Приветствуем вас в первой статье нового курса «Курс PTAF PRO Getting Started» на портале TS University!
Эта статья является введением в цикл обучающих материалов о защите веб-приложений с помощью устройств WAF. А именно: при помощи файерволла от компании Positive Technologies: PT AF PRO.
Предлагаем начать знакомство с решением по порядку.
Статью подготовили инженеры внедрения и технической поддержки Группа компаний «TS Solution» решает задачи по проектированию и внедрению комплексных проектов в сфере ИТ и ИБ на основе отечественных и зарубежных решений.Основные направления деятельности: – Аудит, соответствие требованиям регуляторов, категорирование объектов КИИ; – Полный спектр работ по построению системы ИБ; – Построение IT-инфраструктуры;– Проектирование и внедрение инфраструктурных решений, серверные технологии и системы хранения данных; – Работы требующие аттестации ФСТЭК и ФСБ; – Предоставление 1-й и 2-й линии технической поддержки и полное техническое сопровождение проектов; – Проведение авторизованных и авторских курсов и программ обучения |
В современном мире всё больше увеличивается необходимость в публикации ресурсов компании во внешнюю сеть Интернет с целью развития бизнес-процессов и повышения качества оказываемых услуг. Располагаются эти ресурсы на серверах компании, и к ним разрешается доступ внешним пользователям.
Естественно, найдутся среди них (пользователей) те, кто попытается воспользоваться потенциальными уязвимостями в архитектуре приложения или самого сервера, чтобы скомпрометировать данный участок сети (с целью получения финансовой выгоды, либо осуществления промышленного саботажа).
OWASP top-10
Самую актуальную информацию о наиболее опасных угрозах для веб-сервисов представляет собой статистика, собираемая международной компанией OWASP.
Их целью является повышение осведомленности всех специалистов отрасли информационной безопасности в вопросах разработки, эксплуатации и защиты веб-приложений.
OWASP Top 10 — один из наиболее известных проектов организации. А OWASP Top 10 — это рейтинг из десяти наиболее опасных рисков информационной безопасности для веб-приложений, составленный сообществом экспертов отрасли. На данный момент актуальной является статистика от 2021 года.
В неё входят:
- Нарушение контроля доступа. Позволяет злоумышленникам обходить аутентификацию и получать доступ к конфиденциальным данным и системам. Они могут воспользоваться этой уязвимостью, просто изменив URL-адрес или изменив параметр в браузере. Происходит это из-за отсутствия правильной настройки контроля доступа;
- Ошибки работы криптографических алгоритмов. Обход шифрования конфиденциальных данных (таких как: пароли, финансовые записи, номера кредитных карт, медицинские записи, личная информация и даже секретная информация, связанная с бизнесом). Эта уязвимость используется в сценариях, в которых используется либо автоматическое шифрование базы данных, либо отсутствует надлежащее шифрование сетевых запросов, либо когда для шифрования хранилища данных используются простые или хэши без соли;
- Инъекции. Уязвимости, позволяющие хакерам использовать приложение в своих целях или даже получить доступ к его инфраструктуре, если оно не очищает должным образом пользовательский ввод. Его можно выполнить путем загрузки непредусмотренных данных или фрагментов кода вместе с веб-запросом, в результате чего интерпретатор выводит конфиденциальную информацию, хранящуюся на сервере базы данных;
- Небезопасный дизайн приложения. Обусловлен возможностью для пользователя выполнить вредоносные действия, вызванные отсутствием или недостаточностью мер безопасности в архитектуре сайта;
- Неправильная конфигурация безопасности. Это могут быть неправильно настроенные или неизмененные учетные данные по умолчанию (общие), включить ненужные функции (такие как порты, службы, привилегии, страницы и т. д.), устаревшее программное обеспечение и т. д;
- Уязвимые и устаревшие компоненты. Эта уязвимость возникает, если не производить обновления или не внедрять последнюю версию безопасного программного обеспечения. Сюда входят: операционная система, веб-серверы и серверы приложений, системы управления базами данных, среды выполнения, библиотеки, а также все API и связанные части;
- Сбои идентификации и аутентификации. Уязвимость связана со слабостью безопасности в модуле входа в систему. Это происходит из-за отсутствия ограничений для автоматических атак, неизменных паролей по умолчанию, неправильной проверки или истечения срока действия сеанса. А также отсутствия ограничений для слабых или хорошо известных паролей;
- Нарушения целостности программного обеспечения и данных. Уязвимость возникает из-за отсутствия целостности кода и инфраструктуры используемого программного обеспечения или обоих. Это может быть связано с использованием плагинов, модулей или библиотек из незаконных источников. Кроме того, к этому может привести отсутствие надлежащих проверок целостности обновлений программного обеспечения;
- Сбои при ведении журнала безопасности и мониторинга. Мониторинг и регистрация инцидентов играют жизненно важную роль в обнаружении нарушений. Эта категория предназначена для того, чтобы помочь находить активные нарушения и правильно реагировать на них с помощью журналов. Это происходит из-за отсутствия или неясности журналов неудачных или подозрительных попыток входа в систему, крупных транзакций и т. д;
- Подделка запроса на стороне сервера (SSRF). Уязвимости SSRF возникают, когда веб-приложение не проверяют URL-адреса, предоставленные пользователем. Это позволяет злоумышленнику отправить поддельный запрос от имени сервера, даже если он защищен брандмауэром, VPN или какими-либо другими мерами контроля доступа к сети.
Чтобы бороться с потенциальными угрозами для веб-приложений был разработан общий концепт устройств, направленных на обработку трафика, поступающего от пользователей Интернет в сторону серверов с опубликованными ресурсами: WAF (web application firewall).
По-сути, это межсетевой экран, который работает на L7 (на прикладном уровне модели OSI). Эти устройства обеспечивают анализ HTTP и HTTPS трафика, устанавливаясь в разрыв и выступая обратным прокси-сервером. WAFы по различным характеристикам исследуют запросы пользователей и сравнивают их чаще всего с базами вредоносных сигнатур. Далее администратор данного устройства сам выбирает действия по отношению к такому трафику и источнику вредоносного запроса.
Так, компания Positive Technologies выпустила свой продукт под названием PT AF PRO, который является продолжением PT AF 3 из общей линейки продуктов Positive Technologies Application Firewall. PT AF PRO не является обновлением с третьей версии. Он имеет отдельную микро сервисную архитектуру, которая позволяет ему легко масштабироваться
и распределять ресурсы между обрабатывающими элементами решения.
Более детально PT AF PRO мы рассмотрим в следующих статьях курса.
Оставайтесь с нами!
TS University делает большой шаг в сторону доступности знаний. Мы самые популярные статьи портала для вас.Теперь вы можете свободно изучать и делиться понравившимися материалами с коллегами без регистрации на сайте!
