ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ АВТОНОМНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ
«НАЦИОНАЛЬНЫЙ ИССЛЕДОВАТЕЛЬСКИЙ УНИВЕРСИТЕТ
«ВЫСШАЯ ШКОЛА ЭКОНОМИКИ»
Факультет бизнеса и менеджмента
КРИТЕРИИ ОЦЕНКИ ЭКРАНА ВЕБ-ПРИЛОЖЕНИЙ
WEB APPLICATION FIREWALL EVALUATION CRITERIA
Выпускная квалификационная работа - МАГИСТЕРСКАЯ ДИССЕРТАЦИЯ
по направлению подготовки Бизнес-информатика
образовательная программа «Управление информационной безопасностью»
Рецензент к. т.н., доцент | Научный руководитель к. т.н., доцент | |
Москва, 2016
Оглавление
ВВЕДЕНИЕ................................................................................................. 2
ГЛАВА 1. ПОДХОДЫ К РЕШЕНИЮ ЗАДАЧИ ЗАЩИТЫ ВЕБ-ПРИЛОЖЕНИЙ 4
1.1. Организация цикла безопасной разработки и анализ кода............ 4
1.2. Применение экрана веб-приложений............................................... 7
1.3. Комплексный подход к защите веб-приложений.......................... 10
ГЛАВА 2. РАЗРАБОТКА КРИТЕРИЕВ ОЦЕНКИ ЭКРАНА ВЕБ-ПРИЛОЖЕНИЙ 13
2.1.Анализ Российских нормативных документов.............................. 13
2.2.Анализ зарубежных практик.......................................................... 14
2.3.Требования к механизмам защиты экрана веб-приложений......... 16
ГЛАВА 3. РАЗВИТИЕ ЭКРАНОВ ВЕБ-ПРИЛОЖЕНИЙ В БУДУЩЕМ 33
3.1.Объединение процессов безопасной разработки и технологий экранирования 33
3.2.Развитие интеллектуального поведенческого анализа пользователей веб-приложений............................................................................................ 34
Список используемой литературы .......................................................... 39
Приложение . Критерии оценки экранов веб-приложений.............. 40
ВВЕДЕНИЕ
На сегодняшний день можно уверенно говорить о том, что веб-технологии прочно вошли в жизнь любого бизнеса, являясь наиболее удобным способом предоставления информации: коммерческие и государственные структуры весьма активно предоставляют свои услуги, используя публичные и частные сети для всех видов пользователей. Преимущества такого подхода очевидны - улучшаются наиболее критичные показатели бизнес-процессов: производительность, оперативность, доступность, стоимость и т. п.
Но с ростом возможностей веб-приложений происходит и увеличение совокупной стоимости обрабатываемой в системе информации, а также возрастает вероятность эксплуатации уязвимостей в развивающемся функционале прикладного обеспечения. Последние исследования показывают, что веб -приложения наиболее подвержены атакам со стороны хакеров, являясь при этом как самой их целью, так и отправной точкой для целенаправленной атаки на всю сеть предприятия. Такое развитие событий драматически увеличивает риски информационной безопасности.
Для уменьшения рисков использования веб-приложений в организациях используются специальные системы защиты, экраны веб-приложений. Аналогично системам предотвращения вторжений, они обрабатывают данные на входе и выходе от защищаемого сервиса и с помощью сигнатурного, эвристического и интеллектуального анализа предотвращают эксплуатацию уязвимостей.
Однако, внедрение и эксплуатация системы защиты веб-приложений для большинства служб защиты информации на предприятии — это серьезная проблема. Связано это в первую очередь с тем, что до последнего времени проблематика защиты веб-приложений была полностью отдана разработчикам или другим службам информационной поддержки, так как считалось, что никто кроме них не сможет устранить те самые ошибки, которые и приводят к появлению уязвимостей. Такой подход работал, пока организация обслуживала только одно или два веб-приложения и могла закрывать издержки по обеспечению процесса анализа исходного кода, валидации конфигураций, и тестирования для каждого из веб-приложений. Но сегодня большой бизнес обслуживает десятки и даже сотни веб-приложений. При таких обстоятельствах говорить о кропотливой работе с каждым веб-приложением, к сожалению, не приходится. Необходима более масштабируемая мера, которой и является экран веб-приложений, и, как и любое другое инфраструктурное решение по защите информации, оно уже входит в сферу компетенций именно службы защиты информации, которая начинает решать проблему внедрения и обслуживания такой системы с подбора наиболее подходящего решения.
Выбор продукта, это сложная задача, которой и посвящена данная работа, следует учитывать множество факторов, которые могут быть важны как в целом для продукта как инфраструктурного решения, так и специализированные факторы, имеющие ценность в редких и исключительных случаях, но важных с точки зрения защищаемых веб-приложений.
В данной работе разработаны наиболее актуальные критерии экрана веб-приложений, которые смогут стать вспомогательным или основным инструментом при определении технических требований к выбираемому продукту с тем, чтобы выбранное решение максимально подходило для организации, решало поставленные задачи и покрывало наиболее актуальные угрозы.
