Защита бизнес-приложений

Региональный директор AppDynamics в России

Когда группы приложений и безопасности становятся разрозненными, организации вынуждены делать выбор между минимизацией рисков и гибкостью бизнеса.

В наше время вопросы информационной безопасности стали приоритетными для организаций. Переход на удаленную работу вызвал рост взломов и утечек данных. Как противостоять новым и старым угрозам, как управлять уязвимостями приложений, рассказывает Любовь Сирая, региональный директор AppDynamics в России и СНГ.

Безопасность приложений всегда обеспечивалась с помощью файерволов, средств обнаружения атак, антивирусов и т. п. Почему в настоящее время этого уже мало?

Современные бизнес-приложения становятся все более динамичными и усложняются по мере того, как организации внедряют облачные технологии, стремясь повысить свою гибкость и экономическую эффективность. Традиционные инструменты контроля и мониторинга уже не позволяют ИТ-командам эффективно взаимодействовать друг с другом, то есть специалисты могут лишь догадываться о происходящем за периметром приложений.

В современных условиях, когда приложения становятся фундаментом цифрового бизнеса, а эффективность их работы выходит на первый план при оценке качества обслуживания клиентов, такое положение вещей угрожает безопасности данных больше, чем когда-либо прежде. И последствия вероятных угроз могут быть намного глобальнее, чем кажется на первый взгляд. Согласно исследованию Cisco, информация, позволяющая установить личность клиента (PII), или IP-адреса организации, становится широкодоступной уже в первые 24 часа после взлома.

Именно из-за фокуса злоумышленников на современных приложениях классический подход по обеспечению информационной безопасности оказывается малоэффективным. Например, проактивный мониторинг непросто организовать, если использовать только традиционные инструменты, которые имеют свои недостатки. Один из них – замедление скорости работы приложений за счет статического сканирования, и то это обеспечивает видимость только в определенные моменты времени. То есть такой подход увеличивает накладные расходы, снижает производительность и качество обслуживания клиентов.

По статистике, в среднем ИТ-командам требуется до 280 дней[1] на обнаружение и локализацию взломов, приводящих к утечке данных, – для компании это огромные риски потери прибыли и ущерба репутации. К тому же классические инструменты не позволяют получать контекстную информацию о влиянии угроз на приложения и бизнес в целом.

Какие уязвимости можно найти в приложении?

Код веб-сайтов содержит изъяны практически всегда, и помимо уязвимостей «нулевого дня» существует большое количество других типов, которые возникают вследствие ошибочных настроек CMS (системы управления контентом) и операционной системы сервера. Это могут быть SQL-инъекции, когда злоумышленник получает возможность менять базу данных или изменение HTML-кода сайта за счет тех же полей для ввода данных. Ещё одной широко распространенной уязвимостью является переполнение буфера, когда меняется путь исполнения программы через перезапись данных в памяти системы.

Мобильные приложения еще более уязвимы по своей природе – их поверхность атаки обширнее, чем у веб-сайтов, поскольку площадки, с которых они скачиваются, являются публичными и дают возможность проинспектировать код. Среди самых распространенных типов уязвимостей здесь следует отметить, прежде всего, некорректное использование платформы – очень часто уже при разработке приложений требования Android или iOS по безопасности ошибочно или даже намеренно не учитываются. И в итоге, например, из-за неверного применения iOS Keychain пароли или сессии сохраняются не в защищенном хранилище, а в локальном.

Также большие риски представляет небезопасная аутентификации, когда приложение недостаточно хорошо проверяет и удерживает подлинность пользователя, и передача данных – трафик может быть перехвачен, если установлены ненадежные SSL/TLS-сертификаты.

В связи с удаленной работой увеличились ли риски утечек данных?

Эта проблема, безусловно, обострилась в 2020 году, поскольку, реагируя на пандемию, организации отправили на удаленную работу большую часть сотрудников. Все больше людей работают из дома, используя ноутбуки и другие устройства, подключенные к общедоступным сетям. Это значительно расширило ИТ-периметр, создав новые слабые места и уязвимости даже в самых защищенных ИТ-инфраструктурах, что стало серьезной проверкой возможностей систем мониторинга.

