Защита веб-приложений

Дата: 24.03.2023. Автор: CISOCLUB. Категории: Главное по информационной безопасности, Статьи по информационной безопасности

Защита веб-приложений является одной из наиболее важных задач при разработке и поддержке веб-сайтов и онлайн-сервисов. Веб-приложения подвергаются множеству угроз, таких как отказы в обслуживании, взломы, кражи данных и другие виды кибератак. Они являются неотъемлемой частью рабочего процесса многих компаний — автоматизированные банковские системы, интернет-магазины, CRM и другое ПО, которым ежедневно пользуются миллионы людей.

Для защиты веб-приложений применяются современные инструменты и средства защиты. Одним из ключевых методов является SSL-шифрование для защиты передаваемых данных. Для предотвращения несанкционированного доступа к приложению рекомендуется использовать многофакторную аутентификацию.

Еще одним важным аспектом защиты веб-приложений является обеспечение безопасности инфраструктуры веб-приложений. Требуется не только обеспечить своевременное обновление ПО и установку патчей для устранения уязвимостей, но и проводить анализ исходного кода и тестирования на проникновения. Обязательным видится использование сложных паролей и шифрование пользовательских данных. Для выявления и предотвращения кибератак на веб-приложения применяются межсетевые экраны уровня приложений (WAF), системы предотвращения DDoS-атак, средства анализа трафика, средства симуляции кибератак, средства мониторинга и реагирования на инциденты, сервисы защиты от ботов, и прочие СЗИ, которые позволяют отслеживать подозрительную активность, и оперативно принимать меры по нейтрализации кибератак.

Редакция CISOCLUB решила поговорить с российскими экспертами на тему защиты веб-приложений. Мы поинтересовались у них, как поменялось это направление рынка в последние годы, какие веб-приложения чаще всего атакуют, какие средства защиты информации должны использоваться, спросили о рациональности использования иностранных средств защиты веб-приложений, а также затронули множество других тем. На наши вопросы ответили:

  • Игорь Тюкачев, руководитель отдела развития бизнеса продуктов ИБ компании Axoft.
  • Никита Черняков, руководитель отдела развития облачных технологий и сервисов компании Axoft.
  • Дмитрий Никонов, Product Owner L7, компания DDoS-Guard.
  • Владимир Иванов, генеральный директор ScanFactory.
  • Максим Яндулов, технический специалист по внедрению продуктов кибербезопасности EdgeЦентр.
  • Даниил Щербаков, руководитель отдела продаж Servicepipe.
  • Максим Головлев, технический директор компании iTPROTECT
  • Андрей Мишуков, директор по развитию компании iTPROTECT.
  • Алексей Миртов, руководитель группы продуктовой архитектуры Security & Compliance в Yandex Cloud.
  • Владимир Зайцев, директор по клиентскому сервису NGENIX.

Как изменился рынок средств защиты веб-приложений за последние 5 лет?

Дмитрий Никонов, Product Owner L7, компания DDoS-Guard: «Очевидно, что рост продуктов по защите веб-приложений на рынке РФ вырос многократно. Если раньше нишу занимали от 3-4 компаний, то сейчас разнообразие предложений по защите многообразно, это связано с большим спросом на такие продукты как со стороны бизнеса, так и со стороны правовых стандартов к таким продуктам и компаниям. Также прослеживается рост качества продуктов по защите и набор инструментов, которые предлагают те или иные вендоры. Мы видим, как бизнес задает планку для таких продуктов, появляются конкретные требования и стандарты. Прослеживается также спрос на модульность и каскадность применения тех или иных фильтров защиты по всей модели OSI. Эта тенденция точно не будет сбавлять обороты, а наоборот набирать их, вендорам нужно постоянно улучшать свои продукты и держать руку на пульсе.

Основные изменения можно свести к следующим пунктам:

  1. Увеличение числа кибератак и угроз безопасности. За последние годы число кибератак на веб-приложения в России значительно выросло. Это привело к увеличению спроса на средства защиты от таких атак.
  2. Развитие технологий и новые требования к безопасности. С развитием технологий и расширением возможностей веб-приложений появилось множество новых уязвимостей, которые могут быть использованы злоумышленниками. Это привело к необходимости постоянного обновления средств защиты и разработки новых технологий.
  3. Увеличение конкуренции на рынке. С ростом спроса на средства защиты веб-приложений на рынок вышло множество новых компаний, предлагающих свои продукты и услуги. Это привело к увеличению конкуренции и снижению цен на некоторые виды средств защиты.
  4. Рост интереса к облачным решениям. В последние годы все больше компаний переходят на облачные решения, что также затрагивает рынок средств защиты веб-приложений. Облачные решения позволяют более эффективно защищать веб-приложения и снижать затраты на обеспечение безопасности.

В целом, рынок средств защиты веб-приложений в России за последние 5 лет стал более разнообразным и конкурентным, а также стал более ориентированным на облачные решения и новые технологии».

Максим Яндулов, технический специалист по внедрению продуктов кибербезопасности EdgeЦентр:

Защита веб-приложений: мнения экспертов про WAF, antiDDoS, antibot
Максим Яндулов, технический специалист по внедрению продуктов кибербезопасности EdgeЦентр

«Сейчас на рынке достаточно много решений по защите от DDoS-атак на всех уровнях модели OSI. В основном это решения от отечественных производителей. При этом злоумышленники постоянно меняют векторы DDoS-атак, поэтому решениям для защиты веб-сервисов нужно не только комплексное масштабирование, но и архитектурные изменения. Также очень важно, чтобы разработчики могли действовать на опережение. Методы, количество, хитрость атак меняются. Мы в EdgeЦентр ежедневно фиксируем десятки уникальных бот-сетей. Чтобы успешно их блокировать, нужно непрерывно обновлять сигнатурные базы защиты», — отметил эксперт.

Владимир Зайцев, директор по клиентскому сервису NGENIX:

Защита веб-приложений: мнения экспертов про WAF, antiDDoS, antibot
Владимир Зайцев, директор по клиентскому сервису NGENIX

«Основные факторы, которые в последние годы определяют вектор развития средств защиты веб-приложений — это изменения в архитектуре веб-приложений, активная миграция в облако и значительный рост интенсивности, сложности и количества кибератак.

Из-за роста скорости разработки у злоумышленников появляется больше способов повлиять на работу веб-ресурса или приложения: растет количество уязвимостей, которые можно эксплуатировать, появляются новые векторы атак, воздействующих на бизнес-логику работы веб-приложения (например, DDoS на систему аутентификации пользователей, парсинг и скраппинг). Целью атак все чаще становятся открытые API.

Таким образом, средства киберзащиты стали необходимы всем, кто в таких условиях хочет сохранить доступность веб-приложения и минимизировать потенциальный ущерб от действий киберпреступников. Рост потребности на рынке и разнообразие сценариев, в которых необходима защита от атак, дали толчок активному развитию сервисов и решений ИБ, а распространение облаков потребовало новых подходов к обеспечению киберзащиты. Информационная безопасность вышла за периметр организации и стала необходима всем без исключения, а дефицит кадров ИБ, требуемых для ее обеспечения, обусловил потребность в новых моделях потребления средств защиты и услуг ИБ (аутстаффинг, MSSP, SECaaS) и появления решений с более низким порогом входа с точки зрения экспертизы».

Даниил Щербаков, руководитель отдела продаж Servicepipe, уверен, что в пятилетней ретроспективе рынок средств защиты веб-приложений изменился кардинально. И в этом контексте нужно рассматривать несколько факторов.

