• Главная
  • Увеличить продажи
  • Плагины
  • Wordpress
  • Реклама
  • Usability
  • Новости
    • <
    • Главная
    Статьи

    Захист даних веб-додатків від внутрішніх загроз

    1. Вступ
    2. Базові заходи підвищення рівня захисту веб-додатків
    3. Аутентифікація користувачів як слабка ланка веб-додатків
    4. менеджмент вразливостей
    5. Принцип роботи спеціалізованої захисту WAF
    6. Ефективні способи захисту інформації в базах даних
    7. висновки

    Компанії все частіше застосовують веб-технології як основу для оптимізації бізнес-процесів за допомогою CRM, ERP і інших систем для роботи з даними. Це має свої переваги, але і додає в інформаційну систему нові загрози. Розглянемо захист даних в веб-додатках, заснованих на трирівневої архітектурі, коли користувач через браузер звертається не безпосередньо до сервера баз даних, а до сервера додатків, від якого вже йде запит даних до сервера баз даних.

    1. Вступ
    2. Базові заходи підвищення рівня захисту веб-додатків
    3. Аутентифікація користувачів як слабка ланка веб-додатків
    4. менеджмент вразливостей
    5. Принцип роботи спеціалізованої захисту WAF
    6. Ефективні способи захисту інформації в базах даних
    7. висновки

    Вступ

    Трирівнева архітектура має велику кількість складових: робочі місця співробітників, сервери додатків, СУБД, бази даних, канали зв'язку. Кожен з цих компонентів є потенційне джерело витоку інформації:

    • перехоплення трафіку до і після сервера веб-додатки;
    • отримання інформації через уразливості веб-додатки;
    • розкрадання інформації співробітниками, які мають легітимний доступ;
    • вивантаження інформації безпосередньо з бази даних.

    Однак впровадження всіх можливих засобів захисту часто не виправдане. Для побудови ефективної і достатньою системи захисту необхідно:

    • провести повний аудит захищається додатки;
    • встановити цінність оброблюваної інформації;
    • скласти матрицю доступу користувачів до даних;
    • побудувати карти всіх модулів програми та їх взаємодії;
    • визначити слабкі місця і найімовірніші точки витоку інформації.

    Малюнок 1. Трирівнева архітектура захисту даних

    Трирівнева архітектура захисту даних

    Базові заходи підвищення рівня захисту веб-додатків

    Перший крок до забезпечення захищеності - правильна настройка всіх компонентів системи, оновлення всього використовуваного програмного забезпечення до актуальних версій, відключення всіх невикористовуваних служб, зміна всіх паролів за замовчуванням, відключення невикористовуваних облікових записів, в тому числі системних. Важливо також забезпечити шифрування даних всіх мережевих з'єднань всередині системи. У разі якщо це дозволяє веб-додаток, необхідно налаштувати розмежування прав доступу користувачів до даних і налаштувань системи, обмеживши їх мінімально необхідними.

    У простих випадках вже тільки перераховані базові заходи дозволять знизити ризики до допустимого рівня. Якщо базових заходів виявиться недостатньо, необхідно звернути увагу на різноманітні спеціалізовані засоби захисту інформації.

    Аутентифікація користувачів як слабка ланка веб-додатків

    Одне з найбільш відомих слабких місць - це аутентифікація користувачів веб-додатки. Наприклад, система при реєстрації користувача не проводить перевірку на складність пароля, або пароль не має терміну дії, або при аутентифікації пароль від браузера передається до сервера в URL query.

    Для усунення подібних проблем існують рішення для посилення аутентифікації в веб-додатку, реалізовані як у вигляді вбудованих модулів, так і у вигляді окремих серверів аутентифікації.

    Вбудована в додаток аутентифікація дозволяє не використовувати зовнішні засоби аутентифікації, однак це не виключає можливі помилки в самому веб-додатку, що дозволяють обійти систему аутентифікації. Вирішити цю проблему можна, наприклад, шляхом впровадження процесу менеджменту вразливостей.

    менеджмент вразливостей

    Якщо в компанії використовуються додатки, розроблені на замовлення стороннім підрядником, і вихідний код програм недоступний, співробітникам інформаційної безпеки при прийманні програмного забезпечення має сенс використовувати сканер вразливостей, який працює з веб-додатком за принципом «чорного ящика». При знаходженні критичних вразливостей додаток повертається на доопрацювання розробнику.

    У разі, коли веб-додаток є внутрішньою розробкою компанії, рекомендується вибудовувати процес безпечної розробки програмного забезпечення з використанням аналізаторів вихідного коду, перевіряючи весь розробляється код на відсутність помилок, що призводять до вразливостей. Такий підхід дозволяє виправити помилки в додатку на ранньому етапі і уникнути зайвих витрат. Більшість аналізаторів коду дозволяє проводити як статичний аналіз коду без його виконання, так і динамічний, перевіряючи вже встановлене і запущене застосування. В останньому випадку виникне потреба у вказівках точок входу і велика кількість вхідних даних.

    Поєднання перерахованих методів дозволяє виявляти уразливості до впровадження програм в компанії. У той же час реалізація в компанії процесів верифікації додатків може зажадати значних матеріальних і тимчасових витрат. Іноді просто немає можливості оперативно вносити зміни в уже працює додаток. Якщо цінність даних не дозволяє закрити очі на можливі уразливості, має сенс розглянути можливість використання спеціалізованих засобів захисту веб-додатків - Web Application Firewall (WAF) . Існують як комерційні, так і вільно поширювані системи.

