CC BY
27
Safiulov DavletMuratovich, adjunct, davletzas@mail.ru, Russia, St. Petersburg, Military Academy of Communications named after Marshal of the Soviet Union S.M. Budyonny
УДК 004.492.3
DOI: 10.24412/2071-6168-2023-4-167-171
МОДЕЛИРОВАНИЕ РИСКОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ТИПА ОБХОДА WEB
APPLICATION FIREWALL
И.Д. Крылов, И.В. Кича, Д.П. Яковлев, Г.В. Беликов, В.А. Селищев
Рассматривается возможность компьютерной поддержки моделирования комплексной системы информационной безопасности с помощью формальных методик.
Ключевые слова: информационная безопасность, веб-приложения, риски информационной безопасности, ущерб, средства моделирования.
Брандмауэр веб-приложений (далее - WAF) - технология безопасности, которая используется для защиты веб-приложений от различных типов кибератак, таких как внедрение SQL, межсайтовый скриптинг (XSS), и других вредоносных действий. WAF обычно развертывается как обратный прокси-сервер, который находится перед веб-приложением и отслеживает входящий трафик на предмет любой подозрительной активности. Данные решения стали важным компонентом безопасности веб-приложений, обеспечивая дополнительный уровень защиты от различных типов атак. Они действуют как барьер между веб-приложениями и глобальной сетью Интернет, анализируя и фильтруя входящий трафик для выявления и блокирования вредоносных запросов. Однако, несмотря на растущую популярность и внедрение WAF, злоумышленники продолжают находить способы их обхода (bypass) и использовать уязвимости в веб-приложениях.
Обход WAF сегодня является серьезной проблемой, поскольку данный процесс позволяет злоумышленникам использовать уязвимости в веб-приложениях и компрометировать конфиденциальную информацию, несмотря на наличие WAF. Такие уязвимости могут привести к значительному финансовому и репутационному ущербу для организаций [1].
Выбор и обоснование методов и средств формализованного моделирования систем информационной безопасности. Для сравнительной характеристики были выбраны следующие методы и средства формализованного моделирования: UML, IDEF0, BPMN, Flowchart, Petri Nets, ERD.
В табл. 1 проведена сравнительная характеристика нотаций.
Исходя из данного сравнения были определены следующие нотации: UML, IDEF0, Flowchart.
После выбора нотаций необходимо найти средство моделирования. Для этого была выполнена сравнительная характеристика ряда популярных средств. Результаты представлены в табл. 2.
Исходя из данных таблицы, делаем вывод, что средство моделирования Draw.io является лучшим вариантом для дальнейшего исследования. Таким образом, необходимо использовать данный вариант для моделирования нотаций.
Моделирование компонентов системы информационной безопасности. Для структурного моделирования обхода web application firewall выбрана IDEF0 - нотация, предназначенная для формализации и описания процессов. Её основные преимущества:
- проработанность нотации;
- типичный вид моделей;
- простота в документировании.
Представленная на рис. 1 диаграмма разработана с использованием наиболее подходящей специализированной среды моделирования - Draw.io, которая обеспечивает правильное представление в соответствии с выбранной нотацией, в данном случае - IDEF0.
Для функционального моделирования исследуемого объекта использовалась блок-схема Flowchart, которая обеспечивает визуальное отображение работы системы (рис. 2). Благодаря данной схеме можно получить ясное представление о последовательности работы процесса и изучить необходимые зависимости.
UML-диаграмма применяется для проектирования, а также объектно-ориентированного анализа компонентов системы. Данная схема представлена на рис. 3.
Верификация полученных вариантов формального описания. С помощью методов структурного, функционального и инфологического моделирования был разработан алгоритм снижения рисков безопасности типа обхода web application firewall.
Для формализованного описания системы были использованы соответствующие нотации, процесс проектирования проходил в специализированной среде моделирования Draw.io с соблюдением всех правил для построения моделей. Таким образом, можно утверждать, что формализованное описание является правильным.
Показатель UML IDEF0
Наличие бесплатных сред моделирования + +
Простота в разработке + +
Сложность использования - -
Широкие возможности для моделирования систем + +
Опыт использования + +
Сравнение нотаций
Таблица 1
Примечания: «+» — высокий уровень показателя или наличие самого показателя; «-» — низкий уровень показателя или отсутствие самого показателя.
Критерий
Опыт работы
Наличие шаблонов
Бесплатный тариф
Удобство использования
Синхронизация с Google Drive
Сравнение средств моделирования
Таблица 2
Наличие русского языка
Примечания: «+» — высокий уровень показателя или наличие самого показателя; «±» — средний уровень показателя; «-» — низкий уровень показателя или отсутствие самого показателя.
