, это межсетевой экран, который работает на L7 (на прикладном уровне модели OSI). Эти устройства обеспечивают анализ HTTP и HTTPS трафика, устанавливаясь в разрыв и выступая обратным прокси-сервером. WAFы по различным характеристикам исследуют запросы пользователей и сравнивают их чаще всего с базами вредоносных сигнатур. Далее администратор данного устройства сам выбирает действия по отношению к такому трафику и источнику вредоносного запроса.

Так, компания Positive Technologies выпустила свой продукт под названием PT AF PRO, который является продолжением PT AF 3 из общей линейки продуктов Positive Technologies Application Firewall. PT AF PRO не является обновлением с третьей версии. Он имеет отдельную микро сервисную архитектуру, которая позволяет ему легко масштабироваться
и распределять ресурсы между обрабатывающими элементами решения.

Более детально PT AF PRO мы рассмотрим в следующих статьях курса.

Оставайтесь с нами!

TS University делает большой шаг в сторону доступности знаний. Мы открыли самые популярные статьи портала для вас.Теперь вы можете свободно изучать и делиться понравившимися материалами с коллегами без регистрации на сайте!
Изображение:
Positive Technologies
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Наш канал защищен лучше, чем ваш компьютер!

Но доступ к знаниям открыт для всех

Получите root-права на безопасность — подпишитесь
article-title

TS Solution Group