Антон Апряткин, NGENIX: Об угрозах, факторах риска и методах защиты веб-приложений

Об актуальных угрозах для публичных веб-приложений, а также о факторах риска и методах защиты мы поговорили с Антоном Апряткиным, руководителем отдела клиентских решений компании NGENIX.

Почему безопасность веба стала настолько актуальной?

А. А.: Публичный веб — это открытая среда, доступная любому пользователю. Это очень быстрая и динамичная сфера. На рынках, где веб-присутствие важно, очень большая конкуренция: в электронной коммерции, финансовых сервисах, тревел-индустрии. Если ты придумал что-то, что улучшит опыт потребителя или повысит конверсию, и сделал это раньше конкурентов, — ты молодец и отвоевал долю рынка. Главное — быстро выкатить минимальный продукт (MVP) в продуктив. А позже появляются новые векторы атак и приходит осознание того, что приложение надо как-то защищать.

Кроме того, на рынке существует множество различных CMS, ядер, сторонних компонентов, их использует огромное количество веб-приложений. И если, например, в одном из таких компонентов есть незакрытая брешь, то злоумышленник может ходить с одним эксплойтом по всей этой массе уязвимых ресурсов, ломать, дефейсить, сливать данные пользователей и так далее.

Веб-бизнес мыслит прежде всего категориями прибыли. Новые источники прибыли развиваются от внедрения новых технологий (новые пользовательские сценарии, новые плагины, библиотеки, интеграции). А внедрение ИБ — это расход, притом довольно ощутимый. Только столкнувшись с проблемой, люди осознают связь между инцидентом в ИБ и потерей выручки (из-за простоя, из-за утечки, из-за различных атак на логику). В качестве примера можно привести атаки 2022 года: до этого многие даже не задумывались всерьёз об ИБ, даже в бюджетах такой расходной статьи не было. Но как только веб-ресурс надолго потерял доступность или его подвергли дефейсу — вопрос о покупке СЗИ сразу стал насущным.

От чего нужно защищать веб-приложения в 2024 году?

А. А.: Если говорить о публичных веб-приложениях, защитой которых мы занимаемся, в целом фокус кибератак сместился в сторону L7 — на этом уровне видим непрекращающиеся DDoS-атаки (их интенсивность снизилась, но они никуда не делись), попытки эксплуатации уязвимостей и атаки с использованием вредоносных ботов.

DDoS уже привычны и изучены, то есть понятно, как их отражать. Для защиты от взломов есть понятные решения и тактики. Боты же остаются основной головной болью для защитников веб-приложений: они разнообразны, труднодетектируемы, и таким атакам даже необязательно быть интенсивными, чтобы навредить заказчику. Злоумышленники часто атакуют конкретную болевую точку в веб-приложении или изъян в бизнес-логике. К числу таких атак можно отнести СМС-бомбинг, брутфорс, парсинг, скрапинг. То есть сценариев очень много, и для таких угроз нет универсального решения.

Какие веб-приложения сегодня находятся в зоне риска?

А. А.: Правильнее будет сказать, что все. 

Если у вас есть веб-ресурс, то его наверняка атакуют или уже атаковали, либо атака была, но вы пока об этом не знаете. Всех атакуют с разной интенсивностью. Цели направленных, масштабных, сложных атак — это в основном популярные, прибыльные, социально значимые веб-приложения. 

Злоумышленникам на пути к своей цели нужно преодолеть меры защиты и действительно потратить усилия, но и «приз» более привлекателен. Остальные становятся целями более примитивных атак, потому что не приоритизируют внедрение киберзащиты, считая, что «никому не нужны». Для злоумышленников это просто «низко висящий плод».

Из тех, кто является самой желанной целью для киберпреступников, кто страдает больше всего?

А. А.: Приложения, которые популярны и прибыльны. В этом случае злоумышленники мотивированы финансово, а не идейно: устроить DDoS и вывести из игры на время; украсть контент; сделать множество фиктивных заказов, чтобы для реальных пользователей не осталось товаров и они купили их у кого-то другого; истощить ваши ИТ-ресурсы и так далее. Конечно, в первую очередь все охотятся за пользовательскими или платёжными данными, поэтому если ваш веб-ресурс предполагает регистрацию или оплату, вас обязательно будут ломать.