  • «Во-первых, значительно видоизменился ландшафт киберугроз. Атаки стали интеллектуальнее. Их приоритетные цели сейчас — бизнес-логика приложений и базы с учётными и перс. данными пользователей. Выросло число низкочастотных атак и атак с использованием продвинутых ботнетов. Привычными статистическими методами такие атаки уже не заблокировать. Применение рейт-лимитов и блокировки по IP тоже потеряли актуальность, так как источники запросов могут быть распределены по тысячам IP-адресов, с каждого из которых направляется по 1-2 запросам в минуту. Иными словами, меняются векторы угроз — меняются и средства защиты. Кто не готов меняться — теряет клиентов и уступает место другим игрокам на рынке.
  • Вторым фактором стали изменения в сетевых технологиях: стоимость интернет-каналов сильно упала, доступные емкости стали больше, в связи с этим выросли и мощности атак.
  • В-третьих, за минувшую пятилетку на российский рынок вышли новые зарубежные вендоры и разместили на территории РФ собственные узлы фильтрации. Конкуренция побудила российских разработчиков средств защиты к улучшению своих продуктов и запуску новых, на рынке стали появляться новые отечественные игроки и сильные решения.
  • И наконец, новые реалии после февраля 2022, когда за проведением атак встали организованные группы хактивистов, показали, что риск столкнуться с объемными многовекторными атаками есть практически у любой компании, поскольку теперь принцип выбора цели сменился с прагматичного подхода выгода/риск на простой — принадлежность атакуемого ресурса к конкретной стране».

Прямо или косвенно эти факторы сподвигли к модернизации во всех классах решений по защите веб-приложений: WAF, программно-аппаратные комплексы по анализу трафика, anti-DDoS, NGFW и иные продукты».

Максим Головлев, технический директор компании iTPROTECT:

Защита веб-приложений: мнения экспертов про WAF, antiDDoS, antibot
Максим Головлев, технический директор компании iTPROTECT

«В целом надо сказать, что за последние 5 лет рынок средств защиты веб-приложений однозначно вырос. Глобальный рынок Web Application Firewall (WAF) по данным MarketsandMarkets должен будет вырасти до $5,4 млрд в 2023 г., думаю, у российского рынка также большой потенциал.  В частности, на это влияет и рост числа атак на веб-сервисы российских организаций за прошедший год, и уход иностранных вендоров, чьи решения требуют замены.

Также к изменениям за последние 5 лет можно отнести то, что разработчики средств защиты, веб-приложений в том числе, стали больше применять технологии машинного обучения и искусственного интеллекта для выявления и нейтрализации угроз.

Что касается разработки корпоративного ПО, включая внутрикорпоративную разработку, то там также есть подвижки – в жизненный цикл веб-приложений активно вводится процедура безопасной разработки (devsecops). 5 лет назад таких масштабов у этого явления не было. Но это логично, так как с ростом масштабов цифровизации внешних сервисов, веб-приложения становятся все более уязвимыми перед киберугрозами. В качестве защиты речь идет, в частности, про использования средств статического и динамического анализа кода на уязвимости и ошибки, а также применения безопасных методов и практик на этапе формирования архитектуры веб-приложения».

Какие веб-приложения наиболее подвержены кибератакам? Почему?

Владимир Зайцев, директор по клиентскому сервису NGENIX, подчеркнул, что в текущих условиях кибератакам подвержены все типы веб-приложений, даже небольшие сайты. Например, если раньше DDoS-атаки были в основном инструментом конкурентной борьбы крупных игроков, то сегодня деятельность хактивистов и скрипт-кидди может повлиять даже на небольшие веб-ресурсы.

«В 2022 году мы наблюдали кейсы, когда на веб-ресурс со средней легитимной нагрузкой в десятки запросов в секунду неожиданно приходили атаки мощностью в сотни тысяч rps.

Помимо масштабных DDoS-атак, из-за которых страдает доступность веб-ресурса для пользователей, продолжаются атаки, которые направлены на логику работы веб-приложения – они также провоцируют финансовые потери для владельцев веб-ресурсов. От кибератак в большей степени страдают веб-приложения, в логике которых имеются транзакционные операции (покупки, вход в личный кабинет), хранение персональных и платежных данных, витрины и каталоги. Такие веб-приложения подвергаются взломам с целью похищения клиентских данных, бот-атакам с целью парсинга контента, промокодов и бонусов, атакам с целью истощения (DDoS на формы логина или, например, систему двухфакторной аутентификации).

То есть, если сделать мой личный топ основных целей для киберзлоумышленников сегодня, это:

  1. Публичные веб-ресурсы критической значимости / федерального охвата / СМИ.
  2. Веб-приложения сегментов электронной коммерции, тревел-индустрии.
  3. Веб-приложения банков и финансовых организаций».

Максим Головлев, технический директор компании iTPROTECT, заявил, что на это можно смотреть с разных сторон – например, с технической и с позиции потенциальной финансовой выгоды для злоумышленника. С технической точки зрения больше всего подвержены кибератакам оперсорсные и наиболее популярные проприетарные приложения, в которых накопилось много незакрытых уязвимостей, под которые уже есть эксплойты.

«Например, недавно в рамках пентеста мы смогли найти интересный эксплойт под распространенное почтовое веб-приложение, позволяющий в процессе брутфорса понять по отклику от приложения – существует ли та или иная учетная запись или нет. И это довольно критичный момент, учитывая, что приложение иностранное и обновить его сейчас могут далеко не все. Что касается опенсорсных приложений, то на них в принципе могут не выпускаться патчи», — резюмировал техдиректор iTPROTECT.

Даниил Щербаков, руководитель отдела продаж Servicepipe: «Помимо распространённых случаев, хочется акцентировать внимание на API мобильных приложений:

  • С одной стороны, доля мобильного трафика в последние годы непрерывно растет и на конец 2022 года составляет 83%. Запускаются сервисы, в которых не предусмотрена работа пользователя через веб-сайт — только через мобильное приложение. И, конечно, злоумышленники идут вслед за пользователями.
  • С другой стороны, API проще атаковать, а в качестве защиты нельзя использовать привычные для браузерных ресурсов проверки, такие как JS Challenge, CAPTCHA и другие. Этим и пользуются злоумышленники, поэтому очень часто именно API подвержены парсингу, перебору учётных данных, паролей и SMS-бомберам.

Во вторую очередь стоит отметить мобильные приложения с уязвимостями в коде.   Из-за высоких темпов изменений и частоты релизов качество оценки рисков ИБ на этапе разработки снижается. По-прежнему наиболее частыми случаями взломов становятся атаки с помощью эксплуатации уязвимостей».

Максим Яндулов, технический специалист по внедрению продуктов кибербезопасности EdgeЦентр, указал на то, что к каждому веб-приложению, его бэкенду, так или иначе можно подключиться через интернет, а значит, связаться с ним может множество устройств. Поэтому атаке может подвергаться абсолютно любой веб-проект, который не защищен от DDoS-атак как на уровне работы протокола HTTP, так и на уровне сети. Подверженность атакам приложения напрямую зависит от того, как много обращений оно сможет «переварить». И в расчет мы берем не только атаки, но и легитимные всплески нагрузок с учетом специфики сервиса.

Владимир Иванов, генеральный директор ScanFactory

Защита веб-приложений: мнения экспертов про WAF, antiDDoS, antibot
Владимир Иванов, генеральный директор ScanFactory

считает, что веб-приложения — главная точка атаки на компанию. По данным исследования Positive Technologies конца 2022 года, в 100% случаев злоумышленник мог попасть в локальную сеть компании через уязвимости и недостатки конфигурации веб-приложений.

«Риски для бизнеса несут атаки на веб-приложения из двух категорий:

  1. Бизнес-критические веб-приложения (известные с точки зрения ИБ личные кабинеты);
  2. «Теневые» активы (веб-приложения, которые используют сотрудники без контроля со стороны ИБ).

Для безопасности активов из категории 1 существует много традиционных решений: WAF, anti-DDoS, защита от ботов, SAST, DAST, сканеры безопасности, пентесты.