ГЛАВА 1. ПОДХОДЫ К РЕШЕНИЮ ЗАДАЧИ ЗАЩИТЫ ВЕБ-ПРИЛОЖЕНИЙ
1.1. Организация цикла безопасной разработки и анализ кода
Безопасность приложений как направление с самого его появления и долгое время после была отдана исключительно программистам. Это вполне закономерное делегирование задач, кто как не разработчики смогут исправить те ошибки исходного кода приложений, которые и приводят к появлению уязвимостей. При этом на разработчиков накладывались функции по обеспечению безопасности приложений, как и в процессе непосредственно разработки, так и уже после очередного релизного цикла, когда с помощью ручного или автоматизированного тестирования обнаруживались новые ошибки, приводящие к возможности эксплуатировать уязвимости. Многолетняя практика такого подхода привела к выработке определенных правил разработки и тестирования, которые формализовали эти процессы и позволяли их масштабировать и применять от одной к команде к другой в рамках различных организаций.
Как и положено лучшие практики сформировались в стандарты, которые получили название стандартов для процессов “цикла безопасной разработки”. Давайте подробнее разберем значение каждого во избежание разно трактовок определения, цикл – совокупность явлений, процессов, составляющая кругооборот в течение известного промежутка времени. Безопасный – не угрожающий опасностью, лишенный угрозы. Разработка – процесс создания программного обеспечения. Наиболее признанные в мире информационной безопасности циклы безопасной разработки:
· Microsoft Security Development Lifecycle
· Cisco Secure Development Lifecycle
· PCI Security Standards
· Обеспечение информационной безопасности на стадиях жизненного цикла автоматизированный банковской системы (РС БР ИББС-2.6-2014)
Стандарты так или иначе помогают создать цикл безопасной разработки программного обеспечения, указывают на основные стадии разработки, и меры, которые необходимы применять в контексте каждого этапа с целью уменьшения вероятности возникновения ошибок в разрабатываемом продукте. Так, например, Microsoft Security Development Lifecycle определяет этапы и меры, представленные в таблице 1.
Таблица 1 – Этапы разработки по Microsoft Development Lifecycle
№ | Этап | Меры |
1 | Обучение | · Повышение знаний, умений и общей квалификации сотрудников, задействованных в цикле безопасной разработке · Осведомление о цикле безопасной разработке, передача необходимых знаний о его процессах |
2 | Определение требований | · Определение требований безопасности · Определение требований к качеству · Оценка рисков |
3 | Проектирование | · Архитектурные требование · Анализ ландшафта атак · Моделирование угроз |
4 | Внедрение / разработка | · Использование доверенных средств разработки · Использование практик безопасного программирования · Статический анализ кода |
5 | Верификация | · Динамический анализ · Фаззинг · Проверка векторов атак |
6 | Релиз | · Выработка планов по реагированию на инциденты · Финальный анализ безопасности · Доверенный выпуск |
7 | Реагирование | · Сбор информации и возникающих проблемах, и инцидентах · Выполнение планов реагирования на инцидент |
Вышеупомянутые стандарты в полном своем объеме могут выполнять только организации, которые имеют достаточно ресурсов для переноса части времени разработчиков от функциональной разработки на поддержку процессов безопасной разработке, целесообразность регулирования ресурсов компании таким образом должно определятся риск-ориентированным подходом к информационной безопасности базирующемся на управлении рисками, на основе которых лица принимающие решения смогут сделать выводы о принятии, частичном принятии или не принятии выявленных рисков, выпуска программного обеспечения вне цикла безопасной разработке. Здесь так же важно понимать, что у внедрения цикла безопасной разработки есть альтернатива, в виде установки специальных наложенных средств защиты информации — это так же должно учитываться при принятии решений.
Внедрение цикла безопасной разработке как метода защиты веб-приложений, может столкнутся и с более фундаментальными проблемами. Так, например, в следствии общей информатизации и глобализации, организации перестали разрабатывать программное обеспечение самостоятельно, и обратили внимание на готовые решения, разработанные сторонними компаниями. В данном случае такие компании будут выступать в роли эксплуатанта программного продукта. С учетом того, что угрозы и уязвимости для таких приложений абсолютно идентичны, как и для самостоятельно разрабатываемо продукта, а риски реализации существенно повышаются вследствие тиражированности однотипного программного обеспечения, потеря влияния над разработкой подрывает процессы обеспечения безопасности и приходится прибегать к другим мерам. Либо внедрение доступных, для эксплуатирующей программное обеспечение организации, процессов безопасной разработки, главным образом это процессы, связанные со статическим анализом и динамическим тестированием на безопасность. Либо внедрение специального средства защиты информации – экрана приложений, который подобного системе предотвращения вторжений будет анализировать происходящую коммуникацию с приложением и на основе интеллектуального анализа выявлять попытки эксплуатации уязвимостей.
|
Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 6 |