Яркий пример жертвы — крупный ресурс электронной коммерции. Это онлайн-магазины, сервисы бронирования, доски объявлений (классифайдеры), агрегаторы, маркетплейсы — то есть веб-приложения с большим количеством транзакций, максимально открытые для интернет-пользователей. У таких есть полный набор интерфейсов, выставленных в публичный интернет и взаимодействующих с бэкендом через API.

Такие веб-ресурсы работают в условиях жёсткой конкуренции и воюют за потребителя: чтобы конверсия была выше, любому интернет-пользователю дают возможность совершить большую часть действий до аутентификации (посмотреть каталог, выбрать избранные товары, положить в корзину и так далее). Этой особенностью бизнес-логики приложения активно пользуются злоумышленники.

Боты могут постоянно «дёргать» API, увеличивая количество запросов на бэкенд; как следствие, ИТ-команде надо будет закупать дополнительное оборудование и каналы или увеличивать затраты на услуги провайдера, а это уже ощутимый рост затрат. В некоторых случаях объёмы нелегитимного трафика превышают объёмы легитимного. С масштабом веб-ресурса растёт масштаб подобных проблем, напрямую влияющих на бизнес-показатели. Иначе говоря, бизнес несёт реальные финансовые убытки: масштабирует инфраструктуру, платит за фиктивные СМС-сообщения, хотя мог бы инвестировать в основу (core business). Это боль, с которой в последнее время к нам приходят практически 100 % заказчиков из сегмента.

Получается, что идеологически мотивированные хакеры приносят меньше проблем, чем те, кто мотивирован финансово?

А. А.: Хактивисты и проправительственные хакерские группировки в основном нацеливаются не на бизнес (хотя в 2022 году было иначе), а на социально значимые приложения и ресурсы, от которых зависит повседневная жизнь людей. Так они нарушают какие-то важные процессы, связанные с обществом, и производят громкий эффект. Если для финансово мотивированных хакеров выгодно сохранять веб-ресурс доступным и не обнаруживать своего присутствия как можно дольше, чтобы эксплуатировать его, для хактивистов необходимо вызвать недоступность и погромче об этом заявить. Например, из-за атаки на 1С кто-то не сможет вовремя сдать финансовую отчётность, будут недовольство, паника, страх получить штраф — то есть пользователи начнут ругаться, нервничать, обрывать телефоны службы поддержки... Такая атака вызывает полноценный коллапс.

Также целью атак становятся заметные публичные ресурсы, чья репутация может пострадать, — не всегда по идеологическим причинам, как, например, в случае хактивистской DDoS-атаки на СМИ или дефейса. Это довольно заметная цель для «детишек», то есть тех, кто нарабатывает свой соцкапитал в киберпреступном мире или занимается простыми атаками ради забавы.

Какие тренды в плане угроз безопасности для публичного веба вы наблюдаете?

А. А.: В 2023 году ушло время «хайповых» идейно мотивированных DDoS-атак, теперь атаки стали сложными и многоэтапными. Если в 2022 году хактивисты громко заявляли о своих успехах, то теперь более профессиональные команды играют втихую, выбирают наиболее «вкусные» цели, развивают специализированные инструменты для атак. И всё чаще оказывается, что если они атаковали успешно, то это чаще всего не конец атаки, а просто очередной этап для дальнейшего проникновения или эксплуатации.

Если в 2022 году крупные атаки были направлены на то, чтобы сайт стал недоступным, то в 2023 году хакерам менее выгодно выводить сайт или приложение из строя — лучше оставить его доступным и получить от него выгоду (извлечь контент, украсть данные при помощи плохих ботов и так далее).

Также стали чаще атаковать бизнес-функции (форма аутентификации, система бронирования, резервирование записи у организации, форма обратной связи, СМС-сообщения — всё, что увеличивает интенсивность вызова API).

