Aplikacje WWW jako główny cel internetowych przestępców
Używając Internetu codziennie korzystamy z dziesiątek aplikacji WWW nawet nie zwracając na ten fakt uwagi. Strony WWW i obsługujące je aplikacje są dzisiaj najczęściej spotykanym sposobem interakcji człowieka z systemem. Wiążą się z tym dwie podstawowe konsekwencje: po pierwsze zawierają one mnóstwo wartościowych danych, a po drugie stanowią główny cel internetowych włamywaczy. Połączenie tych dwóch elementów sprawia, że są one także kluczowym zasobem firmy, który należy odpowiednio zabezpieczyć przed możliwością wystąpienia incydentu.
Z TEGO ARTYKUŁU DOWIESZ SIĘ:
|
Na celowniku włamywaczy
Najnowszy raport firmy Verizon [1], analizujący tysiące incydentów w obszarze bezpieczeństwa i przyczyny ich wystąpienia, nie pozostawia wątpliwości – to aplikacje WWW są najczęstszym wektorem ataku używanym przez włamywaczy. Spośród 2216 odnotowanych w roku 2017 przypadków, gdzie dane trafiły w ręce osób niepowołanych, aż 414, czyli ponad 18%, zaczęło się od przełamania zabezpieczeń aplikacji WWW. Przykładem jednego z nich może być włamanie do amerykańskiej firmy Equifax, w którym wykradziono dane osobowe 145 milionów Amerykanów. Przyczyną był niezałatany przez wiele miesięcy błąd w aplikacji WWW. Z kolei pewna firma z Polski była szantażowana przez włamywacza, który na skutek błędu programistów dostał się do aplikacji WWW, wykradł bazę klientów i groził sprzedaniem jej konkurencji lub opublikowaniem w sieci. W innym przypadku włamywacze co prawda nie zdobyli firmowej bazy danych, lecz na jej serwerach WWW umieścili złośliwe oprogramowanie, które było serwowane osobom chcącym się zapoznać z ofertą firmy. Zagrożenie wykryły systemy bezpieczeństwa Google, które zablokowały na kilka dni możliwość dostępu do firmowej witryny, przez co spadły jej obroty.
Dlaczego zabezpieczenie aplikacji WWW to trudne zadanie
Stworzenie stuprocentowo bezpiecznej aplikacji WWW jest zadaniem praktycznie niemożliwym do wykonania. Autorzy aplikacji popełniają błędy, które mogą odkryć i wykorzystać włamywacze. W procesie budowania aplikacji często wykorzystuje się gotowe moduły, w których także odkrywane są błędy i okazuje się, że moduł, który w momencie tworzenia aplikacji był bezpieczny, trzeba regularnie aktualizować, by ten stan utrzymać. Dodatkowo warto pamiętać, że w sieci działają tysiące włamywaczy, często korzystających ze zautomatyzowanych narzędzi, których jedynym celem jest przełamanie zabezpieczeń udostępnionych aplikacji.
Oprócz przełamywania zabezpieczeń aplikacji istnieją także inne rodzaje niebezpiecznych ataków, takich jak ataki odmowy świadczenia usługi (DDoS) czy siłowego zgadywania danych uwierzytelniających (ang. brute force). Szczególnie te drugie mogą być uciążliwe – przestępcy potrafią używać tysięcy adresów IP, by testować możliwość zalogowania się do konkretnej usługi za pomocą wykradzionych w innych miejscach sieci loginów i haseł. Tego rodzaju ataki, prowadzone przez dobrze przygotowanych napastników, mogą być trudne do zidentyfikowania i powstrzymania.
WAF na ratunek
Narzędziem pomagającym znacząco ograniczyć wyżej opisane problemy jest Web Application Firewall (WAF). WAF działa jako filtr danych przesyłanych do i z serwera aplikacji, wykrywając i blokując potencjalnie niebezpieczne wzorce ruchu. Siłą tego rozwiązania jest jego wszechstronność i uniwersalność. Prawidłowo skonfigurowany WAF może chronić wiele aplikacji naraz zarówno przed atakami już znanymi jak i tymi, które można przewidzieć lub wykryć. Najpopularniejsze rodzaje ataków na aplikacje WWW takie jak SQLi czy XSS może praktycznie wyeliminować poprzez wyszukiwanie w przesyłanych zapytaniach charakterystycznych ciągów znaków. W przypadku ataków nietypowych WAF może znacząco utrudnić zadanie potencjalnym włamywaczom, istotnie ograniczając możliwości zmuszenia serwera do niepożądanych zachowań. WAF pomaga także w wykrywaniu ataków typu brute force analizując ruch, zanim trafi on do docelowej aplikacji. Inną ciekawą funkcją WAFa może być wirtualne usuwanie błędów aplikacji – gdy z różnych powodów zidentyfikowane błędy w aplikacjach nie mogą zostać natychmiast usunięte (np. istnieje konieczność oczekiwania na reakcję dostawcy lub przerwę serwisową), odpowiednie reguły skonfigurowane na WAFie mogą wyeliminować zagrożenie. WAF potrafi także obserwować prawidłowy ruch aplikacji a następnie na podstawie zapamiętanych wzorców wykrywać i blokować anomalie.
Diabeł tkwi w szczegółach
Kluczem do efektywnego działania WAFa jest prawidłowe skonfigurowanie reguł filtrowania ruchu i sprawna ich aktualizacja w przypadku wykrycia nowych zagrożeń. Z tego powodu warto oddać całodobowe zarządzanie tą platformą w ręce profesjonalistów, posiadających odpowiednie doświadczenie oraz skalę działania – takich jak T-Mobile. Inwestycja w zabezpieczenie aplikacji WWW szybko się zwraca – koszt nabycia WAFa jest nieporównywalnie mniejszy niż potencjalne szkody spowodowane wyciekiem informacji lub podmianą firmowej witryny.
[1] https://www.verizonenterprise.com/resources/reports/rp_DBIR_2018_Report_en_xg.pdf
Data publikacji: 02.10.2018