Активы из категории 2 защитить сложнее, так как они публикуются в обход ИБ. Соответственно, обнаруживать и защищать такие веб-приложения нужно по-другому: с помощью инструментов EASM (External Attack Surface Management).

В 2021 году агентство Gartner выделило EASM в отдельную категорию решений, и назвало его трендом №1 на ближайшие 5-10 лет. Решения обнаруживают и сканируют публичные веб-приложения компаний, и непрерывно сканируют их на уязвимости. Такой инструмент позволяет анализировать уровень безопасности компании с точки зрения настоящего злоумышленника», – отметил Максим Яндулов.

Дмитрий Никонов, Product Owner L7, компания DDoS-Guard, подчеркнул, что веб-приложения, которые обрабатывают большое количество конфиденциальной информации, такой как данные о финансах, медицинские записи, личные данные пользователей и т.д., наиболее подвержены кибератакам. Это связано с тем, что злоумышленники могут использовать такую информацию для вымогательства, мошенничества или продажи на черном рынке. Кроме того, веб-приложения, которые используют устаревшие версии программного обеспечения или имеют слабые пароли и уязвимости в коде, также могут быть подвержены кибератакам.

Какие СЗИ необходимы для защиты веб-приложений?

По словам Игоря Тюкачева, руководителя отдела развития бизнеса продуктов ИБ компании Axoft

Защита веб-приложений: мнения экспертов про WAF, antiDDoS, antibot
Игорь Тюкачев, руководитель отдела развития бизнеса продуктов ИБ компании Axoft

необходимый минимум для защиты веб-приложений – WAF и Anti-DDoS. Для защиты базы данных нужно использовать решения класса DAM (database access management)/DBF (database firewall). Также, для того чтобы понимать, какие сервисы компании «выступают наружу» и видны злоумышленникам, нужно использовать решения класса ASM (Attack Surface Management – управление поверхностью атаки) и сканер уязвимостей.

Дмитрий Никонов, Product Owner L7, компания DDoS-Guard:

Защита веб-приложений: мнения экспертов про WAF, antiDDoS, antibot
Дмитрий Никонов, Product Owner L7, компания DDoS-Guard

«Для защиты веб-приложений необходимо использовать комплексный подход, который включает в себя следующие средства защиты:

  1. Веб-приложениям необходимо использовать WAF (Web Application Firewall) — это специальное программное обеспечение, которое анализирует трафик веб-приложения и блокирует попытки атак на него. WAF обнаруживает и блокирует атаки XSS, SQL-инъекции, CSRF и другие уязвимости.
  2. Для защиты от DDoS-атак необходимо использовать специальные сервисы, которые могут обнаруживать и блокировать атаки на приложение. Такие сервисы могут быть как облачными, так и локальными.
  3. Для защиты от ботов необходимо использовать всевозможные инструменты валидации, которые проверяют, является ли пользователь человеком или ботом. Также можно использовать специальные сервисы, которые анализируют поведение пользователей и блокируют нежелательный трафик.
  4. Для защиты от уязвимостей в коде приложения необходимо использовать инструменты статического анализа кода и динамическое тестирование приложения на уязвимости. Также необходимо регулярно обновлять программное обеспечение и применять патчи безопасности.
  5. Для защиты конфиденциальной информации необходимо использовать шифрование данных, хранить пароли в зашифрованном виде и использовать SSL-сертификаты для защиты передачи данных между клиентом и сервером.

В целом, для защиты веб-приложений необходимо использовать комплексный подход, который включает в себя различные средства защиты, а также регулярно обновлять программное обеспечение и применять патчи безопасности».

Максим Яндулов, технический специалист по внедрению продуктов кибербезопасности EdgeЦентр, убеждён, что защита от DDoS-атак требует комплексного подхода, так как атакующие постоянно меняют стратегию и вектор атак. Поведение ботов отличается от реальных пользователей уникальными параметрами при обращении к ресурсу. Ботнет можно масштабировать новыми заражёнными устройствами и легко изменить векторы атак. Этим боты и опасны.

«Наш опыт отражения разнородных атак показывает, что эшелон защиты должен быть выстроен из нескольких модулей: DDoS-защита как база, комплекс защиты от ботов и WAF. Опираясь на большой опыт в отражении сложных атак на разные веб-сервисы, отдел кибербезопасности EdgeЦентр разработал собственный программный продукт — EdgeVector. Это ПО зарегистрировано в Реестре программ для ЭВМ. Позволяет идентифицировать атаку и на основе множества параметров выстроить надежные противомеры в борьбе с ботнетами», — отметил эксперт.

Даниил Щербаков, руководитель отдела продаж Servicepipe: «Для действенной защиты веб-приложений лучше всего придерживаться эшелонированного подхода.

  1. Первым эшелоном должна выступать защита от DDoS на сетевом уровне (L3/L4), направленных на исчерпание ёмкости каналов и производительности сетевой части ИТ-инфраструктуры большим объемом трафика, сетевых пакетов или соединений.
  2. Вторым эшелоном — защита от DDoS-атак прикладного уровня (L7), которая поможет защититься от атак запросами на исчерпание вычислительных мощностей, обеспечивающих работу приложения.
  3. Третьим — защита от ботов и другой нелегитимной автоматизации, в том числе низкочастотной и малозаметной — парсинга, перебора паролей, смс-бомбинга, фейковых заказов, заявок и других атак на бизнес-логику.  Сюда же можно отнести сканирование уязвимостей и их автоматизированное попытки применения, которые так или иначе перманентно присутствуют в трафике веб-приложений в виде постоянного фона ботовых запросов.
  4. В качестве четвёртого эшелона мы рекомендуем использовать WAF, который анализирует содержимое запросов, позволяя защищаться от целевых атак, направленных на взлом, и не дожидаясь исправления на уровне кода защитить приложение от обнаруженной уязвимости.

Необходимо упомянуть, что в среднем доля ботового «мусорного» трафика составляет 20%, поэтому фильтрация ботов закономерно снижает нагрузку на инфраструктуру веб-приложений и позволяет существенно сэкономить на вычислительных мощностях, которые используются для их работы.

Помимо прочего антибот-решения часто служат в качестве offload для вышестоящих решений защиты, включая те же WAF. При использовании антибота количество событий на WAF, требующих разбора, сокращается до минимума благодаря фильтрации, действующей превентивно».

Максим Головлев, технический директор компании iTPROTECT: «Для защиты веб-приложений однозначно нужен комплекс мер в зависимости от его архитектуры, среды функционирования и возможных векторов атак. Поэтому нельзя ограничиваться только защитой доступа к веб-интерфейсу, нужно помнить про безопасность баз данных, веб-серверов и пр.

Поэтому к средствам защиты веб-приложений можно отнести очень большой спектр продуктов – от антивирусов, систем маскирования данных и средств защиты доступа к СУБД, до NGFW, WAF, инструментов статического и динамического анализа кода, сканеров уязвимостей и защищенности веб-приложений, anti-DDoS и пр. Также нужно учесть с чем интегрируется веб-приложение, в некоторых случаях следует предусмотреть еще и защиту API.

Но в первую очередь к средствам защиты относятся Web Application Firewall, которые работают по принципу отслеживания, фильтрации и блокировки поступающих к веб-приложению вредоносных запросов. WAF помогают защититься от угроз из числа OWASP TOP10, включая кросс-сайтовый скриптинг (XSS), SQL-инъекции, загрузку вредоносных XML-объектов, атаки на веб-формы. Современные WAF-системы также содержат в себе модули защиты от ботнетов, в том числе списки ip-адресов центров управления ботнет-сетями, для снижения возможной негативной нагрузки на приложение».