Какие основные угрозы от намеренных инсайдеров и неумелых пользователей сейчас в тренде?

Сопоставление последствий риска от инсайдерских угроз по сравнению с внешними атаками является предметом постоянной дискуссии, и все больше компаний обеспокоены проблемами, которые могут создать инсайдеры. Это связано с тем, что большинство внешних угроз могут быть устранены с помощью традиционных мер безопасности в отличие от тех, что исходят изнутри, а их гораздо сложнее предотвратить и обнаружить.

Эксперты прогнозируют, что в 2021 году возрастет применение модели «инсайдер-как-услуга». Механика подразумевает создание организованных групп злоумышленников, которые внедряются в организации под видом рядовых сотрудников с целью сбора чувствительных IP-адресов.

Также крупные компании зачастую несут финансовые потери не от хакерских атак, а по вине своих же сотрудников. И причина кроется, прежде всего, в том, что компании уделяют недостаточно внимания компьютерной грамотности своего персонала и обеспечению безопасности устройств, которые покинули ИТ-периметр компаний в связи с переходом на удаленную работу. К самым распространенным причинам утечки информации или взломам можно отнести следующие действия сотрудников.

Первое – это установка программных продуктов, которые не входят в список необходимых для работы и впоследствии могут стать причиной нестабильной работы системы и потери информации.

Второе – копирование файлов с конфиденциальной информацией и их переадресация через личную почту, файлообменники и соцсети. В этом случае меры ИТ-безопасности не контролируют такие каналы взаимодействия. и у специалистов нет возможности отследить действия с данными.

При этом данный вид угроз очень трудно поддается контролю: необходимо создать такие условия, чтобы каждый сотрудник не только обладал всеми необходимыми знаниями и рекомендациями, но и осознавал риски и свою личную ответственность за использование корпоративных данных.

Чем грозит утечка конфиденциальной информации из веб-приложения?

Отсутствие актуальных продуктов и решений для защиты данных в приложениях ставит под угрозу в первую очередь репутацию бренда и доверие его клиентов, а в случае взлома может стоить организациям миллионы – и не рублей, а долларов.

Что такое управление уязвимостями приложений? Чем это отличается от защиты?

Управление уязвимостью приложений, или AVM, подразумевает приоритезацию внутренних угроз в соответствии с их опасностью для систем и бизнеса.

И если ранее большинство инструментов сканирования обнаруживали проблемы без предоставления точного контекста в рамках топологии приложения, то сейчас компаниям доступны решения, которые способны управлять уязвимостями, мгновенно предотвращать кибератаки и обеспечивать сквозную защиту, применяя различные политики блокировки.

Кроме выявления и блокировки атак для защиты данных в приложениях требуется непрерывный мониторинг доступа к базам данных и анализ поведения пользователей и систем. Какие решения сегодня существуют на рынке?

Традиционно сканирование на уязвимости происходит перед запуском приложения в рабочей среде, а затем повторяется ежемесячно или ежеквартально. Но, несмотря на все усилия в ходе тестирования, после развертывания приложения, в системе безопасности все равно появляются слабые места и эксплойты нулевого дня, которые делают приложение уязвимым. Именно поэтому актуальны решения, способные обеспечивать непрерывную оценку угроз и защиту путем сканирования исполняемого кода для нейтрализации известных эксплойтов, а при необходимости – автоматически нейтрализовать эксплойты для предотвращения вторжений.

Для мониторинга приложений существуют как отдельные, разрозненные решения, так и комплексные платформы, которые обеспечивают сквозную видимость всего технологического стека и предоставляют оценку всех этапов взаимодействия пользователей с сервисом. Здесь также есть разные предложения на рынке, и наиболее эффективной будет система, показывающая не только аналитику пользовательского опыта, но и корреляцию между производительностью приложений и бизнес-результатами.

Какие основные ошибки допускаются в части ИБ при разработке бизнес-приложений?

