3.2.  Развитие риск-анализа пользователей веб-приложений.

Основным трендом развития технологий безопасности на сегодняшний день является не только попытки сформировать универсальную позитивную модель безопасности для любого пользователя информационной системы, но и корректировать ее в зависимости от того, какие могут быть связаны с конкретным пользователем дополнительные риски. Например, если пользователь веб-приложения пришел из анонимных сетей, или его взаимодействие автоматизировано, или есть информации о наличии вируса на устройстве этого пользователя, то риски использования им защищаемого веб-приложения значительно увеличиваются, и для их уменьшения необходимо динамически влиять на модель безопасности для этого конкретного пользователя, например ограничить ему некоторый критичный функционал веб-приложения ( запретить совершать финансовые операции в интернет-банкинге).

Основной проблематикой выступает развитие методик сбора информации о пользователях веб-приложений. Рассмотрим наиболее популярные методики.

3.2.1  Репутационные базы.

Наиболее распространенная практика, заключающаяся в постоянном распределенном накоплении сведений о IP-адресах и доменных именах, которые были замечены в работе анонимных сетей, публичных проксирующих серверов, командных центров бот сетей и проведении кибер атак. Данный метод сбора информации не предоставляет достаточно сведений о пользователе, его использование сопряжено с постоянными ошибками первого и второго рода. Зачастую количество ошибок, которые совершаются в работе на основе репутационных баз намного больше, чем истинных решений. Это связано, во-первых, с тем, что IP-адрес не может идентифицировать конечного пользователя, а злоумышленники, зная практику наработки репутационных баз, постоянно меняют свою идентификацию в интернете. Однако, перспективы использования данного метода не исчерпаны, если уменьшить время хранения записей в репутационной базе и увеличить скорость распространения информации о “плохих” узлах между экранами веб-приложений, можно получать более актуальные данные о распределенных, целевых атаках, активности бот сетей, и использовать эти сведения в аналитических скоринговых механизмах.

НЕ нашли? Не то? Что вы ищете?

3.2.2  Исследование программного обеспечения пользователя.

Взаимодействие конечного пользователя с веб-приложений происходит с помощью специального программного обеспечения – браузера. Современные браузеры представляют собой сложную экосистему интерпретации декларативных и императивных инструкций от веб-приложения. При разработке веб-приложений зачастую за истину берется тот факт, что взаимодействие будет происходить исключительно через браузер человеком, в такой парадигме разработке упускается возможность автоматизированного взаимодействия через специальные скрипты, которые могут наносить вред информационным системам при атаках на отказ в обслуживании или осуществлении мошеннических операций. Для того, чтобы предотвратить эксплуатацию этого вектора, экран веб-приложений может внедрять в ответы веб-приложений специальный javascript код, который составлен таким образом, чтобы максимально убедиться в том, что осуществляемое взаимодействие с веб-приложением идет действительно через браузер. Простейшие скрипты не выполняют javascript инструкций, поэтому это помогает эффективно заблокировать их взаимодействие с веб-приложением, однако существуют более продвинутые скрипт-фреймворки, наподобие “Phantom JS”, которые умеют симулировать работу браузера, но не в полном объеме, потому что зловредному скрипту важно сохранять свою компактность для быстрого исполнения в любых аппаратных средах.

Происходит “гонка вооружений” между производителями экранов веб-приложений и разработчиками вредоносных скриптов, появляются все более сложные проверки браузерного окружения, и появляются все более умные вредоносные скрипты, умеющие выполнять эти проверки.

3.2.3  Интеллектуальный поведенческий анализ.

Еще один способ собрать информацию о пользователе веб-приложения, это обратить внимание на его метаданные: частота запросов, время ответа, уникальность запросов, геолокация, способ обработки идентификаторов сессий, закономерность переходов по ссылкам, и так далее. Выстраивая динамические статистические модели метаданных относительно всех пользователей, и сравнивая такие модели с показателями каждого отдельного пользователя, можно выявить аномальное поведение и даже классифицировать его. Например, высокая частота запросов с низкой уникальностью может свидетельствовать о проведении этим пользователем атаки на отказ в обслуживании или грубом переборе формы аутентификации. А при высокой уникальности запросов и частоте запросов, активность можно классифицировать как паука, последовательно собирающего все данные с веб-приложения, что может быть нелегитимным сценарием для ряда информационных систем.

