УправлениеБезопасность

Защита бизнес-приложений

Ольга Попова | 30.03.2021
Любовь Сирая

Любовь Сирая

Региональный директор AppDynamics в России

Когда группы приложений и безопасности становятся разрозненными, организации вынуждены делать выбор между минимизацией рисков и гибкостью бизнеса.

В наше время вопросы информационной безопасности стали приоритетными для организаций. Переход на удаленную работу вызвал рост взломов и утечек данных. Как противостоять новым и старым угрозам, как управлять уязвимостями приложений, рассказывает Любовь Сирая, региональный директор AppDynamics в России и СНГ.

Безопасность приложений всегда обеспечивалась с помощью файерволов, средств обнаружения атак, антивирусов и т. п. Почему в настоящее время этого уже мало?

Современные бизнес-приложения становятся все более динамичными и усложняются по мере того, как организации внедряют облачные технологии, стремясь повысить свою гибкость и экономическую эффективность. Традиционные инструменты контроля и мониторинга уже не позволяют ИТ-командам эффективно взаимодействовать друг с другом, то есть специалисты могут лишь догадываться о происходящем за периметром приложений.

В современных условиях, когда приложения становятся фундаментом цифрового бизнеса, а эффективность их работы выходит на первый план при оценке качества обслуживания клиентов, такое положение вещей угрожает безопасности данных больше, чем когда-либо прежде. И последствия вероятных угроз могут быть намного глобальнее, чем кажется на первый взгляд. Согласно исследованию Cisco, информация, позволяющая установить личность клиента (PII), или IP-адреса организации, становится широкодоступной уже в первые 24 часа после взлома.

Именно из-за фокуса злоумышленников на современных приложениях классический подход по обеспечению информационной безопасности оказывается малоэффективным. Например, проактивный мониторинг непросто организовать, если использовать только традиционные инструменты, которые имеют свои недостатки. Один из них – замедление скорости работы приложений за счет статического сканирования, и то это обеспечивает видимость только в определенные моменты времени. То есть такой подход увеличивает накладные расходы, снижает производительность и качество обслуживания клиентов.

По статистике, в среднем ИТ-командам требуется до 280 дней[1] на обнаружение и локализацию взломов, приводящих к утечке данных, – для компании это огромные риски потери прибыли и ущерба репутации. К тому же классические инструменты не позволяют получать контекстную информацию о влиянии угроз на приложения и бизнес в целом.

Какие уязвимости можно найти в приложении?

Код веб-сайтов содержит изъяны практически всегда, и помимо уязвимостей «нулевого дня» существует большое количество других типов, которые возникают вследствие ошибочных настроек CMS (системы управления контентом) и операционной системы сервера. Это могут быть SQL-инъекции, когда злоумышленник получает возможность менять базу данных или изменение HTML-кода сайта за счет тех же полей для ввода данных. Ещё одной широко распространенной уязвимостью является переполнение буфера, когда меняется путь исполнения программы через перезапись данных в памяти системы.

Мобильные приложения еще более уязвимы по своей природе – их поверхность атаки обширнее, чем у веб-сайтов, поскольку площадки, с которых они скачиваются, являются публичными и дают возможность проинспектировать код. Среди самых распространенных типов уязвимостей здесь следует отметить, прежде всего, некорректное использование платформы – очень часто уже при разработке приложений требования Android или iOS по безопасности ошибочно или даже намеренно не учитываются. И в итоге, например, из-за неверного применения iOS Keychain пароли или сессии сохраняются не в защищенном хранилище, а в локальном.

Также большие риски представляет небезопасная аутентификации, когда приложение недостаточно хорошо проверяет и удерживает подлинность пользователя, и передача данных – трафик может быть перехвачен, если установлены ненадежные SSL/TLS-сертификаты.

В связи с удаленной работой увеличились ли риски утечек данных?

Эта проблема, безусловно, обострилась в 2020 году, поскольку, реагируя на пандемию, организации отправили на удаленную работу большую часть сотрудников. Все больше людей работают из дома, используя ноутбуки и другие устройства, подключенные к общедоступным сетям. Это значительно расширило ИТ-периметр, создав новые слабые места и уязвимости даже в самых защищенных ИТ-инфраструктурах, что стало серьезной проверкой возможностей систем мониторинга.

Какие основные угрозы от намеренных инсайдеров и неумелых пользователей сейчас в тренде?

Сопоставление последствий риска от инсайдерских угроз по сравнению с внешними атаками является предметом постоянной дискуссии, и все больше компаний обеспокоены проблемами, которые могут создать инсайдеры. Это связано с тем, что большинство внешних угроз могут быть устранены с помощью традиционных мер безопасности в отличие от тех, что исходят изнутри, а их гораздо сложнее предотвратить и обнаружить.

