В феврале этого года на российском рынке ИБ появился новый сервис защиты веб-приложений МТС RED WAF. Рассказываем о том, как этот сервис совместно с МТС RED Anti-DDoS защищает компании от комплекса атак на веб-ресурсы и в чём польза такого тандема.
- Введение
- Какие веб-приложения атакуют и как
- Как работает сервис защиты веб-приложений от взлома
- Защита высоконагруженных приложений
- Выделенные инсталляции защиты веб-приложений
- Преимущества синергии сервисов Anti-DDoS и WAF
- Выводы
Введение
Объём атак на веб-приложения год от года растёт. По данным компании МТС RED, в 2023 году вредоносные операции против веб-ресурсов составили более 46 % от всех атак на организации, что на 14 % превышает показатели 2022 года. Прежде всего это связано с продолжающейся цифровизацией бизнеса и государственных сервисов: сегодня большую часть товаров и услуг мы получаем посредством заказа через пользовательские приложения — веб- и мобильные. При этом по сравнению со внутренними корпоративными системами атаковать их проще, так как они находятся на фронте взаимодействия организаций с заказчиками в интернете и доступны для всех.
Есть в динамике атак на приложения и геополитические моменты: с февраля 2022 года российские государственные системы и сервисы, объекты КИИ стали наиболее популярной целью для атакующих из-за рубежа. В конце 2023 года центр мониторинга кибербезопасности МТС RED SOC зафиксировал новую волну хактивизма — политически мотивированных атак. Внутри страны злоумышленников стабильно подстёгивают и недобросовестная конкуренция, и стремление извлечь прямую финансовую выгоду, и ряд других «стимулов».
В апреле на Anti-Malware.ru вышел актуальный обзор рынка защиты веб-приложений (WAF), где, помимо прочих, представлен сервис защиты веб-приложений МТС RED.
Какие веб-приложения атакуют и как
Проблема атак на веб-приложения кроется в самой популярности последних у пользователей. Например, сайт для бронирования номеров в небольшом региональном отеле генерирует не выше 10 запросов в секунду, поэтому вряд ли представляет большой интерес для злоумышленников в плане возможной финансовой или информационной выгоды от полученных данных. Сайты ведущих маркетплейсов, естественно, имеют несравнимо большую посещаемость, а в периоды распродаж и праздничных скидок нагрузка на них возрастает колоссально. Поэтому наиболее часто мишенями для атак становятся веб-приложения крупных онлайн-ретейлеров, различные финансовые сервисы, сайты предоставляющие государственные услуги для населения и т. п.
Против популярных приложений реализовывается больший объём атак. В основном это DDoS-атаки, нацеленные на то, чтобы атакуемое приложение стало недоступным для пользователей; они измеряются по мощности или длительности трафика запросов. Не менее распространён среди злоумышленников и взлом веб-приложений через различные уязвимости с целью доступа к базам данных и процессам внутри компании. Эти два вида атак, как правило, комбинируются.
О DDoS-атаках на веб-ресурсы, пожалуй, не слышал только глухой или не читал только слепой. Такие атаки более очевидны, их может почувствовать на себе любой пользователь, когда вдруг становится недоступным привычный сайт для заказа продуктов или покупки одежды. Истории со взломами веб-приложений на слуху в меньшей степени, эту тему пострадавшие компании стараются не афишировать, поскольку ущерб от такой атаки гораздо серьёзнее — например, утечка конфиденциальных данных или доступ ко критически важным бизнес-процессам компании — владельца сайта. Приведём пару примеров таких атак.
Сайт онлайн-ретейлера обращается к базе данных клиентов и уязвим к SQL-инъекции. С помощью специально сформированного запроса злоумышленник может получить доступ в инфраструктуру и скачать всю клиентскую базу компании. Если же, например, сайт уязвим к выполнению команд операционной системы через веб-интерфейс, то в этом случае он может быть использован как площадка для дальнейшего проникновения в инфраструктуру компании: закрепившись на нём, злоумышленник может продвигаться далее, атакуя всё новые узлы сети.
Как работает сервис защиты веб-приложений от взлома
После того как компания принимает решение о подключении к сервису защиты веб-приложений, на DNS-серверах производится смена IP-адресов владельца защищаемых веб-ресурсов на IP-адреса сервис-провайдера защиты. С этого момента IP-адреса провайдера становятся доступными для посетителей защищаемых ресурсов. За счёт применения сигнатурного анализа запросов или использования базы знаний по атакам веб-приложение может быть защищено сразу с момента подключения сервиса.
Для минимизации количества блокировок легитимных запросов (ложных срабатываний) и индивидуализации правил защиты сервис-провайдеру требуется некоторое время для обучения систем; в сервисе МТС RED WAF, например, это занимает порядка двух недель. В этот период специалисты настраивают правила блокировки и разблокировки веб-ресурсов с учётом специфики бизнеса компании и особенностей работы приложений, формируют типичный профиль трафика для этой компании. Через две недели сервис переводят в режим мониторинга и блокировки.