Развитие таких технологий для веб-приложений пока находится на самом раннем этапе своего существования, однако перспективы использования их в будущем достаточно высоки.

Заключение

Таким образом, в ходе выполнения дипломной работы была достигнута цель по разработке критериев оценки экрана веб-приложений, итоговый вариант которых представлены в приложении 1.

Кроме того, были описаны основные подходы к защите веб-приложений, проанализированы российские нормативные документы, зарубежные практики выбора экрана веб-приложений, разработаны и обоснованы общие требования к механизмам защиты экрана веб-приложений.

Отдельного внимания заслуживает третья глава данной магистерской диссертации, в которой описываются актуальные проблемы современных экранов веб-приложений, и предлагается их возможное концептуальное решение. Полное решение описанных проблем с разработкой рабочих программных прототипов, может стать темой моей следующей диссертации на базе технической аспирантской школы Высшей Школы Экономики.

Список источников информации

1.  Positive Technologies [Электронный ресурс]: Официальный сайт Positive technologies: — http://www. ptsecurity. ru /;

2.  Авторский блог эксперта по информационной безопасности: [Электронный ресурс]: блог: — https://securitytrace. ru;

3.  Страница проекта Web Application Firewall Evaluation Criteria [Электронный ресурс]: http://projects. webappsec. org/w/page/13246985/Web%20Application%20Firewall%20Evaluation%20Criteria;

4.  Сайт Федеральной Службы по Техническому и Экспертному Контролю ФСТЭК [Электронный ресурс]: http://fstec. ru;

5.  David Gourley, Brian Totty, Marjorie Sayer, Anshu Aggarwal, Sailu Reddy. HTTP: The Definitive Guide. O'Reilly Media, 2002.

Приложение – Критерии оценки экрана веб-приложений.

1.  Архитектура

1.1 Режимы работы

Сниффер

+/-

Мост

+/-

Прозрачный обратный прокси сервер

+/-

Обратный прокси сервер

+/-

Ретроспективный анализ (анализ логов/трафика)

+/-

Агентский (установка на веб-сервер)

+/-

1.2 Обработка SSL/TLS

Терминация SSL

+/-

Пассившое расшифрование SSL

+/-

SSL Шифрование трафика до объекта защиты

+/-

Поддержка ГОСТ SSL

+/-

Поддержка сессий установленных на клиентских сертификатах

+/-

Наличие аппаратных модулей ускоряющих обработку SSL

+/-

1.3 Компоненты, внедрение

Предоставление в виде облачного сервиса

+/-

В виде аппаратного комплекса

+/-

В виде виртуальной машины

+/-

Виртуализация защищаемых хостов

По Host заголовку, По IP адресу, По сокету

Разделение узлов системы на роли (опишите ролевую модель)

Выделенная роль управления/Нету ролей

Предоставлен консольный мастер для базовой конфигурации

+/-

1.4 Блокировка

Реакция при блокировке

Отбрасывание запросов, Прерывание соединения (TCP Reset)

Возможность временной блокировки источника

по IP, по имени пользователя, по сессии

Информативное сообщение для клиента с указанием уникального идентификатора запроса (при блокировке)

+/-

Возможность быстро перевести систему в режим обнаружения или предовтращения

+/-

1.5 Отказоустойчивость

Поддержка выбора fail-over режима для ПАК

+/-

Поддержка Active-Passive кластеризации

+/-

Поддержка Active-Active кластеризации

С внешним, без внешнего балансировщика

Поддержка алгоритмов STA ( В случае поддержки режима мост )

+/-

1.6 Прочие

Поддержка других прикладных протоколов кроме HTTP\S

Перечислить протоколы

Поддержка IPv6

+/-

Поддержка сабинтерфейсов на основе тегов 802.1q

+/-

Поддержка балансировки нагрузки

+/-

2.  Механизмы защиты

2.1 Проверка протокола

Ограничения HTTP данных

Версий протокола HTTP
Типов методов
Допустимых значений Content-type заголовка
Допустимых значений Host заголовка
Длины URI
Длины заголовков
Длины значений заголовков
Длины параметра
Длины значения параметра
Длины запроса
Количества заголовков
Количества параметров

