Большинство предприятий в той или иной степени использует веб-технологии, позволяющие создавать приложения, которыми легко могут пользоваться сотрудники, клиенты и партнеры. Однако средства организации сотрудничества, известные как Web 2.0, хотя и способны повысить производительность труда, одновременно увеличивают площадь, доступную для атак злоумышленников.
В докладе о тенденциях развития и рисках, подготовленном группой IBM Internet Security Systems X-Force, сообщается, что 54,9% всех выявленных в 2008-м уязвимостей было обнаружено в веб-приложениях, причем до конца года не были выпущены исправления для 74% выявленных ошибок.
Надо сказать, что группа IBM ISS не просто опубликовала статистические данные, но и предложила всеобъемлющее решение для защиты общедоступных веб-приложений от угрожающих им опасностей. Оно защищает программный код и данные на протяжении всего цикла разработки, тестирования, массового выпуска и обновления. IBM Web Application Protection объединяет несколько превосходных и тесно взаимосвязанных продуктов: IBM Rational AppScan, ISS Proventia Intrusion Protection System, консоль управления безопасностью и модуль SecurityFusion для SiteProtector.
IBM Rational AppScan — это точный многофункциональный инструмент для оценки степени уязвимости веб-приложений, который можно использовать и для обучения сотрудников. Он позволяет получить ценную информацию о каждом выявленном пробеле в системе безопасности, включая видеопрезентации, адреса консультантов, перечень необходимых действий, а также подробные примеры уязвимого кода и возможных успешных атак. Всё вместе это облегчит вам соблюдение мер безопасности в процессе разработки веб-приложений.
Proventia IPS GX5108 представляет собой неоднократно проверенную систему предотвращения вторжений, содержащую готовые правила защиты веб-приложений, которые хорошо зарекомендовали себя во время тестирования в лаборатории eWeek Labs.
Оба эти продукта, объединенные в рамках IBM Proventia Management SiteProtector, предоставляют столь необходимые сведения о состоянии защиты, а также мощные механизмы разработки и развертывания надежных веб-приложений. Я рекомендую тем организациям, которые стремятся защитить свои веб-приложения, повнимательнее присмотреться к этому пакету IBM. Тем из них, кто уже является клиентом IBM, следовало бы дополнить систему SiteProtector модулем SecurityFusion.
Цена Proventia IPS GX5108 составляет (в США) 57 995 долл. Лицензия с фиксированным сроком действия (один год) на AppScan для одного пользователя обойдется в 8700 долл. В эту сумму входит стоимость подписки на ПО и технической поддержки.
IBM Rational AppScan
IBM Rational AppScan позволяет проверять приложения, созданные с применением новейших технологий Web 2.0, в том числе анализировать и запускать приложения, написанные с помощью JavaScript, Adobe Flash, AJAX (Asynchronous JavaScript and XML) и протоколов, связанных с использованием Adobe Flex, — JSON (JavaScript Object Notation), AMF (Action Message Format) и SOAP (Simple Object Access Protocol). Кроме того, IBM Rational AppScan позволяет анализировать сложные системы, созданные на базе сервисно-ориентированной архитектуры (SOA), а также задавать индивидуальные конфигурации и готовить любые отчеты для композитных и управляемых процессами приложений.
Начать работу с Rational AppScan очень легко. Я без труда установил это ПО на своей рабочей станции под управлением Windows Vista 64 и сразу обратил внимание на готовые тестовые шаблоны, предусматривающие обычное, ускоренное и упрощенное (quick-and-light), а также всеобъемлющее тестирование. При этом можно воспользоваться одним из этих шаблонов в качестве исходного или создать собственный сценарий тестирования с нуля.
Я предпочел второй вариант, для чего выбрал в меню пункт New Scan, Web Application Scan (здесь имеется также пункт Web Services Scan) и указал исходный URL. А затем приступил к обучению AppScan работе с нужными мне механизмами аутентификации и распределения полномочий, выбирая различные варианты политики тестирования: “только самые важные компоненты” (“vital few”), “углубленное” (“invasive”) или “полное” (“complete”) тестирование.
Начав с полностью автоматизированной проверки, я наблюдал, как программа обходит мой тестовый сайт, чтобы найти все его страницы и отобразить их в виде дерева в левой колонке интерфейса AppScan. После этого модуль Scan Expert приступил к аудиту, используя большой набор тестов. В центральном окне он вел журнал обнаруженных уязвимостей, упорядочивая их по степени серьезности. Я мог просканировать веб-приложение и увидеть, нет ли в нем вредоносного кода или ссылок на зловредный сайт.
По окончании сканирования я сохранил его результаты и решил копнуть поглубже. Снабженный закладками интерфейс в нижней части окна приложения содержал массу информации, собранной в процессе сканирования. Если просматривать закладки слева направо, они позволяют видеть все более подробную информацию. Здесь имеются общие сведения об эксплойте, описываются широко применяемые способы его использования для взлома программного кода, приводятся адреса консультантов, имеются видеоматериалы для обучения персонала и рекомендации по устранению некоторых ошибок. Кроме того, тут же можно во всех подробностях ознакомиться с использовавшимся во время теста кодом запросов и откликов.