Рисунок 1. Схема работы сервиса МТС RED WAF
Мониторинг и реагирование на инциденты обеспечивает выделенная команда аналитиков в режиме 24×7. При этом у компаний — пользователей сервиса МТС RED WAF есть доступ к статистике по поступающему на сайты трафику: количеству заблокированных и пропущенных запросов к веб-ресурсам, применённым правилам блокировки за требуемый период.
Помимо стандартной блокировки нелегитимных запросов к веб-приложениям, сервис защиты должен учитывать бизнес-логику работы приложения, а именно — его связи и зависимости от других бизнес-систем компании. Если сайт является элементом целой экосистемы различных приложений, то блокировка какой-то части трафика может негативно сказаться на работоспособности других систем. Например, сайт для бронирования билетов будет связан как минимум с механизмом проведения платежей, системой управления программой лояльности и т. п., и все они по цепочке могут дать сбой, если заблокировать часть трафика сайта, влияющего на эту связность. Поэтому в таких случаях правила блокировки тонко настраиваются в зависимости от сценариев работы каждого конкретного владельца веб-ресурса.
В редких случаях компания — владелец веб-приложений хочет самостоятельно анализировать статистику по инцидентам; с этой целью возможно подключение к бизнес-системам компании посредством программного интерфейса (API) для передачи необходимой информации.
Защита высоконагруженных приложений
В целом, защиту приложений с резко возрастающей в пиковые периоды нагрузкой успешно обеспечивают те сервисы, которые могут оперативно масштабироваться пропорционально такому росту. Как правило, они предоставляются владельцами производительных вычислительных ресурсов и высокоскоростных каналов связи.
Представим себе, что выделенные в инфраструктуре сервис-провайдера мощности для защищаемых веб-ресурсов поддерживают 30 тысяч запросов в секунду. При регулярной активности к веб-ресурсам обращено не более 1000 запросов в секунду. Наступает сезон новогодних распродаж, количество запросов резко возрастает, и сервис защиты штатно масштабируется на обработку 10, 20 и выше тысяч запросов в секунду.
Выделенные инсталляции защиты веб-приложений
Иногда крупные компании хотят организовать на базе сервис-провайдера выделенные конкретно под них инсталляции WAF. Такие запросы появляются, когда в компании есть служба ИБ, которая стремится самостоятельно максимально контролировать всё, что так или иначе связано с работой корпоративных ресурсов. В том числе это позволяет специалистам службы наращивать свою экспертизу в различных областях кибербезопасности.
Если говорить о банках и финансовых сервисах, то для них идеальной схемой является использование сервиса защиты веб-ресурсов, при котором они выстраивают в облачной среде сервис-провайдера своё частное облако, размещают в нём свою инфраструктуру под защитой межсетевого экрана для приложений.
В случае с защитой веб-приложений, предоставляемой МТС RED, заказчики могут при желании сразу получить и канал связи МТС с защитой от DDoS-атак, и защиту своих веб-приложений от взлома в любой конфигурации (общей или выделенной инсталляции) с помощью сервиса WAF. Можно и использовать эти сервисы по отдельности. Преимуществом совместного использования Anti-DDoS и WAF в сервисной модели станет экономия на закупке и обслуживании необходимого для такой защиты оборудования по сравнению с использованием этих решений локально (on-premise).
Преимущества синергии сервисов Anti-DDoS и WAF
Сервисы WAF и Anti-DDoS нацелены на решение разных задач, но для надёжной работы веб-приложений сегодня необходимо решать и те и другие. Комплексный сервис от одного поставщика обеспечивает оптимальную стоимость для компании-заказчика, единую службу технической поддержки, единые стандарты качества предоставляемых услуг, единый круг ответственных лиц в части защиты веб-ресурсов организации.
Сейчас распространена практика, когда провайдер интернет-услуг одновременно обеспечивает и защиту от DDoS-атак, однако защита веб-приложений от взлома при этом в такой пакет не входит и поставляется отдельно (и не всеми провайдерами). В то же время у крупных компаний всегда имеются резервные каналы связи от нескольких разных поставщиков. Синергия WAF и Anti-DDoS позволяет получить комплексную услугу от одного сервис-провайдера, даже если он не является единым поставщиком всех каналов связи для компании. В этом случае провайдер берёт компетенции по защите любых каналов на себя. Это удобно, например, если компания использует в качестве поставщика канала небольшого регионального провайдера, который не может обеспечить комплексную защиту и от DDoS-атак, и от взлома веб-приложений.
Выводы
Специалисты МТС RED рекомендуют компаниям выстраивать эшелонированную защиту своих веб-ресурсов, чтобы защитить их от различных векторов атак. Одно из оптимальных решений — комплексный сервис МТС RED для защиты веб-приложений от атак на уровне L7 (атаки через уязвимости приложений, дефейс, взлом), где нужен WAF, и на уровнях L3–L4 (атаки приводящие к недоступности веб-ресурсов), где требуется Anti-DDoS.
