Вход
Регистрация
up

Новости в стране

12 января 2016

Российские инженеры из «Объединенной приборостроительной корпорации» (входит в «Ростех») и компании «Сетевые технологии» разработали уникальный продукт для российского рынка. Специалисты создали мини-ПК под названием Raydget. Глава «Ростеха» Сергей Чемезов лично продемонстрировал новинку президенту РФ Владимиру Путину.


28 декабря 2015

ИБ-компания «Лаборатория Касперского» опубликовала отчет за третий квартал 2015 года, согласно которому Россия опустилась на третье место по числу пользователей, ставших жертвами атак с применением банковских троянов. В прошлом квартале по этому показателю РФ находилась на втором месте.


21 декабря 2015

РАЗВИТИЕ ВАШЕЙ КОМПАНИИ ПОДВЕЛО К НЕОБХОДИМОСТИ РАСШИРЕНИЯ ИТ-ИНФРАСТРУКТУРЫ, а существующие условия не позволяют это сделать непосредственно в вашем офисе. Причин может быть много: ограничения по электрической мощности, недостаточная ширина или стабильность интернет-канала, невозможность обеспечить необходимое охлаждение или просто физически негде разместить новое оборудование.


21 декабря 2015

Но любые новые возможности несут с собой и новые угрозы. Чем больше процессов отдаются на откуп web-приложениям, тем выше риск, что они могут быть нарушены. Модель угроз для таких приложений в общем случае может выглядеть так.

Нарушение доступности приложения

Это самый простой и самый легко считаемый риск для web-приложения: не являясь доступным, приложение не выполняет своей основной работы. Поэтому клиенты и партнеры не обслуживаются, а удаленные сотрудники не могут получить доступ к корпоративным ресурсам. Стоимость простоя довольно просто считается в электронной коммерции – там недоступность приводит к упущенной выгоде или из-за того, что, не сумев получить услугу или купить товар, клиенты воспользовались другим сервисом – конкуренты в Сети, как принято говорить, «находятся на расстоянии одного клика». Похожим образом обстоит дело и в средствах массовой информации – непоказанные новости напрямую означают непоказанную рекламу и потерю заработка сайта. Не так просто считаются риски недоступности web-приложений в финансовой отрасли или государственных сервисах – клиенты, не получившие нужного сервиса в конкретный момент, не могут получить его в другом месте, поскольку они привязаны к конкретному банку или государственному органу. Однако, не получив сервис в Интернете, клиент, вероятно, попробует получить этот же сервис по телефону или в офисе, что увеличит нагрузку на сотрудников.

Нарушение целостности информации на сайте

Следует внимательно следить за тем, чтобы информация на сайте соответствовала замыслу его создателей. Риски подмены содержания сайта могут быть различными для разных отраслей, но есть и общие признаки опасности. Например, инъекция вредоносного кода на сайте может привести к потенциальному заражению посетителей сайта, а ввиду этого – блокированию доступа на сайт со стороны антивирусов и браузеров с детектированием угроз заражения. Попасть в списки небезопасных сайтов просто, а вот вычеркнуть себя из этих списков – дело хлопотное: придется тестировать доступ на сайт через все возможные браузеры в комбинации со всеми антивирусами и при обнаружении своего сайта в «черных списках» – вступать в длительную переписку с антивирусными компаниями или производителями сайтов.

Также опасным может являться и размещение различной информации как с хулиганскими, так и с мошенническими намерениями. Замена злоумышленниками правильной контактной информации на собственную на сайте электронной коммерции приведет к тому, что клиенты, выбравшие товар или услугу на сайте, перейдут заказывать их на сайт конкурента. Размещение на сайте провокационных и экстремистских изображений и надписей может привести к блокировке сайта уполномоченными органами.

Отдельной угрозой можно считать возможность совершения мошеннических операций через веб-ресурс – финансовых транзакций, получения товара без оплаты и т. п.

Нарушение конфиденциальности информации

Большинство бизнес-приложений с веб-интерфейсом имеют доступ к чувствительной информации – клиентской информации, коммерческой тайне и другим информационным активам. При этом web-приложения считаются внешними приложениями и данные там охраняются совсем не так, как это делается внутри периметра. Однако если открыть статистику утечек данных, то можно увидеть, что большинство ставших публичными утечек происходит через взломы информационных систем, а вовсе не через инсайдеров.

Такая статистика мотивирует нас защищать данные в веб-приложениях ничуть не менее строго, чем во внутренней сети.

Эшелонированная оборона

Как мы видели выше, службам защиты веб-приложений приходится защищать не просто приложение, а конкретный бизнес-процесс: обслуживание клиентов в личных кабинетах, оказание госуслуг, обеспечение групповой работы сотрудников, прием и обработка заказов, покупка или продажа товара, привлечение клиентов, распространение информации – все многообразие веб-приложений сегодня покрывает практически все процессы, охватывающие коммуникации и транзакции компании со своими клиентами, партнерами, поставщиками, банками и сотрудника- ми, и некоторые процессы взаимодействия с регуляторами и акционерами.