Владимир Зайцев, директор по клиентскому сервису NGENIX, считает, что нет универсального совета, так как ИТ/ИБ команда веб-приложения выбирает спектр средств защиты от кибератак в зависимости от индивидуальных потребностей и особенностей веб-приложения.

«Я могу описать элементы комплексного решения для защиты на различных уровнях:

  • Средства защиты от DDoS на уровне сети (L3/4) — это поможет отсечь волюметрические атаки типа SYN flood.
  • Защищенный DNS. DNS — это единая точка отказа в работе веб-приложения, поэтому DNS-сервис должен быть надежно защищенным от мощных атак, а оптимально – распределенным и резервируемым.
  • Средства защиты от DDoS на уровне приложений – в последние годы атаки усложняются, поднимаясь на уровень приложений (L7), для отражения таких атак необходимо использование систем, обучающихся на различных поведенческих параметрах вредоносного трафика.
  • WAF – для виртуального патчинга уязвимостей, отражения угроз из OWASP Top 10, защиты API.
  • Средства защиты от бот-трафика. На рынке существует ряд вендоров, предлагающих свой собственный рецепт “бот-менеджмента”, каждый подход жизнеспособен в тех или иных условиях, но волшебной таблетки пока нет. Заказчик, по моему мнению, в своем выборе отталкивается от возможностей того или иного продукта в решении наиболее критичной проблемы, которую вызывают боты.

Мы, например, развиваем сервис управления логикой обработки HTTP-запросов на edge-сервере, который позволяет создавать собственные правила для фильтрации запросов от легитимных пользователей и ботов по ряду параметров (принадлежность к определенной ASN или сети ЦОД, Tor/Proxy, версии TLS или HTTP, прохождению js-валидации, TLS-отпечатку и т.п.) и будем дальше работать в этом направлении, разрабатывая новые фичи под реальные сценарии заказчиков».

Как определить какую модель распространения ПО стоит использовать для защиты веб-приложений: On-Premise или Cloud?

Алексей Миртов, руководитель группы продуктовой архитектуры Security & Compliance в Yandex Cloud:

Защита веб-приложений: мнения экспертов про WAF, antiDDoS, antibot
Алексей Миртов, руководитель группы продуктовой архитектуры Security & Compliance в Yandex Cloud

«Облачные средства защиты веб-приложений подходят для обеспечения безопасности инфраструктуры в On-Premise и в публичном облаке. В модели On-Premise облачные средства защиты – WAF или AntiDDoS – позволяют использовать эластичные ресурсы под WAF, которые можно быстро увеличить при росте атак. А тот же облачный AntiDDoS позволит не заниматься защитой от атак на переполнение канала самостоятельно, поскольку она уже включена по умолчанию под капотом поставщика. Облачные средства защиты при использовании On-Premise помогают сэкономить время и деньги на администрирование, место на стойках и их обслуживание, обновление.  Также вы можете оперативно менять тарифные планы без траты времени на оформление процедур закупок.

Недостаток этой модели – необходимость передавать TLS-сертификат провайдеру. Компании не всегда охотно идут на это из-за возможных рисков утечки информации и часто выбирают варианты анализа трафика без расшифровки, которые требуют больше времени для настройки.

Размещение инфраструктуры в облаке делает использование средств облачной защиты выгоднее и позволяет динамически увеличивать производительность ресурсов – виртуальных машин, баз данных, Kubernetes – при возникновении дополнительной нагрузки на конечную систему. Еще одно преимущество – меньше затруднений при оценке рисков, поскольку инфраструктура и TLS-сертификат уже находятся в облаке».

Владимир Зайцев, директор по клиентскому сервису NGENIX: «Определение модели распространения ПО для защиты веб-приложений зависит от ряда факторов, таких как бюджет, состав команды, наличие необходимых для обеспечения ИБ компетенций, регуляторные требования к обеспечению конфиденциальности данных. Поэтому для определения модели поставки ПО для защиты веб-приложений, необходимо провести анализ требований и возможностей компании, а также оценить риски и преимущества каждой модели.

Модель поставки ПО в облаке решает несколько расхожих проблем:

  • Отсутствие экспертизы в ИБ. Не каждая ИТ-команда может позволить себе квалифицированный отдел ИБ. При облачной поставке ПО экспертиза, необходимая для интеграции, управления настройками, лицензиями и т.п. предоставляется провайдером.
  • Необходимость быстро отразить атаку. Когда веб-приложение находится под атакой или существует большой риск ее возникновения, возможность подключить защиту в очень короткое время, воспользовавшись готовым решением и получив необходимые консультации по подключению и настройке, может быть критически важным фактором для сохранения непрерывности бизнеса.
  • Необходимость закупать и поддерживать собственную инфраструктуру. В текущих условиях (дефицит кадров, риски отмены, рост стоимости оборудования) для большинства игроков это самый экономически эффективный вариант.
  • Затраты ресурсов на управление несколькими узкоспециализированными решениями. Облачные провайдеры предлагают множество уже интегрированных между собой сервисов, организованных по принципу единого окна, с единой службой техподдержки».

Даниил Щербаков, руководитель отдела продаж Servicepipe:

Защита веб-приложений: мнения экспертов про WAF, antiDDoS, antibot
Даниил Щербаков, руководитель отдела продаж Servicepipe

«Cloud модели позволяют обработать кратно больше нагрузки за счет географического распределения узлов фильтрации, широких каналов, кластеризации и высокой производительности компонентов внутри специализированных платформ и сетей фильтрации.

Обойтись без Cloud-решений крайне трудно — соревноваться в мощностях с современными ботнетами могут позволить себе только единичные компании, поэтому On-premise модели могут применяться только для отдельных эшелонов фильтрации или в рамках гибридных схем.

При выборе подходящей модели отталкивайтесь от 4 факторов:

Раскрытие SSL-сертификата. Готовы ли вы передавать SSL-сертификат третьей стороне? Если нет, стоит выбрать On-premise или гибридные модели интеграции (это касается WAF, антибот-решений и средств защиты от DDoS прикладного уровня).

Ёмкость используемых интернет-каналов и наличие защиты от сетевых DDoS-атак на них. Если её недостаточно, и они не защищены, внедрение любого on-premise решения в контур окажется неэффективным. Даже небольшая DDoS-атака будет способна забить каналы паразитным трафиком, и локальное решение в этом случае не поможет.

Производительность оборудования, на котором реализовано решение. Если для объема трафика, который требуется обработать на данном эшелоне фильтрации производительности недостаточно, деградация и/или недоступность защищаемого сервиса неминуема. В этом случае так же стоит рассматривать модель Cloud или гибридные инсталляции (Cloud + On-premise).

Эксплуатация. Если ваша команда готова поддерживать и настраивать решения внутри сетевого контура, можете без колебаний выбирать On-premise. Если такой команды нет, лучше склониться к варианту полноценного облачного сервиса с расширенной техподдержкой. В Cloud-инсталляциях все заботы вендор берёт на себя — настройка, поддержка, корректировка правил и т. д.».

Максим Головлев, технический директор компании iTPROTECT, подметил, что здесь каждый должен определить для себя, рассмотрев вопрос с позиции потенциальной выгоды и корпоративной политики в отношении конфиденциальной информации.

«На мой взгляд, если в штате нет собственных специалистов и экспертизы, то дешевле и быстрее подписаться не облачный сервис. Если у вас большое количество веб-сервисов, и достаточно штатных сотрудников для сопровождения, то on-premise.

Если вы находитесь посередине, то есть веб-сервисов много, сотрудников нет или недостаточно, и при этом инфраструктура представляет собой гетерогенную среду, то можно внедрить on-premise решение и услуги по сопровождению от стороннего сервис-провайдера, например, от iTPROTECT».