Эксперты прогнозируют, что в 2021 году возрастет применение модели «инсайдер-как-услуга». Механика подразумевает создание организованных групп злоумышленников, которые внедряются в организации под видом рядовых сотрудников с целью сбора чувствительных IP-адресов.

Также крупные компании зачастую несут финансовые потери не от хакерских атак, а по вине своих же сотрудников. И причина кроется, прежде всего, в том, что компании уделяют недостаточно внимания компьютерной грамотности своего персонала и обеспечению безопасности устройств, которые покинули ИТ-периметр компаний в связи с переходом на удаленную работу. К самым распространенным причинам утечки информации или взломам можно отнести следующие действия сотрудников.

Первое – это установка программных продуктов, которые не входят в список необходимых для работы и впоследствии могут стать причиной нестабильной работы системы и потери информации.

Второе – копирование файлов с конфиденциальной информацией и их переадресация через личную почту, файлообменники и соцсети. В этом случае меры ИТ-безопасности не контролируют такие каналы взаимодействия. и у специалистов нет возможности отследить действия с данными.

При этом данный вид угроз очень трудно поддается контролю: необходимо создать такие условия, чтобы каждый сотрудник не только обладал всеми необходимыми знаниями и рекомендациями, но и осознавал риски и свою личную ответственность за использование корпоративных данных.

Чем грозит утечка конфиденциальной информации из веб-приложения?

Отсутствие актуальных продуктов и решений для защиты данных в приложениях ставит под угрозу в первую очередь репутацию бренда и доверие его клиентов, а в случае взлома может стоить организациям миллионы – и не рублей, а долларов.

Что такое управление уязвимостями приложений? Чем это отличается от защиты?

Управление уязвимостью приложений, или AVM, подразумевает приоритезацию внутренних угроз в соответствии с их опасностью для систем и бизнеса.

И если ранее большинство инструментов сканирования обнаруживали проблемы без предоставления точного контекста в рамках топологии приложения, то сейчас компаниям доступны решения, которые способны управлять уязвимостями, мгновенно предотвращать кибератаки и обеспечивать сквозную защиту, применяя различные политики блокировки.

Кроме выявления и блокировки атак для защиты данных в приложениях требуется непрерывный мониторинг доступа к базам данных и анализ поведения пользователей и систем. Какие решения сегодня существуют на рынке?

Традиционно сканирование на уязвимости происходит перед запуском приложения в рабочей среде, а затем повторяется ежемесячно или ежеквартально. Но, несмотря на все усилия в ходе тестирования, после развертывания приложения, в системе безопасности все равно появляются слабые места и эксплойты нулевого дня, которые делают приложение уязвимым. Именно поэтому актуальны решения, способные обеспечивать непрерывную оценку угроз и защиту путем сканирования исполняемого кода для нейтрализации известных эксплойтов, а при необходимости – автоматически нейтрализовать эксплойты для предотвращения вторжений.

Для мониторинга приложений существуют как отдельные, разрозненные решения, так и комплексные платформы, которые обеспечивают сквозную видимость всего технологического стека и предоставляют оценку всех этапов взаимодействия пользователей с сервисом. Здесь также есть разные предложения на рынке, и наиболее эффективной будет система, показывающая не только аналитику пользовательского опыта, но и корреляцию между производительностью приложений и бизнес-результатами.

Какие основные ошибки допускаются в части ИБ при разработке бизнес-приложений?

В связи с ускоренным внедрением облачных технологий и инноваций появляются «разрозненные ИТ-структуры», которые негативно влияют на функционирование и развитие бизнеса. Когда группы приложений и безопасности становятся разрозненными, организации вынуждены делать выбор между минимизацией рисков и гибкостью бизнеса. В результате проигрывают все.

Командам крайне необходимо регулярно обмениваться информацией о состоянии систем, иначе обеспечить полноценную безопасность не представляется возможным, какой бы экспертизой они ни обладали. Пока компании не признают, что современные инструменты контроля защиты инфраструктуры являются фундаментом конкурентоспособного бизнеса, они всегда рискуют оказаться на шаг позади от злоумышленников.

По данным «Ростелеком Солар», в мае 2020 года почти 70% веб-приложений оказались подвержены IDOR-уязвимостям, связанными с недостатками бизнес-логики. Как противостоять этим угрозам?

