CC BY
150
ТЕХНИЧЕСКИЕ НАУКИ
ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ СТОРОННИХ КОМПОНЕНТОВ ВЕБ ПРИЛОЖЕНИЙ Яковлев Г.О.1, Батетников И.А.2 Email: Yakovlev663@scientifictext.ru
1Яковлев Георгий Олегович - магистрант;
2Батетников Илья Андреевич - магистрант, кафедра международной информационной безопасности, Московский государственный лингвистический университет, г. Москва
Аннотация: в данной статье исследуются проблемы, с которыми сталкиваются организации, пытаясь обеспечить безопасность веб приложения которые они используют. Данный метод обеспечения безопасности веб ресурсов, поможет организациям взглянуть на используемые веб приложения с другой стороны, учитывая как сами веб приложения, так и дополнительные компоненты необходимые для их бесперебойного функционирования, и зачастую оказывающие решающее влияние на безопасность приложения, и защитится от ранее неизвестных векторов атак. Ключевые слова: веб приложения, уязвимости, информационная безопасность.
SECURING THIRD-PARTY WEB APPLICATION COMPONENTS
Yakovlev G.O.1, Batetnikov I.A.2
1Yakovlev Georgy Olegovich - Master student;
2Batetnikov Ilya Andreevich - Master student, DEPARTMENT OF INTERNATIONAL INFORMATION SECURITY,
MOSCOW STATE LINGUISTIC UNIVERSITY, MOSCOW
Abstract: this article explores the problems that organizations face when trying to ensure the security of the web applications they use. This method of securing web resources will help organizations to look at web applications they use from a different point of view, taking into account both the web applications themselves and the additional components which are necessary for their smooth operation, and often have a decisive impact on the security of the applications, and to protect themselves from previously unknown attack vectors. Keywords: web applications, vulnerabilities, information security.
УДК 004:3
На данный момент, веб-приложения, внедрение которых принимает массовый характер, зачастую являются самым слабым элементом в обеспечении информационной безопасности многих организаций. И очень важно обеспечить их безопасность.
Веб-приложения легко взломать
В последние дни жизнь хакера стала тяжелее. Благодаря различным механизмам обнаружения и защиты от вторжений, разработанным компаниями, занимающимися сетевой безопасностью, проникновение за периметры безопасности и получение несанкционированного доступа к локальной сети организации стало намного более сложной задачей чем раньше.
Сегодня межсетевые экраны, сканеры безопасности и антивирусное программное обеспечение защищают практически все корпоративные сети. В связи с этими мерами безопасности, злоумышленники изучают альтернативные способы взлома инфраструктуры.
К сожалению, злоумышленникам удалось довольно быстро найти новый способ проникновения в корпоративную инфраструктуру, способ о котором ни одной из организаций не было известно раньше - веб-приложения. Веб-приложения по своей природе доступны в Интернете круглосуточно и без выходных. Это обеспечивает злоумышленникам легкий и постоянный доступ к ним и предоставляет практически неограниченное количество попыток взлома.
Хотя внедрение веб-технологий для ведения бизнеса позволило организациям беспрепятственно связываться с поставщиками, клиентами и другими заинтересованными сторонами, оно также пороодило множество ранее неизвестных угроз безопасности. По словам Пита Линдстрома, директора по стратегиям безопасности Hurwitz Group, веб-приложения, которые не проходят регулярный аудит с использованием сканера веб-приложений, являются сегодня наиболее уязвимыми элементами ИТ-инфраструктуры организации.
Что такое веб-приложение?
Веб-приложение - это программа, которая работает на веб-сервере. В отличие от традиционных настольных приложений, которые запускаются внутри операционной системы, веб-приложения доступны практически через любой веб-браузер.
Веб-приложения имеют ряд преимуществ перед настольными приложениями. Поскольку они работают в веб-браузерах, разработчикам не нужно разрабатывать веб-приложения для нескольких платформ. Например, одно приложение, работающее в Chrome, будет работать как в Windows, так и в OS X. Разработчикам не нужно распространять обновления программного обеспечения среди пользователей при обновлении веб-приложения. Обновляя приложение на сервере, все пользователи получают доступ к обновленной версии.