Максим Яндулов, технический специалист по внедрению продуктов кибербезопасности EdgeЦентр, заявил, что поскольку инфраструктура является частью любого приложения, решение On-Premise может не обеспечить должную надежность, поэтому в первую очередь запросы должны обрабатываться на стороне облачной инфраструктуры защищённого DDoS-провайдера. «Эксперты EdgeЦентр рекомендуют прежде всего защитить канальную часть инфраструктуры любого веб-ресурса».

Дмитрий Никонов, Product Owner L7, компания DDoS-Guard: «Выбор модели распространения программного обеспечения для защиты веб-приложений зависит от ряда факторов, таких как бюджет, размер организации, уровень кибербезопасности, требования к производительности и доступности.

On-Premise модель предполагает установку программного обеспечения на собственные серверы организации. Эта модель может быть более подходящей для организаций, которые имеют высокие требования к безопасности и контролю над данными, а также могут позволить себе выделить достаточное количество ресурсов на поддержку и обновление серверов и программного обеспечения.

Cloud-модель предполагает использование облачных сервисов, которые предоставляют программное обеспечение и инфраструктуру для защиты веб-приложений. Эта модель может быть более подходящей для организаций, которые хотят избежать затрат на инфраструктуру и управление ею, а также иметь гибкость и масштабируемость в использовании ресурсов.

В целом, выбор модели распространения программного обеспечения для защиты веб-приложений должен основываться на конкретных потребностях и возможностях организации».

Никита Черняков, руководитель отдела развития облачных технологий и сервисов компании Axoft:

Защита веб-приложений: мнения экспертов про WAF, antiDDoS, antibot
Никита Черняков, руководитель отдела развития облачных технологий и сервисов компании Axoft

«Сложно дать какой-то универсальный совет. Каждая организация, делая выбор между вариантом размещения WAF в собственной инфраструктуре (как частный случай: размещение виртуальной машины в инфраструктуре Cloud-провайдера (IaaS)) или получая WAF как управляемый сервис (SaaS), должна ответить себе на несколько вопросов. Главный из которых, на мой взгляд – кто берет на себя задачи по внедрению, настройке и администрированию. Если заказчик не обладает большим набором компетенций, ресурсов, персонала для самостоятельного решения вопросов администрирования WAF, предпочтительнее будет получение данного сервиса по модели SaaS (когда все эти вопросы берет на себя провайдер). В обратном случае – когда организация имеет штат опытных сотрудников, которые умеют работать с WAF, – скорее всего, у такой компании будут повышенные требования к гибкости и глубине настроек, и тогда логично использовать on-prem.

Другой важный вопрос – это вопрос корректности сайзинга on-prem-инсталляции. Здесь требуется сохранить баланс между избыточностью, когда выделенные ресурсы будут недостаточно утилизированы, и недостаточностью, когда ресурсов не хватит для поддержания корректной работы WAF в момент пиковых нагрузок. При модели потребления SaaS, как правило, такой проблемы не возникает, так как оплата идет по фактическому использованию.

Третий момент, на который хотелось бы обратить внимание, – скорость внедрения. Cloud WAF имеют более низкий показатель time-to-market в силу того, что для них не требуется закупать оборудование, производить инсталляцию и первоначальную настройку самого WAF и т. д.».

С какими сложностями сталкиваются разработчики, поставщики и потребители услуг при росте количества кибератак на веб-приложения?

Даниил Щербаков, руководитель отдела продаж Servicepipe, уверен, что основная сложность для разработчиков при росте количества кибератак — это торможение новых внедрений и замедление time-to-market. Им приходится заниматься устранением уязвимостей в коде наравне с разработкой нового функционала и развитием продукта. Для поставщиков — это постоянно меняющиеся векторы угроз и сложность кибератак. В некотором смысле идёт «гонка вооружений». Поставщики дорабатывают методы защиты и обновляют сигнатуры, пока злоумышленники придумывают новые способы обхода существующих средств защиты и находят новые уязвимости в популярных библиотеках.

Дмитрий Никонов, Product Owner L7, компания DDoS-Guard: «Разработчики, поставщики и потребители услуг сталкиваются со следующими сложностями при росте количества кибератак на веб-приложения:

  1. Недостаток обученных специалистов по кибербезопасности, которые могут обеспечить безопасность веб-приложений.
  2. Отсутствие стандартных решений и инструментов для защиты веб-приложений, что требует от разработчиков и поставщиков услуг создания собственных решений.
  3. Сложность обеспечения безопасности при использовании сторонних библиотек и фреймворков, которые могут содержать уязвимости.
  4. Необходимость балансировки между безопасностью и удобством использования веб-приложения для пользователей.

Для решения этих проблем разработчики, поставщики и потребители услуг могут использовать следующие подходы:

  1. Обучение персонала по кибербезопасности и привлечение квалифицированных специалистов для защиты веб-приложений.
  2. Использование существующих стандартов и решений для защиты веб-приложений, таких как OWASP Top 10 или WAF, anti-ddos сервисы и т.д.
  3. Регулярное тестирование веб-приложений на уязвимости и обновление используемых библиотек и фреймворков.
  4. Разработка пользовательских интерфейсов, которые обеспечивают безопасность, но не ухудшают удобство использования веб-приложения.

В целом, при росте количества кибератак на веб-приложения разработчики, поставщики и потребители услуг должны использовать комплексный подход для обеспечения безопасности веб-приложений».

Максим Яндулов, технический специалист по внедрению продуктов кибербезопасности EdgeЦентр, заявил, что универсального метода для отражения DDoS-атак не существует, поэтому разработка программных модулей всегда сопровождается постоянными исследованиями и масштабированием вычислительных мощностей. Первостепенно, в фундаменте веб-защиты должна стоять инфраструктура, способная принять огромное количество нелегитимного трафика.

Насколько рационально использовать зарубежные средства для защиты веб-приложений?

Никита Черняков, руководитель отдела развития облачных технологий и сервисов компании Axoft, указал на тот факт, что в текущей ситуации усиливающегося санкционного давления использование любых иностранных решений (в том числе и WAF), особенно в случае SaaS-модели потребления, не кажется мне хорошей идеей, так как нет возможности прогнозировать промежуток времени, в течение которого заказчик сможет продолжать использовать требующийся ему сервис. Отказ иностранного провайдера от обслуживания заказчика приведет к серьёзным проблемам в части информационной безопасности, сделав, фактически, приложение беззащитным.

Дмитрий Никонов, Product Owner L7, компания DDoS-Guard подтвердил, что использование зарубежных средств для защиты веб-приложений может быть рациональным в некоторых случаях. Например, если организация работает с международными клиентами и пользователями, то использование зарубежных сервисов может обеспечить более быстрый и эффективный доступ к веб-приложениям. Кроме того, зарубежные сервисы могут иметь более широкий спектр функций и возможностей для защиты веб-приложений.

«Однако при выборе зарубежных средств для защиты веб-приложений необходимо учитывать ряд факторов, таких как законодательные требования к хранению данных, уровень конфиденциальности информации, а также возможность доступа к данным со стороны зарубежных компаний. Кроме того, использование зарубежных сервисов может повлечь за собой дополнительные затраты на перевод документации, обучение персонала и техническую поддержку.

Таким образом, рациональность использования зарубежных средств для защиты веб-приложений зависит от конкретных потребностей и возможностей организации, а также от соответствия выбранного сервиса законодательным требованиям и уровню безопасности», — отметил Дмитрий Никонов.

Владимир Зайцев, директор по клиентскому сервису NGENIX: «2022 год показал, что даже немыслимые сценарии возможны. Ряд наших заказчиков в 2022 году мигрировали на наши сервисы и инфраструктуру из-за невозможности продлить лицензии и подписки – на это повлиял уход зарубежных вендоров из России, попадание организации в санкционный список, требования регуляторов. Логично, что, если есть прецедент, то есть и вероятность его повторения.