Проверка HTTP данных

Дублирования заголовков
Дублирования параметров
Наличие нелегальных значений и NULL
Правильности кодировки
Парсинга запроса
URL-Декодирование
Поддержка JSON
Определяется медленное клиент-серверное взаимодействие

XML Firewall

Распознавание и орбаботка XML документов
Проверка по WSDL
Проверка по XSD
XSD схема может быть применена для различных URI
В XML документе значения по XPATH могут быть проверены на внешнем LDAP сервере

2.2 Сигнатурный анализ

Возможно создавать пользовательские сигнатуры атак

+/-

Количество поставляемых сигнатур атак

Число

Встроенная база знаний по сигнатурам атак и правилам

+/-

Период обновления сигнатурной базы

Периодичность

2.3 Машинное обучение

Формат эталонной модели

Позитивная
Негативная

Состав эталонной модели

Параметры
Заголовки
Cookies
XPATH/JSON значения

Способ принятия решения о перемещении параметра в модель

время обучения
количество запросов
пороги энтропии элемента

Техника оптимизации модели

Интерфейс ручной корректировки модели
Привлечение “учителя” для машинного обучения Эвристический анализ запросов нарушающих текущую модель, с последующей её оптимизацией

Возможность конфигурирования

максимального времени обучения;
порогов срабатывания;
математических параметров алгоритма обучения.

2.4 Распознавание токенов / защита от инъекций

Инъекции на вывод

HTML, CSS, JS

OS Commanding

Windows, Unix/Linux

SQL-Injection protection

+/-

2.5 Защита идентификаторов сессий

Составление допустимых cookies

+/-

Определяется факт кражи идентификатора сессии

+/-

Значения Cookies шифруются

+/-

Cookies подписываются

+/-

2.6 Защита клиента

Есть возможность внедрения и автоформирования правил Content Security Policy (CSP)

+/-

Внедряется CSRF токен

+/-

Противодейтсвие DOM-based XSS

+/-

Контролируется request и response HTTP-транзакции на предмет однозначного содержания (защита от XSS)

+/-

2.7 Anti DDoS и Anomaly control

Противодействие ботам, клиент проверяется с помощью инжектированного JS на вредоносное ПО (Обнаружение вредоносного ПО у клиентов)

+/-

Определяется аномальное поведение пользователя

+/- (Опишите)

Anti DDoS модуль

+/-

2.8 Интеграция

Репутационные сервисы

Перечислите

Системы противодейтсвия мошеничеству (Fraud Prevention)

Перечислите

Системы контроля БД (DAM/DBF) Web-DB корреляция

Перечислите

Системы управления событиями безопасности (SIEM)

Перечислите успешные интеграции

Сканеры уязвимостей / Анализаторы исходного кода. Virtual Patching

Перечислите

Системы предовтращения утечек информации

Перечислите

Антивирусы

Перечислите

2.9 Прочее

Противодействие автоматизированному сбору инфрмации с защищаемого ресурса (web scraping / web harvesting / web data extraction preventing)

+/-

Противодействие утечкам критичной и системной информации (Response filter)

+/-

Предотвращаются прямые обращения к объекту (Forceful browsing)

+/-

Какие методы отслеживания аутентификации поддерживаются:

HTML Form
Client Side Certificates
Basic Authentication
Digest Authentication

Определение попыток brute force атак

+/-

3.  Журналирование и управление событиями

3.1 Ведение журнала безопасности

Содержание журнальной записи

Класификация события безопасности по типу вредоносной активности;
уровень важности;
HTTP запрос создавший событие;
IP-адрес клиента создавшего событие безопасности. ( c поддержкой Forwarded или X-Forwarded-For);
код ответа на запрос создавший событие;
Логин клиента создавшего событие;
уникальный идентификатор.

Определение перечня журналируемых событий безопасности

+/-

Возможность журналирования всех запросов

+/-

Возможность хранения ответов

+/-

3.2 Корреляция, агрегация, анализ

Автоматическая агрегация событий

(опишите принцип)

Возможность создавать корреляционные правила

+/-

Выявление реальных атак в цепочках событий

+/-

Определение попытки эксплуатации существующей уязвимости с помощью встроенного сканера.

