Компании сейчас все активнее применяют программное обеспечение в виде сервисов (SaaS) и разрабатывают собственные веб-приложения, рассчитывая таким способом воспользоваться многочисленными достоинствами всегда доступного ресурса. Но одновременно с этим, как предупреждают многие эксперты, их безопасность подвергается серьезнейшим угрозам.
Защищенность веб-приложений вызывает немалую озабоченность, считает, например, главный инженер Core Security Technologies Айвен Арс. По его оценкам, большинство предприятий уже доверили Всемирной паутине многие из своих внутренних приложений и почти все присутствие в Интернете. В результате у них образовалась среда, где веб-приложения стали главным техническим компонентом корпоративных бизнес-процессов.
«К сожалению, львиная доля используемых сегодня веб-приложений разрабатывалась без учета требований безопасности, — констатирует Арс. — В результате вот уже долгие годы такие программы страдают из-за ошибок разработки и реализации, становятся излюбленной мишенью хакеров». Проблема усугубляется широким использованием необновленных версий браузеров, что открывает еще одну потенциальную брешь в защите системы.
Расцвет ботнетов
Одной из самых серьезных угроз для корпораций в нынешнем году стало массовое распространение SQL-ботов, приведшее к компрометации сотен тысяч сайтов. Так, по крайней мере, считает Райен Барнетт, директор по безопасности приложений фирмы Breach Security и преподаватель SANS Institute. Создав из таких серверов армию ботнетов, предупреждает он, злоумышленник получает возможность с помощью специального SQL-кода рассылать собственные инструкции, в результате чего любая веб-страница с динамическими данными может стать носителем вредоносного исходника.
Для борьбы со столь специфичной опасностью корпорациям нужно своевременно обновлять код веб-приложений и следить за его целостностью. «Все пользовательские данные необходимо проверять, следя за тем, чтобы они сохраняли исходную размерность и допустимый набор символов, — советует Барнетт. — Все, что выходит за заданные границы, должно безжалостно удаляться».
Хорошие результаты, по его оценке, дает также брандмауэрная защита веб-приложений. Кроме выполнения своей основной функции такой подход помогает выявлять и блокировать потенциальные пути утечки конфиденциальной информации, которые могут возникнуть после компрометации сайта.
На другую исходящую из Интернета угрозу — подключаемые компоненты (плагины) — указывает менеджер IBM Internet Security Systems Холи Стьюарт, отвечающая за отражение угроз в X-Force. «Множество плагинов предлагается сравнительно небольшими компаниями, которые не имеют ни опыта, ни сил регулярно выпускать заплаты для своих программ, — считает она. — И это очень затрудняет защиту систем». Проведя «полевое» исследование эксплойтов, команда этого подразделения обнаружила, что 80% из их общего числа приходится на подключаемые компоненты.
При использовании SaaS компании могут рассчитывать на некоторую защиту от угроз веб-приложениям, однако специалисты советуют ИТ-менеджерам не расслабляться и здесь. «Очень трудно определить, достаточный ли уровень безопасности обеспечивает поставщик сервисов, — поясняет Арс. — Дело в том, что клиенты обычно не имеют возможности проверить и оценить защищенность его продукции и инфраструктуры».
Кроме того, многие провайдеры SaaS почти ничего не сообщают о том, как справляются с различными инцидентами, управляют программными заплатами, разрабатывают приложения. А все это серьезно мешает оценить реальную опасность при переходе на приложения в виде сервисов.
«Когда данные и информационные процессы всех клиентов централизованы у поставщика сервисов, да еще и без четкого их разделения, поставщик вполне может стать привлекательной мишенью для атак как общего характера, так и специально направленных», — уверен Арс.
Защита страхованием
Ослабить опасность со стороны веб-приложений помогает разработка разносторонней политики в области защиты. Некоторые компании предлагают также и страхование данных.
В начале 2008 г. компания Hartford анонсировала страховую программу CyberChoice 2.0, покрывающую возможные убытки из-за утечки конфиденциальных данных. Она, как вспоминает вице-президент подразделения кибернетических и медийных рисков этой страховой компании Дрю Барткевич, вызвала прямо-таки колоссальный интерес. «Любое дорогостоящее достояние, будь то дом или машина, обычно застраховано, — говорит он. — Никто не считает, что им вполне достаточно одной только тревожной сигнализации. Точно так же и средства защиты данных отнюдь не гарантируют полную безопасность».
Однако получить такой страховой полис может далеко не каждая компания. Для этого нужно доказать страховщику, что менеджер ИТ и его команда делают все возможное для защиты своих приложений и данных.
Бурное развитие приложений помогло Барткевичу оценивать типы брешей в системах безопасности компаний самого разного масштаба. В результате страховой киберполис его компании получает лишь около 30% всех обратившихся в нее. «Многие компании просто не подлежат такому страхованию данных, так как не слишком-то стараются защитить их сами, — рассказывает он. — В одной, скажем, не проводится аудит конфиденциальности, сервер другой трижды за последние месяцы взламывался хакером из Восточной Европы, у третьей отсутствует политика конфиденциальности в отношении сотрудников».
Таким образом, критерии CyberChoice могут помочь менеджерам ИТ при составлении всестороннего плана защиты своих ресурсов. Они покажут нужное направление и подскажут, что надо сделать для повышения безопасности.
Полезно также, по мнению Арса, уделить серьезное внимание освоению и развертыванию новейших технологий из области веб-приложений, а также следить, чтобы все проблемы устранялись на самых ранних стадиях разработки. Неотъемлемой частью любой стратегии безопасности, уверен он, должны стать оценка и мониторинг производственных систем.
Барткевич же уверен, что ИТ-менеджеры в конце концов разберутся с рисками веб-приложений и, скорее всего, решатся выйти на этот не вполне безопасный путь. Сегодняшние социальные сети и растущая популярность SaaS, добавляет он, делают мир более открытым, но если не повышать защищенность таких приложений, компании будут все чаще становится мишенью для злоумышленников.
«Когда имеешь дело с веб-приложениями, опасность исходит не только из того, что делает персонал. Компаниям угрожает и то, что могут делать их пользователи, за действия которых они теперь несут небывалую ранее ответственность», — заключил Барткевич.