Устаревшей концепцией защиты web-ресурса является защита as is («как есть»), то есть рассматривающая объект защиты как статический и не пригодный для изменений. Первые поколения средств защиты web-приложений успешно управлялись со своей ролью до тех пор, пока приложения менялись редко и предоставляли пользователям в основном информационную функцию – позволяли ему ознакомиться со структурированной информацией, размещенной на сайте, давали возможность скачать какие-то информационные материалы и прочее. Од- нако возможности Интернета, интеграция с внутренними информационными систе- мами и конкуренция привели к тому, что сегодня web-приложение – это полноценный робот, полностью берущий на себя процесс. А поскольку процесс постоянно совершенствуется, то и обеспечивающий его «робот», то есть веб-приложение, так- же постоянно меняется. Web-приложения меняются как минимум еженедельно, а зачастую и несколько раз в неделю, поэтому их защиту нельзя настроить раз и навсегда, она должна постоянно адаптироваться под контекст приложения.

Сегодня львиная доля успешных атак на web-приложения совершается на прикладном уровне, то есть злоумышленники используют специфику самого приложения: уязвимости, которые появились в приложении в результате его разработки. В этом случае разработчики web-приложения и инженеры, которые настраивали его защиту, являются невольными соучастниками атаки, ведь именно благодаря уязвимостям, оставленным первыми и не закрытым вторыми, атака была успешной. И это касается не только хакерских атак, но и DDoS-атак, которые также в последнее время используют специфику конкретных web-приложений при выведении их из строя.Казалось бы, все способы исследования защищенности приложений известны, инструменты доступны – от бесплатных и простых до дорогих и сложных.

Почему же уязвимости не исчезают, а их количество только увеличивается? Поскольку web-приложение создается для реализации конкретного бизнес-процесса, его основной заказчик – не ИТ и безопасность, а бизнес, которому функционал требуется как можно быстрее и как можно дешевле. Поэтому первоочередное внимание разработчики уделяют функционалу, оставляя безопасность на потом, а зачастую и вовсе экономят на ней, считая, что приложение будет защищено внешними средствами защиты. Кроме того, против применения традиционных способов исследования приложений (статический и динамический анализ, верификация кода и т. п.) выступает и сам процесс постоянных изменений. Действительно, если процесс исследования защищенности приложения длится дольше, чем период внесения изменений, это означает, что результаты исследования будут содержать экспертизу безопасности уже неактуальной, прошлой или позапрошлой, версии. Поэтому обычно в исследовательские лаборатории отдаются только мажорные релизы приложений, а в промежутках исследования защищенности не проводятся.

Что из этого получается – мы можем судить даже по неспециализированной деловой прессе: практически еженедельные инциденты, связанные с атаками на web-приложения крупных компаний, приводящие к ущербу для самих компаний или их клиентов. Похищенные данные, нелегитимные финансовые транзакции, многочасовые простои и другие – это уже не шокирующие новости, а практически ежедневные хроники киберпреступности.

Современный подход к защите быстроменяющихся web-приложений носит название continuous security – «непрерывная безопасность». Она подразумевает, что средства защиты сами адаптируются к постоянно изменяющемуся приложения, используя различные алгоритмы самообучения. В свою очередь, системы защиты web-приложения выдают рекомендации по изменению самого приложения так, чтобы устранить имеющиеся уязвимости. Упрощенно процесс выглядит так: программисты выкладывают исходный код приложения с обновленным функционалом;

система контроля безопасной разработки анализирует этот код с использованием различных методов, выявляя как типовые уязвимости (например, SQL-инъекции или кросс-скриптинг), так и уязвимости, являющиеся специфическими для конкретного приложения или конкретного типа приложений (например, возможность в интернет- банке совершить перевод денег без авторизации). Также на этом этапе могут генерироваться подтверждающие экс-плойты, то есть команды, доказывающие возможность эксплуатации найденных уязвимостей;

на основе найденных уязвимостей создаются задания программистам на изменение приложения с указанием места нахождения уязвимости, способа ее эксплуатации и рекомендациями по исправлению;

пока уязвимости не исправлены, они закрываются на внешних системах защиты «виртуальными патчами», то есть настройками, запрещающими проводить опасные последовательности команд к соответствующим функциям web-приложения;

если уязвимость может быть использована для нарушения функционирования сайта, то есть для DoS/DDoS-атаки, то соответствующие настройки передаются системе защиты от DDoS;

в процессе эксплуатации система защиты также обучается на идущем к приложению и от него web-трафике и создает новые правила, блокирующие аномальный трафик к конкретным функциям;

как только программисты исправили найденные уязвимости, они выкладывают обновленную версию, и цикл повторяется сначала.