Участились атаки на цепочки поставок: если в каком-то стороннем решении есть брешь и о ней известно, злоумышленники нацеливаются на все компании или организации, где оно внедрено, и как будто ходят с отмычкой от двери к двери, пока отмычка не подойдёт к какой-то одной. 

А если вспомнить, как неидеальна культура управления уязвимостями, то можно сказать, что у них большие шансы на успех.

Атаки стали более мощными: миллионы запросов в секунду (RPS) в 2024 году уже никого не удивляют. Например, в августе-сентябре прошлого года были огромные по масштабам DDoS-атаки с использованием уязвимости протокола HTTP/2, который  массово применяется уже более восьми лет, и устранять уязвимость по всему миру будут долго.

Чем на всё это отвечает бизнес?

А. А.: Это всегда гонка вооружений: каждое действие рождает противодействие. Возросла интенсивность атак, кто-то пострадал — соответственно, возросло желание защититься: либо предотвратить их, либо повысить эффективность своих ИБ-решений. Появились новые практики и инструменты защиты или вырос интерес к ним. Например, наблюдается рост количества программ вознаграждений (bug bounty), компании стали активнее прибегать к услугам пентестинга или ИБ-аудита.

Ещё одна мера — идти за ИБ наружу, то есть к специализированным сервис-провайдерам, MSSP — тем, кто закроет сервисами или аутсорсингом отсутствие ИБ-компетенций в компании. 

Безопасность стала нужна всем: нужно эксплуатировать СЗИ, нужно мониторить и анализировать фон киберугроз, нужно интегрировать много различных систем — а кадров по-прежнему нет. Мы наблюдаем рост спроса на наши услуги: бизнес за прошлый год вырос почти на 30 %.

Регуляторы стали закручивать гайки, то есть ужесточаются регламенты, требования. Взять тот же закон об оборотных штрафах: теперь если кибератаки не вызвали в компании осознанного желания защититься, тогда её накажут рублём. А это — очень эффективная мера, так что защитой точно займутся и что-то предотвратят. И ИБ-аудитом озаботятся.

Всё больше компаний готовы использовать WAF. В качестве исходного вектора проникновения чаще всего (в 63 % случаев, по статистике Positive Technologies) используется эксплуатация уязвимости. Это очень серьёзно, так как даже если вы закрыли уязвимости в своём коде, есть ещё цепочки поставок или опенсорсные решения, где код находится вне вашего контроля.

Может ли бизнес справиться со всеми этими угрозами в условиях, когда зарубежные вендоры ИБ покинули рынок?

А. А.: На самом деле, в России исторически очень мощная ИБ-отрасль, у нас всегда были продукты мирового уровня — антивирусы, NGFW, WAF, anti-DDoS. Ещё до событий 2022 года мы в части веб-безопасности успешно и по-честному конкурировали с Akamai и Cloudflare.

Сейчас обстоятельства сложились таким образом, что уход зарубежных вендоров, во-первых, подстегнул спрос и вбросил на рынок ИБ много денег, а во-вторых, повысил требования к функциональности и качеству, которым надо соответствовать. Конкуренция между российскими вендорами стала более интенсивной, а конкуренция развивает ИБ-продукты, стимулирует становиться лучше. Да и развитие продуктов направляется российскими пользователями, а не, условно, британскими, и в большей мере отвечает их потребностям. 

Уход зарубежных вендоров — это мощный толчок для качественного развития отечественной ИБ, которая и до этого была весьма достойной.

Если российские игроки и отстают по набору функций или по удобству использования, то стоит отметить, что наш рынок — довольно маленький, а глобальный — очень большой. Условно, потенциальный охват (Total Addressable Market) у глобального игрока гораздо больше, чем у локального российского, поэтому порядок инвестиций в развитие продукта — совершенно другой. В то же время требования к функциональности со стороны пользователя одинаковы. К тому же зарубежные компании нередко заходили на рынки занижая цену для клиента, не включая в неё расходы на исследования и разработку (R&D). Естественно, конкурировать с ними российским игрокам было тяжело.

То есть российским заказчикам придётся смириться с тем, что цена вырастет?