Если доступность и безопасность веб-приложения напрямую влияет на показатели бизнеса или его жизнеспособность, лучше минимизировать риск отмены. Если веб-ресурс или веб-приложение не являются критически важным фактором генерации прибыли – риск можно допустить (в рамках здравого смысла). Оценить затраты на обеспечение более низкой степени риска и потенциальные убытки, возникающие в результате реализации риска, а затем принять оптимальное решение – задача CTO/CISO/CIO и сфера его непосредственной ответственности».

Максим Яндулов, технический специалист по внедрению продуктов кибербезопасности EdgeЦентр, рассказал, что решение Cloudflare устроено по принципу анализа нагрузки запросов на веб-приложение, при котором отклонение от нормали будет триггером для включения теста Тьюринга — капчи. С одной стороны, это позволяет блокировать автоматизированные DDoS-запросы, но в тоже время не даёт полезным ботам попасть на ресурс, а ещё блокирует реальных пользователей. При этом страдает не только прибыль, но и имидж.

Даниил Щербаков, руководитель отдела продаж Servicepipe, уточнил, что текущий период наблюдается тенденция, когда все стремятся по максимуму заменить решения зарубежных вендоров на отечественные, даже если они ещё не ушли с российского рынка. Тут влияет не только риск ухода оставшихся зарубежных вендоров, сколько законодательные инициативы в части импортозамещения.

Максим Головлев, технический директор компании iTPROTECT: «Если мы рассматриваем WAF в формате on-premise, то он продолжит работать в части базовых функций даже после отключения от вендорской поддержки. Но без обновления аналитических баз, например, списков вредоносных доменов, ip-адресов ботнет-сетей и пр, риски неизбежно будут расти.

Следовательно, мы можем пропустить актуальные новые уязвимости. Поэтому самый рациональный шаг – заменить иностранное решение на российское, или внедрить еще один дополнительный WAF, который будет обновляться.

Аналогично с NGFW – он также будет работать в базовом виде, но без обновления системы, сигнатур атак, антивирусных баз, баз категорий URL и Botnet – его эффективность будет крайне мала».

Отечественные СЗИ для защиты веб-приложений уступают по функционалу и производительности зарубежным?

Владимир Зайцев, директор по клиентскому сервису NGENIX: «Рынок ИБ-решений в России выглядит весьма достойно. Отрасль много лет бурно развивалась, есть сильные команды, которые создают очень конкурентоспособные продукты. В каких-то аспектах они даже догнали и превзошли своих зарубежных конкурентов. Мы, например, успешно конкурировали с Cloudflare и Akamai и до 2022 года. Из-за того, что характер рынка у нас более “сервисный”, чем “продуктовый”, российские заказчики, кроме точек присутствия в РФ, всегда высоко ценили качество и оперативность техподдержки, иногда это было ключевым фактором принятия решения.

В то же время российские решения уступают зарубежным по уровню юзабилити и зрелости продукта, иногда они дороже, но игроки, работающий на локальный рынок, не могут инвестировать в развитие продукта столько же, сколько крупный глобальный игрок, который за счет объема инвестиций в R&D может создавать более зрелые продукты, а также предлагать более привлекательные цены благодаря эффекту масштаба. Но требования, которые сегодня предъявляют к продукту заказчики, мигрировавшие с зарубежных решений на российские, без сомнения, мотивируют улучшать продукт и разрабатывать новые фичи, что позитивно влияет на конкурентоспособность российских решений».

Дмитрий Никонов, Product Owner L7, компания DDoS-Guard: «Не всегда можно сказать, что российские средства защиты информации уступают зарубежным по функционалу и производительности. В России также есть компании, разрабатывающие и предоставляющие высококачественные средства для защиты веб-приложений. Однако, как и в случае с зарубежными сервисами, выбор российских средств для защиты веб-приложений должен основываться на конкретных потребностях и требованиях организации.

Кроме того, следует учитывать, что каждый сервис имеет свои особенности и преимущества, и выбор между российскими и зарубежными средствами для защиты веб-приложений должен быть обоснован и основан на анализе конкретных факторов».

Андрей Мишуков, директор по развитию компании iTPROTECT:

Защита веб-приложений: мнения экспертов про WAF, antiDDoS, antibot
Андрей Мишуков, директор по развитию компании iTPROTECT

“Базовая функциональность WAF-систем плюс-минус у всех продуктов одинаковая. В частности, альтернативные СЗИ работают вполне на уровне иностранных, тут можно привести в пример российские PT AF и Solidwall или китайский Sangfor NGAF, который имеет модуль WAF. Различия могут быть в производительности, сервисе технической поддержки, расширенности технической документации, объемах аналитических баз, количестве дополнительных модулей и пр.

Но применимость каждого продукта очень сильно зависит от задачи конкретного заказчика, особенностей работы его веб-приложений и необходимых настроек работы WAF. Даже если заказчику требуется бОльшая производительность по количество проверок в единицу времени, этот нюанс можно решить дополнительными балансировщиками нагрузки, в том числе NGFW».

Даниил Щербаков, руководитель отдела продаж Servicepipe, подчеркнул, что российские СЗИ в условиях ухода зарубежных вендоров получили фору на масштабирование доли рынка. Массированные кибератаки на российские компании послужили лишь катализатором для их эволюции — функционал был хорошо доработан за 2022 год и продолжает совершенствоваться. Поэтому во многом отечественные разработки не уступают зарубежным.

Более того, российские СЗИ сегодня довольно востребованы и конкурентоспособны на зарубежном рынке. Многие разработки стоят в одном ряду с мировыми лидерами и даже начинают теснить их. Чем по большому счёту и отличаются зарубежные средства и вендоры от наших — так это комплексностью защиты и размером продуктов, доступных из одного окна.

Максим Яндулов, технический специалист по внедрению продуктов кибербезопасности EdgeЦентр: «Сейчас отечественные решения развиваются с каждым днем и набирают всё больше преимуществ перед зарубежными. При этом нужно учитывать важный факт, что трафик, который терминируется на прокси-серверах зарубежных представителей рынка, часто уходит за пределы страны. Это может повлечь утечки информации, перехват данных третьими лицами. Решения по защите от DDoS-атак EdgeЦентр расположены на территории РФ и имеют географически распределенную инфраструктуру с соблюдением резервирования и избыточности для бесперебойной работы. Географически распределённые центры очистки позволяют обрабатывать трафик локально, с меньшими задержками. Это отличает наше решение от других (в том числе зарубежных), где трафик может проходить через множество сетевых узлов, расположенных далеко от сервера-источника, что вызывает дополнительные задержки и точки отказа».

По словам Игоря Тюкачева, руководителя отдела развития бизнеса продуктов ИБ компании Axoft, к сожалению, для большинства решений ответ – «да».  И если по функционалу это не так критично, то по производительности – суперважно. Именно производительность – тот самый стоп-фактор, который не позволяет оперативно импортозамещаться крупному бизнесу. Однако в силу того, что сейчас все бюджеты разворачиваются в сторону российских решений, это дает надежду, что российские производители, в свою очередь, будут вкладываться в разработку, и к 2025 году у нас появится возможность безболезненно перейти на отечественные продукты.

По каким критериям сравнивать и выбирать поставщиков услуг/продуктов для защиты веб-приложений?