В связи с ускоренным внедрением облачных технологий и инноваций появляются «разрозненные ИТ-структуры», которые негативно влияют на функционирование и развитие бизнеса. Когда группы приложений и безопасности становятся разрозненными, организации вынуждены делать выбор между минимизацией рисков и гибкостью бизнеса. В результате проигрывают все.

Командам крайне необходимо регулярно обмениваться информацией о состоянии систем, иначе обеспечить полноценную безопасность не представляется возможным, какой бы экспертизой они ни обладали. Пока компании не признают, что современные инструменты контроля защиты инфраструктуры являются фундаментом конкурентоспособного бизнеса, они всегда рискуют оказаться на шаг позади от злоумышленников.

По данным «Ростелеком Солар», в мае 2020 года почти 70% веб-приложений оказались подвержены IDOR-уязвимостям, связанными с недостатками бизнес-логики. Как противостоять этим угрозам?

Для того чтобы защитить свой бизнес и клиентов, ИТ-подразделениям требуется сформировать новый подход, ориентированный на приложения, и позволяющий защитить их изнутри. Этот подход включает несколько правил, которых необходимо придерживаться командам, отвечающим за разработку и безопасность. Так, следует наладить регулярное выявление уязвимостей и угроз в рабочих приложениях, настроить защиту приложений от атак в режиме реального времени, регулярно оценивать влияние угроз на бизнес, расставить приоритеты в очередности исправлений с учетом бизнес-контекста, и наконец, наладить эффективную совместную работу с помощью общего хранилища данных о приложениях и безопасности.

Как обеспечить защиту от эксплойтов?

Для защиты от эксплойтов компаниям требуется полная прозрачность реального состояния и работы приложения. Для этого понадобится современное решение, способное выявлять аномальные сценарии и обнаруживать эксплойты в режиме реального времени, в отличие от традиционных инструментов, позволяющих хакерам месяцами оставаться незамеченными, и может автоматически применять политики безопасности для блокировки угроз. В случае атаки специалисты должны иметь возможность оперативно собрать все подробные сведения о взломе, чтобы быстро среагировать и распределить ресурсы на решение проблемы.

Что делать с привилегированными пользователями?

Для предотвращения угроз, которые могут создать привилегированные пользователи, компаниям необходимо проводить обучение сотрудников по управлению привилегированным доступом к внутренним серверам с целью выполнения обновлений и изменения настроек. Обучение должно подчеркивать критическую важность безопасности привилегированных учетных записей и включать политики безопасности, актуальные для организации. Основными рекомендациями являются следующие.

Необходимо создать официальную политику в отношении привилегированных учетных записей, чтобы гарантировать исполнение пошаговых инструкций. Далее пересматривать и обновлять ее не реже одного раза в год. Обязательно контролировать создание новых привилегированных учетных записей пользователей с помощью формального процесса проверки и утверждения. Доступ к привилегированной учетной записи должен быть ограничен по времени, географическому расположению, объему необходимых разрешений.

Как эффективно синхронизировать работу команды разработки и специалистов по обеспечению информационной безопасности?

В наши дни способность эффективно управлять приложениями имеет решающее значение для успеха организации. Для ведущих компаний это все чаще означает необходимость внедрения проактивного подхода к обеспечению безопасности. ИТ-команды должны использовать взаимосвязанные данные о производительности приложений и состоянии защиты, минимизируя вероятность вторжения и надежно защищая данные клиентов. У технических специалистов должны быть такие инструменты, которые позволят им сосредоточить внимание на наиболее важных для бизнеса вещах.

Каковы прогнозы в сфере ИБ на 2021 год?

По мнению 75% IT-технологов, именно ответные меры на последствия пандемии привели к самому значительному усложнению инфраструктуры из всех, с которыми индустрии приходилось когда-либо сталкиваться. В то же время 88% специалистов прогнозируют, что самой большой проблемой в 2021-м будет необходимость ускоренного проведения цифровой трансформации бизнеса для тех, кто не успел это реализовать в прошлом году.