Для того чтобы защитить свой бизнес и клиентов, ИТ-подразделениям требуется сформировать новый подход, ориентированный на приложения, и позволяющий защитить их изнутри. Этот подход включает несколько правил, которых необходимо придерживаться командам, отвечающим за разработку и безопасность. Так, следует наладить регулярное выявление уязвимостей и угроз в рабочих приложениях, настроить защиту приложений от атак в режиме реального времени, регулярно оценивать влияние угроз на бизнес, расставить приоритеты в очередности исправлений с учетом бизнес-контекста, и наконец, наладить эффективную совместную работу с помощью общего хранилища данных о приложениях и безопасности.

Как обеспечить защиту от эксплойтов?

Для защиты от эксплойтов компаниям требуется полная прозрачность реального состояния и работы приложения. Для этого понадобится современное решение, способное выявлять аномальные сценарии и обнаруживать эксплойты в режиме реального времени, в отличие от традиционных инструментов, позволяющих хакерам месяцами оставаться незамеченными, и может автоматически применять политики безопасности для блокировки угроз. В случае атаки специалисты должны иметь возможность оперативно собрать все подробные сведения о взломе, чтобы быстро среагировать и распределить ресурсы на решение проблемы.

Что делать с привилегированными пользователями?

Для предотвращения угроз, которые могут создать привилегированные пользователи, компаниям необходимо проводить обучение сотрудников по управлению привилегированным доступом к внутренним серверам с целью выполнения обновлений и изменения настроек. Обучение должно подчеркивать критическую важность безопасности привилегированных учетных записей и включать политики безопасности, актуальные для организации. Основными рекомендациями являются следующие.

Необходимо создать официальную политику в отношении привилегированных учетных записей, чтобы гарантировать исполнение пошаговых инструкций. Далее пересматривать и обновлять ее не реже одного раза в год. Обязательно контролировать создание новых привилегированных учетных записей пользователей с помощью формального процесса проверки и утверждения. Доступ к привилегированной учетной записи должен быть ограничен по времени, географическому расположению, объему необходимых разрешений.

Как эффективно синхронизировать работу команды разработки и специалистов по обеспечению информационной безопасности?

В наши дни способность эффективно управлять приложениями имеет решающее значение для успеха организации. Для ведущих компаний это все чаще означает необходимость внедрения проактивного подхода к обеспечению безопасности. ИТ-команды должны использовать взаимосвязанные данные о производительности приложений и состоянии защиты, минимизируя вероятность вторжения и надежно защищая данные клиентов. У технических специалистов должны быть такие инструменты, которые позволят им сосредоточить внимание на наиболее важных для бизнеса вещах.

Каковы прогнозы в сфере ИБ на 2021 год?

По мнению 75% IT-технологов, именно ответные меры на последствия пандемии привели к самому значительному усложнению инфраструктуры из всех, с которыми индустрии приходилось когда-либо сталкиваться. В то же время 88% специалистов прогнозируют, что самой большой проблемой в 2021-м будет необходимость ускоренного проведения цифровой трансформации бизнеса для тех, кто не успел это реализовать в прошлом году.

Это еще раз доказывает, что события 2020 года кардинально изменили ИТ-ландшафт. Миллионы людей начали работать удаленно, получив доступ к корпоративным приложениям с устройств, подключенных к общедоступным сетям. Бизнес, в свою очередь, широко внедряет гибридные и мультиоблачные технологии, значительно расширяя периметр своих ИТ-инфраструктур. Решение проблем, вызванных этими преобразованиями, станет главной задачей в 2021 году.

И конечно, нельзя отрицать, что рост и усложнение хакерских атак в сочетании с традиционно длительным временем выявления и нейтрализации взломов продолжат создавать для технических специалистов множество новых проблем, решение которых еще предстоит найти.


[1] https://www.ibm.com/security/digital-assets/cost-data-breach-report/#/ru


[2] Согласно отчету AppDynamics Agents of Transformation 2021: The rise of full-stack observability

Информационная безопасность Мобильные приложения Удаленная работа

Журнал: Журнал IT-Manager [№ 03/2021], Подписка на журналы


Поделиться:

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Также по теме

Другие материалы рубрики

Мысли вслух

Все жалуются на нехватку времени. Особенно обидно, что его не хватает на самые важные вещи. Совещания, созвоны, подготовка внутренних отчетов, непонятно, насколько нужных, но которые начальство требует так, как будто это именно то, ради чего мы работаем.
Сейчас мы вступаем в следующую фазу выздоровления и восстановления, но гибридный мир никуда не денется
В России опрос показал: 48% составляют технооптимисты, а больше половины – технофобы и техноскептики.

Компании сообщают

Мероприятия

Юникон & гейм экспо минск / unicon & game expo minsk
Минск, пр. Победителей, 20/2 (футбольный манеж)
14.05.2021 — 16.05.2021
12:00
SAS Global Forum 2021
ОНЛАЙН
18.05.2021 — 20.05.2021