    Принцип роботи спеціалізованої захисту WAF

    Принцип роботи WAF: HTTP-трафік від користувачів до веб-додатки проходить спочатку через WAF або, в залежності від завдань і можливостей, на WAF направити прокуророві копію трафіку. Далі трафік піддається декодуванню і перевірці на наявність атак. Якщо WAF встановлений «в розрив» (проксі, міст), атаки можуть бути заблоковані. У пасивному режимі роботи (копія трафіку) можливі тільки моніторинг і оповіщення про атаки.

    Для виявлення атак можуть використовуватися такі методи, як:

    • сигнатурний аналіз;
    • репутаційні списки;
    • автоматичне навчання;
    • поведінковий аналіз;
    • вручну настроюються правила.

    Крім цього, WAF може мати модулі для динамічного аналізу вразливостей захищаються додатків, віртуального патчінга знайдених вразливостей, управління аутентифікацією користувачів, взаємодії з іншими системами захисту. Все це дозволяє знизити кількість актуальних для веб-додатки загроз.

    Ефективні способи захисту інформації в базах даних

    Небезпека для інформації в веб-додатку представляють і внутрішні порушники - співробітники, які мають доступ до даних для виконання службових обов'язків, адміністратори з прямим доступом до сервера баз даних (в обхід веб-додатки або локально). В цьому випадку для забезпечення безпеки веб-додатків можливо використовувати рішення, що реалізують різний підхід до моніторингу і контролю звернень до баз даних.

    Системи захисту інформації в базах даних можна розділити на три типи:

    1. Системи, що використовують принцип роботи, схожий з WAF, - перехоплення трафіку, але йде немає від користувача до сервера додатків, а від сервера додатків до серверів баз даних. Проводиться декодування протоколів баз даних з подальшим аналізом, використовуючи правила, налаштовані співробітником інформаційної безпеки. Можлива робота в активному (блокирующем) режимі, для цього система встановлюється «в розрив» (проксі, міст), а також в пасивному режимі моніторингу, для цього достатньо подати копію трафіку. Для контролю локальних і прямих мережевих підключень до баз даних використовуються агенти, що встановлюються безпосередньо на сервери баз даних. При використанні таких систем для захисту даних в веб-додатках з триланкової архітектурою може виникнути складність з визначенням користувача, який зробив запит до бази даних: в трафіку, що йде від сервера додатків, всі звернення виробляються від службового облікового запису. Для персоніфікації співробітника передбачена інтеграція з WAF, який аналізує трафік до сервера додатків, або подача копії цього трафіку безпосередньо на систему захисту баз даних. Також в системах розглянутого типу можуть бути реалізовані можливості, побічно підвищують захищеність:
        • сканування на уразливості баз даних;
        • виявлення баз даних;
        • маскування критичної інформації, наприклад номерів кредитних карт (при установці «в розрив»);
        • створення матриці розмежування прав доступу;
        • моніторинг змін, що дозволяє вчасно відстежити несанкціоноване підвищення прав користувача.
    1. У випадках, коли можливість аналізу копії трафіку відсутня або необхідно застосувати маскування і блокування, але встановити систему захисту «в розрив» неможливо, використовуються рішення, засновані на інших принципах перехоплення звернень користувачів до баз даних. Такі рішення використовують в якості точки знімання агент, що встановлюється на захищається сервер додатки і взаємодіє з драйверами, через які веб-додаток передає запити користувачів до баз даних. Так як агент знаходиться на сервері веб-додатки, він обробляє і запити клієнтів з додатком і запити додатки до баз даних, персоніфікуючи запити. Створюючи правила обробки запитів, можна маскувати «на льоту» будь-які поля в відповідях від бази даних, блокувати нелегітимні запити, повністю управляти бізнес-процесом роботи користувача з додатком.
    1. Системи захисту інформації від витоків, засновані на використанні криптографії і дозволяють вибірково шифрувати інформацію, що зберігається в таблицях баз даних. Доступ до інформації надається тільки авторизованим користувачам, з веденням детальних протоколів їх дій. Для підвищення захищеності інформації такі системи можуть додатково реалізовувати механізми суворої двофакторної аутентифікації.

    Використання перерахованих коштів дозволить істотно знизити ризик витоку даних з веб-додатки, а при інцидентах допоможе відшукати необхідну для розслідування інформацію.

    Останній рубіж захисту - правильне зберігання резервних копій баз даних: якщо засоби шифрування при роботі з базою даних не використовуються, необхідно шифрувати її резервні копії.

    висновки

    Вибір засобів захисту веб-додатків є комплексним завданням і не обмежується використанням виключно WAF-рішень. Необхідно виважено оцінювати загрози, актуальні саме для розглянутого веб-додатки, використовувати дані аудиту захищеності веб-додатків, а також враховувати особливості інфраструктури і процесів обробки даних. І, звичайно, важливим для проектування і впровадження розглянутого класу рішень є також залучення професійних команд виконавців.



    Новости
    • Виртуальный хостинг

      Виртуальный хостинг. Возможности сервера распределяются в равной мере между всеми... 
      Читать полностью

    • Редизайн сайта

      Редизайн сайта – это полное либо частичное обновление дизайна существующего сайта.... 
      Читать полностью

    • Консалтинг, услуги контент-менеджера

      Сопровождение любых интернет ресурсов;- Знание HTML и CSS- Поиск и обновление контента;-... 
      Читать полностью

    • Трафик из соцсетей

      Сравнительно дешевый способ по сравнению с поисковым и контекстным видами раскрутки... 
      Читать полностью

    • Поисковая оптимизация

      Поисковая оптимизация (англ. search engine optimization, SEO) — поднятие позиций сайта в результатах... 
      Читать полностью

    Все права защищены © 2013 Think : Студия веб-дизайна
    Разработка, редизайн, реклама и поддержка сайтов в интернет