С точки зрения пользователя, веб-приложение может обеспечить более согласованный пользовательский интерфейс на нескольких платформах, поскольку внешний вид зависит от браузера, а не от операционной системы. Кроме того, данные, которые пользователь вводит в веб-приложение, обрабатываются и сохраняются удаленно. Это позволяет получать доступ к одним и тем же данным с нескольких устройств, а не передавать файлы между компьютерными системами в ручную.
Хотя веб-приложения обладают большим количеством преимуществ, они имеют и некоторые недостатки по сравнению с настольными приложениями. Поскольку они не запускаются непосредственно из операционной системы, они имеют ограниченный доступ к системным ресурсам, таким как процессор, память и файловая система. Таким образом, высокопроизводительные программы, такие как программы для обработки видео файлов и другие мультимедийные приложения, обычно работают быстрее, чем веб приложения со схожими функциями. Веб-приложения также полностью зависят от веб-браузера. Например, в случае сбоя вашего браузера вы можете потерять несохраненный прогресс. Кроме того, обновления браузера могут привести к несовместимости с веб-приложениями, что приведет к непредвиденным проблемам.
С точки зрения архитектуры веб-приложение представляет собой трёхуровневую систему. Обычно первый уровень представляет собой веб-браузер, второй -инструмент технологии создания контента, такой как Java-сервлеты или ASP (страницы активных серверов), а третий уровень - базу данных компании.
Веб-браузер отправляет начальный запрос на средний уровень, который, в свою очередь, после обработки запроса, обращается к базе данных для выполнения запрошенной задачи, либо получая информацию из базы данных, либо обновляя ее.
Поскольку веб-приложения находятся на сервере, они могут обновляться и модифицироваться в любое время без необходимости установки программного обеспечения на клиентских компьютерах. Это является основной причинной широкого распространения веб-приложений в современных организациях.
Примеры веб-приложений включают корзины покупок, формы, страницы входа, динамический контент, доски обсуждений и блоги, тикетинг системы.
Современные веб-приложения очень сложны с точки зрения бизнес-функций и технической архитектуры, что значительно увеличивает поверхность атаки, и требует нового подхода к сканированию веб-приложений на уязвимости.
Ограничения при традиционном сканировании веб-приложений
Сканирование веб-приложений традиционно было сосредоточено на обнаружении общих уязвимостей веб-приложений. Это обязательное требование для обнаружения и устранения распространенных уязвимостей, таких как SQL инъекции, cross site scripting, которые описаны в OWASP и CWE. Однако при традиционном сканировании веб-приложений часто упускаются из вида уязвимости компонентов, которые могут быть использованы в реальных атаках.
Сложность веб-приложений колеблется в широких пределах - от одной статической страницы до полноценной транзакционной бизнес-платформы, или порталов государственных служб (к примеру портал mos.ru) содержащие тысячи страниц. Однако даже простое веб-приложение построено с использованием различных сторонних компонентов, таких как веб-серверы, серверы веб-приложений, веб-платформы, языки программирования и библиотеки JavaScript. Большое количество данных компонентов устарело, и содержит различные уязвимости, которые не детектируются стандартными сканерами веб приложений.
Equifax является самой известной атакой за последние два года нацеленной на сторонние компоненты системы. Точкой входа была устаревшая Apache Struts, используемая для удаленного выполнения кода в целевом веб-приложении. Таким образом, уязвимость стороннего компонента была основной проблемой. Системы управления контентом (CMS) также становятся важным вектором веб-атак. За последние несколько лет веб-приложения, использующие устаревшие версии Drupal, очень часто становились целями атак Drupalgeddon (1, 2 и 3). WordPress, используемый примерно 30% всех веб-приложений, также недавно стал мишенью для CVE-2017-1001000, активно эксплуатируемого в 2017 году.
На основании выше изложенных примеров, способность идентифицировать и оценивать эти сторонние компоненты имеет решающее значение для безопасности веб-приложений и должна быть частью комплексного решения для сканирования веб-приложений.
Обнаружение ошибок в конфигурации также является очень важным этапом сканирования веб приложений. К примеру, в случае неправильной конфигурации WordPress со всеми установленными обновлениями безопасности может предоставлять доступ к консоли администрирования без ограничений.
Новый подход для сканирования веб приложений
Оценки безопасности веб-приложений должны охватывать слабые стороны и как самого приложения, так и сторонних компонентов, используемых для создания веб-приложения.
Процесс сканирования должен включать в себя следующие этапы:
• Просмотр и сканирование на наличие уязвимостей скрытых файлов и каталогов;
• Определение всех используемых компонентов и их версий;
• Обнаружение уязвимостей и ошибок в конфигурации веб приложения и его компонентов на основе информации, собранной в ходе предыдущих шагов.
Важно отметить, что данный процесс должен быть практически непрерывным, из-за постоянно растущего количества известных уязвимостей, ведь принимая в расчет ущерб, который может спровоцировать атака через любую уязвимость веб приложения и его компонентов важно обеспечить постоянный анализ, всех возможных уязвимостей.
В заключение, хочется отметить, что удобство и повсеместное использование веб приложений, делает их все более и более критичной частью любой инфраструктуры. Каждая организация, использующая или планирующее внедрение данной технологии,
должна в первую очередь задуматься об обеспечении их безопасности, и рисках, появление которых внедрение данной технологии может спровоцировать.
Список литературы /References
1. Are Your Web Apps Protected Against Component Vulnerabilities? // Защищены ли компоненты используемые в ваших веб приложениях от уязвимостей? [Электронный ресурс]. 2019. URL httрs://www.tenable.com/Ыog/are-your-web-apps-protected-against-component-vulnerabilities/ (дата обращения: 22.04.2019).
2. The importance of web application scanning. // Важность сканирования веб приложений. [Электронный ресурс]. 2019. URL https://www.acunetix.com/websitesecurity/the-importance-of-web-application-scanning/ (дата обращения: 22.04.2019).
СРАВНИТЕЛЬНЫЙ АНАЛИЗ КИБЕРБЕЗОПАСНОСТИ В КОМПАНИИ С ТЕЧЕНИЕМ ВРЕМЕНИ Яковлев Г.О.1, Батетников И.А.2 Email: Yakovlev663@scientifictext.ru
1Яковлев Георгий Олегович - магистрант; 2Батетников Илья Андреевич - магистрант, кафедра международной информационной безопасности, Московский государственный лингвистический университет, г. Москва
Аннотация: в данной статье исследуются проблемы, с которыми сталкиваются организации, пытаясь точно ответить на вопрос «Как нам оценить эффективность информационной безопасности в нашей компании с течением времени?». Используя указанный способ можно узнать, окупаются ли ваши усилия и инвестиции в области защиты информации, эффективность системы информационной безопасности в компании и выявить есть ли развитие у системы обеспечения безопасности в компании или необходимо приложить дополнительные усилия для ее развития и улучшения, соблюдая баланс между эффективностью и экономической составляющей. Ключевые слова: риски, эффективность информационной безопасности, оценка прогресса.
METRICS AND MATURITY: BENCHMARKING YOUR CYBER EXPOSURE OVER TIME
Yakovlev G.O.1, Batetnikov I.A.2
1Yakovlev Georgy Olegovich - Master student;
2Batetnikov Ilya Andreevich - Master student, DEPARTMENT OF INTERNATIONAL INFORMATION SECURITY, MOSCOW STATE LINGUISTIC UNIVERSITY, MOSCOW
Abstract: this article explores the problems that organizations face when trying to accurately answer the question "How do we evaluate the effectiveness of information security in our company over time?". Using this method, you can find out whether your efforts and investments in the field of information protection, the effectiveness of the information security system in the company pay off, and whether the security system in the company has development or if additional efforts are needed to develop and improve it, keeping a balance between efficiency and economic component. Keywords: risks, effectiveness of information security, assessment ofprogress.