Это еще раз доказывает, что события 2020 года кардинально изменили ИТ-ландшафт. Миллионы людей начали работать удаленно, получив доступ к корпоративным приложениям с устройств, подключенных к общедоступным сетям. Бизнес, в свою очередь, широко внедряет гибридные и мультиоблачные технологии, значительно расширяя периметр своих ИТ-инфраструктур. Решение проблем, вызванных этими преобразованиями, станет главной задачей в 2021 году.

И конечно, нельзя отрицать, что рост и усложнение хакерских атак в сочетании с традиционно длительным временем выявления и нейтрализации взломов продолжат создавать для технических специалистов множество новых проблем, решение которых еще предстоит найти.

[1] https://www.ibm.com/security/digital-assets/cost-data-breach-report/#/ru

[2] Согласно отчету AppDynamics Agents of Transformation 2021: The rise of full-stack observability

Смотреть все статьи по теме "Информационная безопасность"

Журнал IT Manager

Опубликовано 30.03.2021

Информационная безопасность Удаленная работа Мобильные приложения

Предыдущая
Как решать проблемы уязвимостей компьютерной сети и несанкционированного доступа

Следующая
Spectra Logic: история компании, попавшей под удар вымогателей

Новостная лента

Главное за неделю

Нажимая на кнопку, я принимаю условия соглашения.

Соглашение об использовании сайта

Внимательно прочитайте настоящее Соглашение, прежде чем начать пользоваться Сайтом. Вы обязаны соблюдать условия настоящего Соглашения, заходя на Сайт и используя сервисы, предлагаемые на Сайте. В случае, если Вы не согласны с условиями Соглашения, Вы не можете пользоваться Сайтом или использовать любые сервисы, предлагаемые на Сайте, а также посещать страницы, размещенные в доменной зоне Сайта. Начало использования Сайта означает надлежащее заключение настоящего Соглашения и Ваше полное согласие со всеми его условиями.

1. Термины и определения

1.1. Компания - Общество с ограниченной ответственностью «ИТ Медиа» (ООО «ИТ Медиа»).

1.2. Пользователь - лицо, получающее доступ к сервисам и информации, размещенным на Сайте.

1.3. Сайт – веб-сайт Компании, размещенный в сети Интернет по адресу https://www.it-world.ru.

1.4. Соглашение - настоящее Соглашение между Пользователем и Компанией, устанавливающее правила использования Сайта, включая графические изображения, элементы дизайна и средства индивидуализации, текстовую информацию и документацию, программы для ЭВМ и файлы для скачивания, любые иные произведения, объекты и материалы Сайта, а также условия и правила размещения Пользователем информации и материалов в соответствующих открытых разделах Сайта.

2. Общие положения и условия

2.1. Любые материалы, файлы и сервисы, содержащиеся на Сайте, не могут быть воспроизведены в какой-либо форме, каким-либо способом, полностью или частично без предварительного письменного разрешения Компании, за исключением случаев, указанных в настоящем Соглашении. При воспроизведении Пользователем материалов Сайта ссылка на Сайт обязательна, при этом текст указанной ссылки не должен содержать ложную, вводящую в заблуждение, уничижительную или оскорбительную информацию. Перевод, переработка (модификация), любое изменение материалов Сайта, а также любые иные действия, в том числе удаление, изменение малозаметной информации и сведений об авторских правах и правообладателях, не допускается.

2.2. Действующая редакция настоящего Соглашения размещена в сети Интернет на Сайте по адресу: https://www.it-world.ru/about/agreement.php. Компания вправе в любое время в одностороннем порядке изменять условия настоящего Соглашения. Такие изменения вступают в силу по истечении 2 (двух) дней с момента размещения новой версии Соглашения в сети Интернет на Сайте. При несогласии Пользователя с внесенными изменениями он обязан удалить все имеющиеся у него материалы Сайта, после чего прекратить использование материалов и сервисов Сайта. Ваше регулярное посещение данного Сайта считается вашим убедительным принятием измененного соглашения, поэтому Вы обязаны регулярно просматривать настоящее Соглашение и дополнительные условия или уведомления, размещенные на Сайте.