Вся информация, необходимая для диагностики и внесения исправлений, оказалась у меня прямо перед глазами. Она же служит для обучения сотрудников, чтобы предотвратить появление некоторых уязвимостей в будущем. Я имел возможность обозначить отдельные предупреждения как ложные срабатывания и записать обнаруженные дефекты кода для использования в каком-нибудь продукте, позволяющем отслеживать ошибки программирования. Например, в ClearQuest, где они включаются в список задач разработчика и сопровождаются инструкциями по устранению недостатков.
AppScan автоматически готовит великолепные отчеты. Пользователи могут определить их содержание, произвести тонкую настройку и получать отчеты в различных форматах. Больше всего мне понравилась возможность разрабатывать шаблоны отчетов в Microsoft Word, которые AppScan самостоятельно заполняет данными.
IBM Proventia GX5108 представляет собой монтируемое в стойку устройство для предотвращения сетевых вторжений (Intrusion Prevention System, IPS) высотой 2U, которое может иметь восемь адаптеров, работающих со скоростью 10/100/1000 Мбит/с, при любом сочетании портов для медной пары и оптоволокна. GX5108 способно защитить четыре сетевых сегмента в линейном режиме. Устройство оснащено резервными источником питания и накопителями информации. Для обеспечения высокой доступности можно создавать кластеры. Если вы установите одно устройство, то сможете управлять им через веб-интерфейс, обеспечивающий широкие возможности. При использовании нескольких устройств ими можно управлять также с помощью ПО IBM SiteProtector или заключить соглашение об управлении с IBM Managed Security Services.
Защита веб-приложений с помощью IBM Proventia осуществляется с помощью дополнительного набора правил, которым снабжается каждое устройство Proventia, чтобы оно могло выявлять основные источники атак на веб-приложения и сетевую инфраструктуру и противодействовать им. Учитывая широкие возможности данного продукта, я считаю, что его установка и настройка осуществляются поразительно легко. После того как я передал GX5108 под управление SiteProtector, устройство автоматически инсталлировало политики, рекомендованные группой IBM X-Force (которые были обновлены также в автоматическом режиме), и запустило помощник Web Application Protection. Он позволил автоматизировать создание и применение дополнительных политик безопасности для защиты веб-приложений пользователя.
Производительность GX5108 я оценивал с помощью BreakingPoint BPS 1K — инструмента для создания сетевой нагрузки, который известен своей способностью всесторонне и точно определять производительность обеспечивающих безопасность устройств, таких как брандмауэры, IPS и специальные коммутаторы. После настройки на использование примерно 3 тыс. правил IPS продукт IBM с легкостью превзошел паспортную скорость в 1,2 Гбит/с и продемонстрировал максимальную общую пропускную способность в 1,6 Гбит/с при максимальном количестве TCP-соединений на уровне 2,3 млн. Даже при полномасштабной атаке с помощью синхронной лавины пакетов устройство GX5108 обрабатывало легитимный трафик со скоростью от 500 до 600 Мбит/с. Затем я воспользовался наиболее мощным пакетом BreakingPoint (54158), чтобы оценить способность GX5108 к блокировке атак. Устройство заблокировало 131 атаку из 136 характерных для веб-приложений.
Proventia Management SiteProtector
IBM Proventia Management SiteProtector — это ПО IBM для управления инфраструктурой безопасности. Центральная консоль используется для мониторинга, снятия показаний и управления программами-агентами, установленными на обеспечивающих защиту устройствах, серверах и рабочих станциях. Управляемые устройства очень легко свести в группы и назначить политику, руководствуясь типом и серьезностью события, а также тем, какую группу аппаратуры оно затрагивает.
Как и в случае с Rational AppScan, здесь имеются прекрасные средства подготовки отчетов.
Входящий в состав SiteProtector модуль SecurityFusion предназначен как раз для составления отчетов на основе данных, предоставляемых различными решениями. Этот бесплатный дополнительный компонент SiteProtector обычно запускается на отдельном сервере и устанавливает корреляцию между выявленными с помощью Rational AppScan уязвимостями и обнаруженными благодаря Proventia IPS GX5108 вторжениями в сеть.
Используя графический интерфейс продукта, я сформулировал политики, в которых указал, какие IP-адреса подлежат мониторингу и каким приоритетом пользуются те или иные события. Приоритетность играет важнейшую роль при разработке общего плана действий по защите веб-приложений. Например, устранение уязвимостей пассивных служб может подождать, а уже известные, активно используемые при атаках слабые места систем, обращенных вовне, требуют немедленной реакции.
Платформы такого уровня, предназначенные для управления безопасностью, должны обладать встроенными механизмами, позволяющими гарантировать и документально подтвердить их соответствие положениям нормативных актов. Входящие в состав Rational AppScan решения включают более сорока отчетов о соблюдении требований, предъявляемых к защите такими стандартами, как PCI Data Security Standard, ISO 17799, ISO 27001, HIPAA, GLBA и Basel II.
Приобретя SecurityFusion, любая организация получит в свое распоряжение ценный инструмент, с помощью которого сможет проверять степень соответствия защиты самых различных объектов (разрабатываемый программный код, серверная инфраструктура, веб-приложения, сетевой трафик) нормативным актам и составлять необходимые отчеты. Учитывая столь широкую сферу применения, продукт способен обеспечить ИТ-подразделениям редкую возможность — формировать отчеты о соответствии нормативным требованиям любого устройства или фрагмента кода и непосредственно связывать соблюдение этих требований с конкретными действиями, направленными на достижение целей бизнеса.