+/-

3.3 Уведомления и оповещения

Уведомления

Уведомление по E-mail;
Уведомление по Syslog TCP;
Уведомление по Syslog UDP
Уведомление по SNMP v2 Trap
Уведомление по SNMP v3 Trap

Возможность пользовательской настройки уровней важности событий

+/-

Возможность шифрования Syslog сообщений

+/-

3.4 Хранение журнальных событий

Заложены ограничения на хранение записей

Описать ограничения

Установка максимального срока хранения записей

+/-

Установка максимального размера журнала

+/-

Возможность установки нескольких политик хранения для различных групп событий безопасности

+/-

Журнальные записи могут быть автоматически экспортированы перед ротацией или удалением

+/-

3.5 Экспорт журнальных записей

Журнальные записи могут быть экспортированы в виде файла

+/- ( по HTTP, FTP, SCP, SMB соединению)

Экспорт журнальных записей может производится по расписанию

+/-

Возможен импорт экспортированных записей.

+/-

Экспортированые логи могут быть защищены паролем

+/-

Экспортированые логи могут быть подписаны цифровой подписью

+/-

3.6 Обработка конфиденциальных данных

Возможность маскирования конфиденциальных данных в жкрнальных записях.

+/-

Маскирование и выявление конфиденциальных данных по названиям параметров

+/-

Маскирование и выявление конфиденциальных данных по шаблонам конфиденциальных данных

+/-

Возможность убрать маскировку в случаях привилигированного доступа.

+/-

4.  Отчетность

4.1 Создание отчетов

Отчеты могут быть сгенерированы по требованию.

+/-

Отчеты могут быть сгенерированы по расписанию

+/-

Какие параметры фильтров при генерации отчетов доступны

Диапозоны даты и времени
Диапозоны IP адресов
Пользователи web-приложения
Типы инцидентов
Другое (укажите)

Как могут быть распространены отчеты?

Электронная почта, FTP, Samba, HTTP

4.2 Содержание отчетов

Какие форматы отчетов доступны

Word
HTML
PDF
XML
CSV

Возможность конфигурирования внешнего вида отчетов

(например, цвет, лого, колонтитулы и т. д.)

Есть возможность управления контентом в отчете.

+/- (опишите)

Отчет содержит настраиваемую инфографику.

+/- (опишите)

Доступны заготовленные форматы шаблонов

Популярные атаки, подозрительные пользователи и др.

5.  Администрирование, обслуживание, сопровождение

5.1 Мониторинг и работа с событиями

Панель мониторинга отображает

Наиболее часто детектируемые IP-адреса в событиях безопасности.
Количество событий безопасности.
Индикация работоспособности системы
Статусы обеспечивающих работу сервисов
Загруженность аппаратной платформы CPU\RAM
Загруженность сети (conn\sec, bit\sec rate)
Загруженность узлов WAF в кластере.
Состояние доступности защищаемых ресурсов.

Записи журнала безопасности отображаюся и могут быть отфильтрованы

+/-

Отдельным параметром записи отображается часть запроса или ответа из-за которого возникло событие безопасности

+/-

Быстрое выделение false-positive событий

+/-

Возможность восстанавливать события отмеченные как false-positive

+/-

Интегрирована справка с пояснением принципов действия сработавшего механизма защиты

+/-

Интегрирована справка с пояснением обнаруженной угрозы

+/-

5.2 Администрирование

Возможно выделить отдельный сетевой адаптар для доступа к интерфейсу управления.

+/-

Существует разделение пользователей интерфейса управления на группы с гранулированным подходом в обеспечении прав доступа.

+/-

Доступ в систему журналируется

+/-

Управление системой задокументировано

+/-

Предусмотрен мастер по настройке, который подберет оптимальную конфигурацию системы для политики безопасности

+/-

Доступны шаблоны политик безопасноти для популярных бизнес-приложений

+/-

Возможно применение различных политик для различных приложений.

+/-

Возможно отключение блокировки для одного или нескольких правил политики безопасности.

+/-

Предусмотрен мастер по работе с событиями помеченными как false-positive в журнале безопасности

+/-

Политика безопасности может быть экспортирована и импортирована.

+/-

Предусмотрен мастер по оптимизации политики безопасности формирующий рекомендации для администратора

+/-

Есть руководтво для администратора безопасности

+/-

 

Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 6