3. Обязательства Пользователя

3.1. Пользователь обязуется не предпринимать действий, которые могут рассматриваться как нарушающие российское законодательство или нормы международного права, в том числе в сфере интеллектуальной собственности, авторских и/или смежных правах, а также любых действий, которые приводят или могут привести к нарушению нормальной работы Сайта и сервисов Сайта.

3.2. Любые средства индивидуализации, в том числе товарные знаки и знаки обслуживания, а равно логотипы и эмблемы, содержащиеся на страницах Сайта, являются интеллектуальной собственностью их правообладателей. Пользователю Сайта запрещено воспроизводить или иным способом использовать указанные средства индивидуализации и/или их элементы без предварительного письменного разрешения соответствующих правообладателей.

3.3. Компания стремится обеспечить, однако не контролирует и не гарантирует конфиденциальность и охрану любой информации, размещенной на Сайте или полученной с Сайта. Компания принимает разумные меры в целях недопущения несанкционированного разглашения размещенной Пользователем на Сайте информации третьим лицам, однако не несет ответственность в случае, если такое разглашение было допущено. В этой связи, передача информации на Сайт означает согласие Пользователя на любое воспроизведение, распространение, раскрытие и иное использование такой информации. Размещая информацию и материалы, включая, фотографии и изображения, Пользователь также гарантирует, что обладает всеми правами и полномочиями, необходимыми для этого, с учетом условий настоящего Соглашения и что такое размещение не нарушает охраняемые законом права и интересы третьих лиц, международные договоры и действующее законодательство Российской Федерации.

3.4. Пользователь самостоятельно несет ответственность за любую информацию и материалы, размещенные им на Сайте. Компания не инициирует размещение указанной информации, не выбирает получателей информации, не влияет на содержание и целостность размещаемой информации, а также в момент размещения Пользователем информации на Сайте не знает и не может знать, нарушает ли такое размещение действующее законодательство Российской Федерации, однако Компания вправе отслеживать, просматривать и/или удалять любую информацию и материалы, размещенные Пользователем на Сайте. При размещении любой информации и материалов Пользователь не становится соавтором Сайта и отказывается от каких-либо претензий на такое авторство в будущем. Компания не выплачивает Пользователю авторского или любого иного вознаграждения, как в период, так и по истечении срока действия настоящего Соглашения.

3.5. В случае предъявления третьими лицами претензий Компании, связанных с нарушением Пользователем условий настоящего Соглашения, а равно с размещенной Пользователем информацией на Сайте, указанный Пользователь обязуется самостоятельно урегулировать такие претензии, а также возместить Компании все понесенные убытки и потери, включая возмещение штрафов, судебных расходов, издержек и компенсаций.

3.6. Компания не несет ответственности за посещение Пользователем, а также любое использование им внешних ресурсов (сайтов третьих лиц), ссылки на которые могут содержаться на Сайте. Компания не несет ответственности за точность, надежность, достоверность и безопасность любой информации, материалов, рекомендаций и сервисов, размещенных на внешних ресурсах. Использование внешних ресурсов осуществляется Пользователем добровольно, исключительно по собственному усмотрению и на свой риск.

3.7. Компания стремится к обеспечению достоверности информации, размещенной на Сайте, однако не несет ответственности за любые неточности и/или недостоверность информации, а равно сбои в работе предоставляемых через Сайт сервисов. Пользователь согласен с тем, что Компания не несет ответственность и не имеет прямых или косвенных обязательств перед Пользователем в связи с любыми возможными или возникшими потерями, или убытками, связанными с любым содержанием Сайта, интеллектуальной собственностью, товарами или услугами, доступными на нем или полученными через внешние сайты или ресурсы либо иные ожидания Пользователя, которые возникли в связи с использованием размещенной на Сайте информации или ссылки на внешние ресурсы. Ни при каких условиях, включая, но не ограничиваясь невнимательностью или небрежностью Пользователя, Компания не несет ответственности за любой ущерб (прямой или косвенный, случайный или закономерный), включая, но не ограничиваясь потерей данных или прибылей, связанной с использованием или невозможностью использования Сайта, информации, файлов или материалов на нем, даже если Компания или ее представители были предупреждены о возможности такой потери. В случае, если использование Сайта приведёт к необходимости дополнительного обслуживания, исправления или ремонта любого оборудования, а равно восстановления данных, все связанные с этим затраты оплачиваются Пользователем самостоятельно.