Игорь Тюкачев, руководитель отдела развития бизнеса продуктов ИБ компании Axoft, выделил несколько критериев:

  • Функционал. Есть два варианта – когда замещают иностранное решение или впервые выбирают WAF. Здесь нужно учитывать, что не весь функционал доступен в российских продуктах. Поэтому важно сформировать для себя перечень функциональных требований, и, если чего-то не хватает, внимательно оценить возможности разработки и roadmap (дорожную карту), чтобы понимать, когда необходимый функционал будет доработан.
  • Производительность, масштабирование и отказоустойчивость: какой максимальный объем трафика может обрабатывать решение, как масштабируется и как при этом обеспечивается отказоустойчивость.
  • Техподдержка: есть ли круглосуточная техподдержка вендора/интегратора, какова скорость реакции и устранения неисправностей (доработка, воркэраунд).
  • Разработка и roadmap – собственная разработка и текущая дорожная карта: как происходит управление продуктом, как добавляется новый функционал в бэклог. Например, если вендор небольшой, за дополнительный функционал вне дорожной карты придется доплачивать. У крупного игрока покупка решения может означать автоматическую доработку продукта под заказчика.
  • Сертификат ФСТЭК России – может быть как последний, так и первый по важности критерий, в зависимости от решаемой задачи. Если есть требования регулятора по WAF, то выбирать придется только среди сертифицированных решений. Это ограничивает список вендоров, а также сдерживает выпуск новых сертифицированных версий.

Никита Черняков, руководитель отдела развития облачных технологий и сервисов компании Axoft: «После того, как многие иностранные поставщики WAF-решений приостановили или существенно сократили свое присутствие на российском рынке, выбор у заказчиков не такой уж и богатый и представлен буквально несколькими решениями.

Выбирая WAF-решение, стоит определиться с тем, кто будет его администрировать (заказчик самостоятельно или провайдер), с вариантом развертывания: on-prem/гибрид/cloud. На мой взгляд, при выборе варианта развертывания необходимо ориентироваться на то, где размещается защищаемое приложение – в локальной инфраструктуре заказчика или в «облаке» провайдера. То есть соблюдать принцип «чем ближе, тем лучше». Нередко встречается вариант, при котором часть приложений развернута на стороне заказчика, а часть – у провайдера. В таком случае логично использовать гибридные архитектуры.

Нужно обратить внимание, насколько зрело само решение, как давно оно представлено на рынке, предлагает ли производитель конкретного решения другие продукты информационной безопасности (WAF же не существует в вакууме), какая у него экспертиза.

Также всегда хороший вариант выбора решения – тестирование, потому что задачи, которые планирует решить заказчик с помощью WAF, разнообразны, и продукты одного производителя могут подходить лучше, чем другого».

Дмитрий Никонов, Product Owner L7, компания DDoS-Guard:

  1. Функциональность: какие функции и возможности предоставляет сервис для защиты веб-приложений, включая механизмы обнаружения и предотвращения атак, контроль доступа, мониторинг и анализ трафика и т.д.
  2. Производительность: как быстро и эффективно работает сервис, какие ресурсы требуются для его использования, какие уровни нагрузки он может выдерживать.
  3. Надежность: насколько надежен и безопасен сервис, какие меры принимаются для защиты данных и системы от взломов и других угроз.
  4. Совместимость: совместимость с другими системами и приложениями, возможность интеграции с существующей инфраструктурой.
  5. Цена: стоимость услуг и продуктов, включая возможность выбора различных тарифных планов и опций.
  6. Техническая поддержка: качество и доступность технической поддержки, возможность получения консультаций и помощи в решении проблем.
  7. Репутация и отзывы: репутация поставщика услуг/продуктов на рынке, отзывы пользователей и экспертов, рекомендации.
  8. Доступность: доступность сервиса для использования в нужное время и месте, возможность удаленного доступа и управления.
  9. Гибкость: возможность настройки и адаптации сервиса под конкретные потребности и требования организации».

Максим Яндулов, технический специалист по внедрению продуктов кибербезопасности EdgeЦентр, заметил, что нужно обращать внимание на ёмкость сети вышестоящих апстримов защищенного провайдера, ёмкость сети фильтрующих модулей. Очень важно географическое расположение серверов поставщика. При выборе нужно учитывать методы анализа и выявления ботов, время реакции на инцидент, а также процент заявленных ложных срабатываний — от этого зависит клиентоориентированность вашего сервиса и репутация бизнеса.

Даниил Щербаков, руководитель отдела продаж Servicepipe: «Сравнивать и выбирать поставщиков продуктов защиты веб-приложений можно по следующим критериям:

  • Скорость срабатывания защиты. У провайдеров и телеком-операторов этот параметр может достигать до 15 минут и больше. Тут важно определить, насколько критична для бизнеса недоступность ресурса, который вы ставите под защиту.
  • Процент false positive — напрямую определяет качество защиты сегодня.
  • Гибкость настроек и кастомизация профилей защиты. Сегодня большую роль играет удобство управления продуктом, в том числе – наличие GUI. Если мы говорим об инструментах фильтрации, это должен быть гибкий расширенный конструктор правил и их комбинаций для тонкой настройки контрмер.
  • Уровень технической поддержки. Она должна быть готова оперативно подключиться к решению нестандартной проблемы. К сожалению, каким бы совершенным ни был продукт защиты, подобные проблемы будут так или иначе преследовать многих игроков российского рынка, а порой — целые сегменты бизнеса.
  • Дополнительные возможности. Функциональность продукта и сценарии использования, которые может предоставить тот или иной поставщик».

Андрей Мишуков, директор по развитию компании iTPROTECT, рекомендовал, в первую очередь нужно исходить из бюджета и выбирать лучшее из того, что доступно в рамках него, а во вторую — пропилотировать доступные продукты под те задачи и требования, которые стоят перед конкретной организацией с учетом особенностей работы ее веб-приложений и инфраструктуры. Только так можно оценить эффективность решения «в деле».

Владимир Зайцев, директор по клиентскому сервису NGENIX: «Исключительно сообразно требованиям и задачам, которые нужно выполнить. Одним из критериев, которые я бы выделил, является профессионализм команды и скорость и качество техподдержки, а также успешные и подтверждаемые другими заказчиками кейсы использования продукта/услуги».

Как оценивать эффективность поставщиков услуг/продуктов для защиты веб-приложений?

Дмитрий Никонов, Product Owner L7, компания DDoS-Guard:

  • Изучение функциональности и возможностей сервиса.
  • Тестирование производительности и скорости работы сервиса.
  • Анализ надежности и безопасности сервиса, включая меры защиты от взломов и других угроз.
  • Оценка совместимости сервиса с существующей инфраструктурой.
  • Сравнение стоимости услуг и продуктов разных поставщиков, а также выбор наиболее подходящего тарифного плана.
  • Проверка качества технической поддержки и доступности консультаций и помощи в решении проблем.
  • Изучение репутации поставщика услуг/продуктов на рынке, отзывов пользователей и экспертов.
  • Оценка доступности сервиса для использования в нужное время и месте, а также возможности удаленного доступа и управления.
  • Анализ гибкости сервиса и возможности его настройки под конкретные потребности организации».

Игорь Тюкачев, руководитель отдела развития бизнеса продуктов ИБ компании Axoft: «Во-первых, стоит посчитать TCO (total cost of ownership) – эффективность по затратам. Во-вторых, нужно заказывать пентесты для оценки уязвимости защиты веб-приложений. Оценивая эффективность поставщиков услуг/продуктов, нужно ответить на вопросы:

  • Что влияет на ценовую политику услуг и средств защиты веб-приложений?
  • В каких случаях необходимо наличие специалистов по средствам защиты веб-приложений в штате заказчика?

Когда на стороне заказчика есть критичное веб-приложение, которое необходимо защищать, или недопустима утечка данных, которые есть в веб приложении, – это повод иметь в штате профильного специалиста. Даже в случае с облачным WAF+Anti-DDoS. Мы, как правило, очень часто обсуждаем защиту веб-приложений на этапе эксплуатации, но необходимо также обеспечивать безопасность на всех этапах их разработки».