Машинное обучение Белые и черные списки Регулярны© выражения
HTTP Запросы
HTTP Заголовки
Тело запроса
Фильтрация содержимого запросов
Блокировка запроса
Обработка данных посредством web аррЬыКот bewail
Регистрация информации
Фильтрация информации
Перенаправление запроса
Браузер клиента
Сервер веб-припожения
Система мониторинга безопасности
Рис. 1. Структурная IDEF0 диаграмма процесса обработки данных посредством web application
firewall
Рис. 2. Flowchart процесса обработки входящих запросов посредством web application firewall
168
Рис. 3. UML-диаграмма проверки вредоносного запроса
Факторы, влияющие на определение стоимости активов и ущерба от реализации рисков.
Web application firewall используется для первичной фильтрации трафика между веб-приложением и сетью Интернет. Ключевые цели данной технологии [2]:
- отслеживание и контроль входящего и исходящего трафиков веб-приложения;
- обнаружение и блокирование атак типа SQL-инъекции, XSS (межсайтовый скриптинг), инъекции кода, DDoS-атаки;
- фильтрация трафика на основе правил, установленных администратором;
- отслеживание и регистрация атак и инцидентов безопасности [3];
- предоставление дополнительной защиты для приложений, уязвимых для атак на уровне приложения;
- отслеживание и блокирование попыток доступа к конфиденциальным данным, таким как пароли, кредитные карты, и иной конфиденциальной информации;
- предоставление дополнительной защиты для приложений, работающих в облаке;
- управление доступом к веб-приложению и предотвращение несанкционированного доступа;
- оптимизация производительности веб-приложения путем кэширования и сжатия трафика;
- мониторинг и отчетность для обеспечения соответствия стандартам и требованиям безопасности.
Таким образом, для защиты конфиденциальной информации в компаниях, специализирующихся на разработке и использовании в своей деятельности веб-приложений, рекомендуется использовать Web Application Firewall. Данная технология посредством мониторинга трафика в реальном времени и использования различных правил и политик обеспечит повышенную защищенность таких активов компании как [4]:
- веб-серверы, на которых размещены веб-приложения;
- приложения и их компоненты, такие как базы данных, скрипты, модули и тому подобное;
- данные, передаваемые через веб-приложения, такие как пользовательские данные и конфиденциальная информация;
- различные типы клиентских устройств, которые используют веб-приложения, такие как ПК, планшеты, мобильные телефоны и другие устройства;
- финансовые активы [5].
При анализе рассматриваемой темы были выбраны методы структурного, функционального и инфологического моделирования, а также средства формализованного моделирования алгоритма снижения рисков информационной безопасности типа обхода web application firewall. Кроме того, были определены факторы, которые влияют на стоимость активов и убытков от рисков.
Список литературы
1. Mirza Durakovic., Ola Flygt. Web application and WAF vulnerabilities // Bachelor Degree Project., VT 2017.
2. Adem Tekerek, Cemal Gemci, Omer Faruk Bay. Development of a Hybrid Web Application Firewall to Prevent Web Based Attacks // 2014 IEEE 8th International Conference on Application of Information and Communication Technologies - AICT2014. P 50-54.
3. ГОСТ Р ИСО/МЭК 13335-1-2006. Информационная технология (ИТ). Методы и средства обеспечения безопасности. М., 2006.
4. ГОСТ Р ИСО/МЭК 27001-2006. Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности требования. М., 2006.
5. ГОСТ Р ИСО/МЭК 27005-2010. Информационная технология (ИТ). Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности. М., 2010.
Крылов Илья Дмитриевич, студент, nikplay2000@mail.ru, Россия, Санкт-Петербург, Национальный исследовательский университет ИТМО,
Кича Игорь Владимирович, студент, kicha. goshka@gmail. com, Россия, Санкт-Петербург, Национальный исследовательский университет ИТМО,
Яковлев Дмитрий Павлович, студент, dimok-payk2@mail.ru, Россия, Санкт-Петербург, Национальный исследовательский университет ИТМО,
Беликов Георгий Витальевич, студент, belikvita@mail.ru, Россия, Тула, Тульский государственный университет,
Селищев Валерий Анатольевич, канд. техн. наук, доцент, sel648val@rambler.ru, Россия, Тула, Тульский государственный университет
INFORMATION SECURITY RISK MODELING WEB APPLICATION FIREWALL BYPASS TYPE SECURITY I.D. Krylov, I.V. Kicha, D.P. Yakovlev, G.V.Belikov, V.A. Selishchev
The possibility of computer support for modeling a complex information security system using formal methods is considered.
Key words: information security, web applications, information security risks, damage, modeling
tools.
Krylov Ilya Dmitrievich, student, nikplay2000@mail.ru, Russia, Saint Petersburg, ITMO National Research University,
Kicha Igor Vladimirovich, student, kicha. goshka@gmail. com, Russia, Saint Petersburg, ITMO National Research University,
Yakovlev Dmitry Pavlovich, student, dimok-payk2@mail. ru, Russia, Saint Petersburg, ITMO National Research University,
Georgy Vitalievich Belikov, student, belikvita@mail.ru, Russia, Tula, Tula State University,
Selishev Valeryi Anatolievich, сandidate of technical sciences, docent, sel648val@rambler.ru, Russia, Tula, Tula State University