Такой подход позволяет достичь компромисса между бизнес-заказчиком, который всегда спешит и экономит, с одной стороны, и параноидальными безопасниками, которые в любой уязвимости видят смертельную угрозу и смотрят на выпуск в эксплуатацию уязвимого приложения как уже на свершившийся факт успешной атаки.

Решения continuous security позволяют выпускать по требованию бизнеса уязвимые приложения без опасения атаки на них, поскольку своевременно найденные уязвимости будут закрыты внешними средствами защиты, давая программистам время их исправить.

Причем теперь на анализ защищенности приложения и перенастройку внешних средств защиты будут уходить не недели и месяцы, а минуты или в крайнем случае – десятки минут. Если само web-приложение – это «робот», автономно и без участия человека обслуживающий важный процесс, то и защищать его надо с помощью полностью автоматизированных средств. Правильно настроенная система, однажды будучи запущена, сможет обеспечивать защиту стандартных процессов без вмешательства человека.

Оператор может понадобиться только для того, чтобы прописать какой-то нестандартный процесс как исключение из правила обработки запросов. Заметим, что в состав процессов continuous security входит лишь несколько элементов процесса безопасного программирования, касающихся контроля защищенности приложения, – полностью внедрять такие процессы в компаниях, не занимающихся разработкой программного обеспечения на продажу, зачастую неэффективно.

Однако, как показывает опыт уже реализованных проектов, само наличие системы контроля соответствия кода приложения требованиям информационной безопасности с обратной связью улучшает качество кода и приложения в целом даже вне зависимости от качества самого инструмента контроля.

Разработчики, зная, что теперь их работа может быть проконтролирована, а по результатам контроля они могут быть наказаны, начинают более внимательно относиться к своей работе.

Этот психологический эффект знаком каждому водителю, сбрасывающему скорость при виде знака «контроль скорости с использованием видеокамер», даже если камеры он не видит или видит, что вместо камеры висит муляж.

На рынке редко встречаются решения, обеспечивающие из одних рук все упомянутые технологии, однако большинство представленных на рынке средств защиты и средств обеспечения процесса безопасного программирования умеют интегрироваться между собой, поэтому можно взять отдельные элементы процесса continuous security и объединить их своими силами или с помощью специализированных интеграторов.

Компании, применяющие такой современный подход к защите web-приложений, разительно выделяются на фоне компаний, защищающих свои web-ресурсы еще в старой парадигме.

Их названия никогда не встречаются в сводках киберпреступлений, и вовсе не потому, что такие системы вообщенельзя взломать. Как говорится в старой пословице – «чтобы спастись от льва, не надо бежать быстрее всех, надо лишь бе- жать быстрее самой медленной газели». Поэтому пока в сети Интернет есть web-ресурсы компаний, исповедующих устаревшие принципы защиты, хакеры будут атаковать в первую очередь их, не тратя силы на хорошо защищенные по принципу continuous security web-приложения.

Источник s-director.ru


17 ноября 2015

Согласно предложениям к программе развития Интернета, которые члены набсовета Института развития Интернета (ИРИ) представили главе Минкомсвязи Николаю Никифорову и представителям Администрации президента, в 2025–2030 гг. в России появится собственная операционная система.


30 октября 2015

В России при регистрации юридического лица учредителям предположат зарегистрировать интернет-адрес в доменной зоне .ru или . рф и «привязать» его к компании. Как сообщает издание «Известия» со ссылкой на представителя Института развития интернета (ИРИ) Андрея Воробьева, об этом идет речь в докладе ИРИ президенту Владимиру Путину о развитии интернета в России.


20 октября 2015

IT-компания Parallels (бренды Parallels и Odin) запустила новый проект «Росплатформа», его цель – создать российскую облачную платформу взамен решениям Microsoft Azure, Amazon Cloud и VMware vCloud, сообщает «Коммерсант». Проект курирует экс-президент НТЦ «ИТ «Роса» Владимир Рубанов.


16 октября 2015

Подкомиссия Минкомсвязи по использованию информационных технологий при предоставлении государственных и муниципальных услуг 14 октября одобрила подключение «профучастников» финансового рынка к Единой системе идентификации и аутентификации (ЕСИА), следует из протокола заседания подкомиссии.


29 сентября 2015

Компания АКМС представила уникальный для российского рынка инновационный продукт – инструмент контроля корпоративной мобильной связи, использовать который можно на любом устройстве, подключенном к сети Интернет. Приложение работает на любой платформе –Windows, MacOS, Linux, Android.


28 сентября 2015

25 сентября на выставке InfoSecurity Russia-2015 состоится конференция «Безопасность виртуальной среды», модератор – Михаил Кадер, Cisco.


Страницы:12345678