3.8. Вся представленная на Сайте информация предоставляется «как есть», без каких-либо гарантий, явных или подразумеваемых. Компания полностью, в той мере, в какой это разрешено законом, отказывается от какой-либо ответственности, явной или подразумеваемой, включая, но не ограничиваясь неявными гарантиями пригодности к использованию, а также гарантиями законности любой информации, продукта или услуги, полученной или приобретенной с помощью этого Сайта.

3.9. Пользователь согласен, что все материалы и сервисы Сайта или любая их часть могут сопровождаться рекламой. Пользователь согласен с тем, что Компания не несет какой-либо ответственности и не имеет каких-либо обязательств в связи с такой рекламой.

4. Условия обработки и использования персональных данных. Принимая условия настоящего Соглашения Пользователь выражает свое согласие на:

4.1. Предоставление своих персональных данных, включающих имя, номера контактных телефонов; адреса электронной почты; место работы и занимаемая должность; пользовательские данные (сведения о местоположении; тип и версия ОС; тип и версия Браузера; тип устройства и разрешение его экрана; источник откуда пришел на сайт пользователь; с какого сайта или по какой рекламе; язык ОС и Браузера; какие страницы открывает и на какие кнопки нажимает пользователь; ip-адрес) своей волей и в своем интересе.

4.2. Цель обработки персональных данных:

предоставление Пользователю услуг Сайта;
направление уведомлений, касающихся услуг Сайта;
подготовка и направление ответов на запросы Пользователя;
выполнение регулярной информационной рассылки;
направление информации о продуктах и услугах Компании, а также рекламно-информационных сообщений, касающихся продукции и услуг Компании и ее партнеров.

4.3. Перечень действий с персональными данными, на которые Пользователь выражает свое согласие:

сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, обезличивание, передача третьим лицам для указанных выше целей, а также осуществление любых иных действий, предусмотренных действующим законодательством РФ как неавтоматизированными, так и автоматизированными способами.

4.4. Компания обязуется принимать все необходимые меры для защиты персональных данных Пользователя от неправомерного доступа или раскрытия.

4.5. Настоящее согласие действует до момента его отзыва Пользователем путем направления соответствующего уведомления заказным письмо с уведомлением на адрес Компании.

5. Прочие положения

5.1. Использование материалов и сервисов Сайта, а равно размещение на нем материалов Пользователя, регулируется нормами действующего законодательства Российской Федерации. Все возможные споры, вытекающие из настоящего Соглашения или связанные с ним, подлежат разрешению в соответствии с действующим законодательством Российской Федерации по месту нахождения Компании.

5.2. Признание судом какого-либо положения Соглашения недействительным или не подлежащим принудительному исполнению не влечет недействительности иных положений Соглашения.

5.4. Бездействие со стороны Компании в случае нарушения кем-либо из Пользователей положений Соглашения не лишает Компанию права предпринять соответствующие действия в защиту своих интересов и защиту авторских прав на охраняемые в соответствии с законодательством материалы Сайта позднее.

Пользователь подтверждает, что ознакомлен со всеми пунктами настоящего Соглашения и безоговорочно принимает их.

По всем вопросам, связанным с нарушением авторских прав Компании, незаконного использования материалов Сайта или размещением ложной, вводящей в заблуждение информации о Компании, просим обращаться по  следующим контактным данным:

ООО «ИТ Медиа» ИНН 7802426999, КПП 781301001,
Санкт-Петербург, ул Большая монетная, 16 / К. 30 литера А, пом. 14-Н №30