Владимир Зайцев, директор по клиентскому сервису NGENIX, порекомендовал, что желательно оценивать по результатам тестирования — например, облачные провайдеры предоставляют для этого бесплатный или условно бесплатный период использования. Заказчик должен быть готов подготовить инфраструктуру к интеграции, располагать данными мониторинга, выделить команду или ответственного для определения критериев успеха, взаимодействия с командой провайдера и дальнейшего эффективного проведения тестирования.

Что влияет на ценовую политику услуг и средств защиты веб-приложений?

Даниил Щербаков, руководитель отдела продаж Servicepipe, подметил, что на цены обычно влияют:

  • стандартное месячное количество запросов к веб-приложению;
  • объёмы потребляемого трафика;
  • количество защищаемых ресурсов (доменов).

«Это основные факторы. Далее стоимость варьируется в зависимости от типов интеграций, резервирования, индивидуальных надстроек под клиента и так далее», — уточнил эксперт.

Дмитрий Никонов, Product Owner L7, компания DDoS-Guard: «Ценовая политика услуг и средств защиты веб-приложений зависит от многих факторов, включая:

  1. Уровень сложности и функциональности веб-приложения.
  2. Размер и тип организации, которая использует веб-приложение.
  3. Количество пользователей, которые будут использовать веб-приложение.
  4. Уровень безопасности, который необходим для защиты веб-приложения.
  5. Тип и количество средств защиты, которые будут использоваться для защиты веб-приложения.
  6. Уровень поддержки и обслуживания, который предоставляется поставщиком услуг.
  7. Репутация и опытность поставщика услуг.
  8. Конкурентная ситуация на рынке услуг и средств защиты веб-приложений.
  9. Тарифные планы и возможности выбора дополнительных опций и функций.
  10. Географическое расположение организации и требования к локализации данных».

В каких случаях необходимо наличие специалистов по средствам защиты веб-приложений в штате заказчика?

Дмитрий Никонов, Product Owner, L7 компания DDoS-Guard: «Специалисты по средствам защиты веб-приложений могут быть необходимы в штате заказчика в следующих случаях:

  1. Если организация имеет крупное и сложное веб-приложение, требующее постоянного обновления и мониторинга безопасности.
  2. Если организация работает с конфиденциальными данными, такими как личная информация клиентов или финансовые данные, и требуется высокий уровень защиты.
  3. Если организация имеет большое количество пользователей и необходимо обеспечить высокую доступность и надежность веб-приложения.
  4. Если организация имеет специфические требования к безопасности, например, если приложение работает с критической инфраструктурой или является частью государственных систем.
  5. Если организация не хочет полностью полагаться на сторонних поставщиков услуг и хочет иметь полный контроль над защитой своих данных и веб-приложений».

Даниил Щербаков, руководитель отдела продаж Servicepipe, заявил, что штатные специалисты необходимы. Во-первых, в случае приобретения On-premise решений. Во-вторых, если компания довольно крупная, и каждая минута простоя приносит убытки свыше 500 тысяч рублей и/или репутационный ущерб.

Рекомендации по защите веб-приложений

Игорь Тюкачев, руководитель отдела развития бизнеса продуктов ИБ компании Axoft: «Защиту веб-приложений можно разделить на два параллельных процесса.

Защита на этапе эксплуатации:
– Внедрение WAF+Anti-DDoS. Как вариант – использовать сервис от провайдера.
– Использование сервисов антибот, если не устраивает функционал в WAF.
– Сканер защищенности веб-приложений (сканер уязвимостей), ASM (управление поверхностью атаки) – позволяет увидеть уязвимости как внутри, так и снаружи периметра.
– DAM/DBF. Если злоумышленник «прошел» WAF, его можно отловить и заблокировать на этапе доступа к базе данных. Это касается как внешних, так и внутренних пользователей.
– Маскировка данных – защита конфиденциальных данных от несанкционированного доступа.

Защита на этапе разработки – внедрение практик и инструментов DevSecOps (все этапы и подэтапы до момента ввода в эксплуатацию):
– Анализаторы кода SAST/DAST.
– Анализ Open Source.
– Безопасность контейнеров.
– Настройка встроенных средств безопасности веб-приложений (аутентификации, веб-сервера и т.д.)».

Владимир Зайцев, директор по клиентскому сервису NGENIX: «Из-за разнообразия сценариев невозможно создать типовой список рекомендаций по защите веб-приложений, многое зависит от архитектуры и логики веб-приложения, как и от особенностей угроз, с которыми предстоит бороться. Но есть некоторые вещи, которые можно сделать, чтобы обеспечить базовую защиту веб-приложения и подготовить его к быстрой интеграции с СЗИ:

  • В первую очередь, иметь статистику по работе приложений, чтобы можно было максимально разобраться в особенностях трафика, наблюдать паттерны атак, вести черные и белые списки.
  • Можно разрешать только необходимые HTTP-методы
  • Блокировать все, кроме HTTP/1.1 и HTTP/2.0 (чаще всего используются “плохими ботами”
  • Блокировать известные “плохие” User Agent и Referer, а также устаревшие версии SSL/TLS».

Дмитрий Никонов, Product Owner L7, компания DDoS-Guard:

  1. Используйте сильные пароли и двухфакторную аутентификацию для защиты доступа к веб-приложению.
  2. Регулярно обновляйте веб-приложение и его компоненты, чтобы устранять уязвимости безопасности.
  3. Ограничьте доступ к веб-приложению только необходимым пользователям и ролям.
  4. Используйте шифрование данных для защиты конфиденциальной информации, передаваемой через веб-приложение.
  5. Мониторьте активность пользователей и аудитируйте действия, чтобы обнаруживать подозрительную активность.
  6. Обучайте сотрудников о безопасности веб-приложений и проводите регулярные проверки на соответствие стандартам безопасности.
  7. Используйте средства защиты веб-приложений, такие как файрволлы, системы обнаружения вторжений и системы защиты от DDoS-атак.
  8. Разработайте план реагирования на инциденты безопасности, чтобы быстро реагировать на возможные угрозы.

Даниил Щербаков, руководитель отдела продаж Servicepipe: «В случае использования облачных сервисов защиты не забывайте ограничивать доступ к origin сетями провайдера, который предоставляет вам защиту.

Смотрите в сторону эшелонированной модели защиты своих активов — так вы сможете быть уверены, что всё под контролем.

Помните о том, что волшебной таблетки от всех угроз не существует, но есть средства, которые, как минимум, усложнят злоумышленникам их попытки вам навредить и отсрочат/смягчат последствия от успешно проведённой атаки».

Андрей Мишуков, директор по развитию компании iTPROTECT: «В первую очередь важно помнить, что защита веб-приложений – это комплекс мер и средств защиты. Чтобы предусмотреть всестороннюю минимизацию рисков, нужно исходить из специфики работы и архитектуры конкретных веб приложений.

Кроме того, для эффективной защиты нужно выстроить процесс управления информационной безопасностью веб-приложений и придерживаться необходимых мер для поддержания нужного уровня безопасности. Речь идет про классический подход «plan, do, check, act». Для достижения достаточного уровня безопасности веб-приложений необходимо проводить периодическое сканирование инфраструктуры на уязвимости, проверки политик безопасности в WAF, регулярные пентесты, устанавливать актуальные обновления и пр.

Также нужно помнить, что защита веб-приложений не должна существовать в отрыве от других механизмов кибербезопасности. В частности, если мы внедряем WAF, то стоит предусмотреть интеграцию с рядом систем для комплексной защиты – в частности, с SIEM (для оперативного выявления инцидентов), с песочницей (например, для проверки загружаемых в рамках веб-приложений файлов), с NGFW (для сокращения нагрузки на WAF и отсеивания части запросов, например, по geo ip) и пр.».

Об авторе CISOCLUB

Редакция CISOCLUB. Официальный аккаунт. CISOCLUB - информационный портал и профессиональное сообщество специалистов по информационной безопасности.
Читать все записи автора CISOCLUB

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *