О защите веб-приложений
Интернет стал частью всех компаний, но всемирная сеть делает веб-ресурсы уязвимыми для атак разной сложности. Согласно отчету Global State of Cybersecurity, 50% SMB-компаний пострадали от веб-атак в прошлом году. Juniper Research утверждает, что к 2023 году из-за утечки данных будет скомпрометировано 146 миллиардов записей. Число кибератак на системы увеличивается; они становятся изощреннее. Возникают вопросы, кого коснется атака? Как бизнесу защититься от угроз? И какие продукты для защиты приложений на рынке?
Для начала разберем, что собой представляют веб-приложения. Данные программы работают на веб-сервере или с доступом через веб-браузер. Например, банковские приложения, развлекательного характера, приложения по доставке или электронной коммерции. Распространенность приложений, простота реализации и слабая защищенность делает их желаемой целью для злоумышленников.
Безопасность программ касается не только веб-приложений, но также веб-сайтов и веб-сервисов таких, как API. Хакеры ищут уязвимости в коде приложения, проводят атаки для отказа в обслуживании, чтобы добраться до конфиденциальных данных или нарушить работу компании.
Самые распространенные уязвимости
О важности защиты приложений
Атаки на web-приложения крайне распространены. Согласно исследованию Forrester, 39% всех атак разрабатывались для использования уязвимостей в веб-приложениях. Данный вид кибератак остается самым частым типом атак. Ниже представлены основные способы осуществления внешних атак по отчету Forrester за 2021 год:
Источник Forrester Research, «Состояние безопасности приложений, 2021 г.»
Атаки на веб-приложения приводят к серьезным нарушениям в работе сети и влекут за собой крупные убытки, не говоря о проблемах с восстановлением доверия клиентов. О самых громких и «дорогих» утечках данных читайте в нашей статье «Кибер-события прошедшего 2020 года».
Консультанты Cloud Networks проводят аудит уязвимостей приложений и предоставляют отчет по проблемам с веб-безопасностью и советами по их устранению.
Уязвимости веб-приложений
Разберем подробнее, какие виды уязвимостей присутствуют в веб-приложениях. Согласно отчету Snyk «О состоянии безопасности с открытым исходным кодом» 2020 года, наиболее распространены уязвимости межсайтового скриптинга и вредоносные пакеты. Уязвимости приложений обычно возникают из-за манипулирования исходным кодом или получения несанкционированного доступа. Ниже рассмотрены самые популярные атаки на веб-приложения.
SQL-инъекции.
При атаке злоумышленник изменяет SQL-операторы для манипуляции пользовательскими данными. Злоумышленник использует код приложения для доступа или повреждения содержимого базы данных. В случае успеха злоумышленник сможет:
- читать конфиденциальные данные из баз данных (имена, пароли пользователей);
- создавать, изменять или удалять данные, хранящиеся в серверной базе данных;
- внедрять вредоносный контент в уязвимые поля.
Межсайтовый скриптинг (XSS).
Уязвимости XSS нацелены на скрипты, выполняющиеся у клиента, а не на сервере. Злоумышленник выполняет вредоносный сценарий в веб-браузере жертвы. Фактическая атака происходит, когда жертва посещает ресурс, выполняющий вредоносный код. Как правило, используется на форумах, сайтах объявлений и веб-страницах, на которых можно оставлять комментарии.
Отказ в обслуживании (DoS).
При DoS-атаках компьютеры в целевой сети поражают поддельные пакеты информации. Злоумышленники используют неправильно настроенные сетевые устройства. Цель – помешать веб-сайту обслуживать пользователей в обычном режиме. DoS-атаки применяются из-за нехватки критических ресурсов в системе, использования уязвимостей или злоупотребления функциональностью.
Злоумышленники могут нацелиться на веб-сервер, сервер БД или аутентификации. К сожалению, атаки на прикладной уровень крайне легко осуществить.
Подделка межсайтовых запросов (CSRF).
При CSRF-атаке пользователя обманом заставляют выполнить действие. Сторонний веб-сайт отправляет запрос веб-приложению, в котором пользователь аутентифицировался (например, в их банке). После злоумышленник получает доступ к функциям через браузер жертвы. Целями становятся социальные сети, почтовые клиенты, онлайн-банкинг и веб-интерфейсы для сетевых устройств.
Другие виды угроз.
Злоумышленники также создают вредоносные пакеты и маскируют их под легитимные программы. Такие пакеты разрабатываются с целью скрыться от обнаружения некоторых систем, избежать проверки и загрузиться на устройства жертв.
Нарушение в аутентификации и управлении сеансом связаны с проблемами сохранения личности пользователя. Если учетные данные для аутентификации и идентификаторы сеанса не защищены, злоумышленник может захватить активный сеанс и присвоить себе личность пользователя.
При размещении небезопасных ссылок веб-приложение предоставляет ссылку на внутренний объект реализации. Объекты внутренней реализации включают файлы, записи базы данных, каталоги и ключи базы данных. Когда приложение предоставляет ссылку на один из объектов в URL-адресе, хакеры получают доступ к личным данным пользователя.
Предотвращение атак на приложения
Почти все организации частного и государственного сектора имеют веб-сайты или приложения, уязвимые для кибератак:
- только 46% веб-сайтов имеют уязвимости высокого уровня безопасности;
- 69 дней – среднее время обнаружения критических уязвимостей веб-приложений.
Вы должны знать о работе кода на вашем сайте и контролировать данные, чтобы предотвратить утечки и защитить свою базу и пользователей. Следует проводить регулярную оценку безопасности приложений и исправлять обнаруженные уязвимости. Для защиты приложений от атак разработаны различные меры безопасности, включая брандмауэр веб-приложений. Оптимальный подход к безопасности представлен на рисунке:
Для защиты бизнеса от сбоев приложений, блокировки хакерских активностей, мониторинга веб-уязвимостей, предотвращения атак на веб-приложения, необходимы надежные решения. С компанией-интегратором Cloud Networks вы получите комплексную защиту приложений, основанную на разработках мировых и отечественных разработчиков. Мы предлагаем следующие решения:
Системы контроля запуска приложений позволят администратору устанавливать правила для работы программ на клиентских станциях. События генерируются, когда контроль приложений обнаруживает новое / измененное ПО в файловой системе или при попытке его выполнения без разрешения.
Мониторинг активности базы данных включает инструменты для выявления нарушений с минимальным влиянием на производительность пользователей и независимого мониторинга / анализа настроенных действий.
Тип обратного прокси-сервера, который защищает сервер от уязвимостей:
- SQL-инъекций,
- межсайтового скриптинга (XSS),
- обхода авторизации,
- подбора паролей,
- иных угроз.
Специальный агент для отслеживания форм ввода логина и пароля и автоматического ввода данных сотрудника в эту форму. Аутентификация проходит без отображения формы ввода логина и пароля.
При использовании двухфакторной аутентификации, даже если пароль раскрыт, злоумышленник не сможет взломать учетную запись компании. 2FA обеспечивает дополнительную защиту для конфиденциальной информации и данных клиентов от злоумышленников.

Оставьте заявку на получение консультации
Истории успеха
Защита конечных точек в финансовой сфере, «Сибирская угольная энергетическая компания»
Задача:
Требовались технические сервисы для поддержки и защиты конечных точек компании.
Продукт:
Check Point.
Результаты:
Поставлены устройства на все субъекты, а также предоставлены сервис и техническая поддержка по межсетевым экранам на все представительства компании, включая предприятия в Сибири
и Хабаровском крае.
Защита конечных точек в финансовой сфере, «АО «ОТП Банк»
Задача:
Требовалась платформа для администрирования приложений на разных устройствах.
Продукт:
VMware Workspace ONE.
Результаты:
Была установлена аналитическая платформа VMware Workspace ONE на 500 устройствах заказчика для контроля приложений и удобного, безопасного предоставления приложений на любом устройстве.
Защита конечных точек в финансовой сфере, «Cisco»
Задача:
Требовалась защита периметра ИТ-инфраструктуры.
Продукт:
Cisco Firepower.
Результаты:
Был реализован проект в крупнейшем российском энергетическом холдинге по защите периметра сети на основе решений Cisco Firepower. Защищен периметра от сетевых атак, проведена проверка трафика на наличие вредоносного кода
и установлено межсетевое экранирование.
Cloud Networks – обеспечение безопасности и защита данных



Cloud Networks – это компания, предоставляющая услуги в области системной интеграции, облачном консалтинге, автоматизации процессов и бизнес-аналитике.
Основной деятельностью компании является обеспечение информационной безопасности и защита данных, а также внедрение информационных технологий для эффективной работы бизнеса.