А. А.: Веб — это особая история. Во-первых, по масштабу, во-вторых, по объёмам защиты информации, в-третьих, по степени ответственности. То есть вы отвечаете не только за сохранность того, что у вас внутри, но иногда и за защиту миллионов «учёток» пользователей, которые регистрируются на вашем веб-ресурсе. Это для примера. 

В случае с вебом модель расчёта окупаемости инвестиций в ИБ намного сложнее, чем, например, при защите корпоративных информационных систем, где затраты на безопасность не должны превышать стоимости защищаемых активов. Нужно заложить в модель оценки окупаемости не только саму стоимость СЗИ, но и множество других факторов. 

Во-первых, это потенциально упущенная выгода при недоступности: если ваше приложение «лежит» из-за DDoS в день большой распродажи, сколько вы в среднем недопродали? Если упущенная выгода составляет пять миллионов рублей в день, а решение по ИБ стоит два миллиона в год, картина «дороговизны» СЗИ выглядит уже по-другому.

Во-вторых, это потенциальные потери при взломе и другом инциденте в ИБ — как репутационные издержки, так и судебные.

В-третьих, это стоимость регуляторного риска, особенно после введения нового закона об оборотных штрафах. Времена, когда крупные веб-ресурсы теряют миллионы учётных записей, но отделываются 60 тысячами рублей, подходят к концу.

Какие базовые меры защиты нужно уже сейчас заложить командам?

А. А.: Базовое средство защиты веба сегодня — это неразрывная технологическая связка: антибот, anti-DDoS (L3, L4, L7) и WAF. 

Тренды и векторы атак меняются каждый год, предсказать их невозможно. Например, в 2021 году было много утечек, в 2022 году в центре внимания были мощные DDoS, нынешний тренд — это сложные многоуровневые атаки с применением различных техник на различных этапах (например, завалить WAF большим количеством нелегитимных запросов, а потом проэксплуатировать уязвимость). Что будет в 2025, 2026 году — никто не знает, но точно стоит быть готовым к любой ситуации и не заниматься тушением пожаров, плодя «зоопарк», который потом трудно поддерживать. Пусть лучше какие-то СЗИ будут в режиме резерва или мониторинга — можно сэкономить бюджет, но зато не терять время и ресурсы на интеграцию, когда наступит очередной «пожар». А ещё лучше — выбирать решения, которые имеют максимально широкую функциональность и снижают риски в части интеграции.

Могу также выразить непопулярную мысль, но есть основа основ, без которой трудно внедрять какие-то средства ИБ: архитектура приложения должна поддерживать высокие нагрузки. Если приложение у вас «складывается» даже при небольшом всплеске нагрузки в 100 RPS, ни один сервис-провайдер, ни одно средство защиты, ни один вендор ИБ не смогут вас эффективно защитить, вы продолжите сталкиваться с проблемами.

А как этого избежать?

А. А.: Приглашать ИБ-специалистов на этапе проектирования архитектуры веб-приложения. Сейчас всё больше компаний изучают внедрение практик DevSecOps, которые помогают правильно спроектировать приложение, чтобы оно, во-первых, легко интегрировалось с любыми системами защиты, а во-вторых, не имело изъянов логики, которые могут спровоцировать проблемы в будущем и стать целью сложных атак. Отрефакторить код — это сложно и дорого, иногда вообще невозможно, а защищать по-любому понадобится. И если ты сначала написал приложение, а потом пришли ибэшники и сказали, что нужно либо всё переписать, либо со всех сторон прикрыть монолит средствами киберзащиты, чаще всего выбирают второе.

Монолитные архитектуры в веб-приложениях — большая проблема. В России многие веб-ресурсы были разработаны на высоком энтузиазме: у пользователя есть потребность, у рынка есть большой потенциал — так что нужно поскорее запустить проект или новый бизнес, чтобы снять все сливки до конкурентов. А потом веб-бизнес начинает кратно расти, а архитектура уже не рассчитана на такое масштабирование. Или, например, на интеграцию с облачным СЗИ.

Если подытожить, то как в 2024 году обеспечить безопасность веб-приложений?

А. А.: Начать прежде всего с повышения культуры ИБ в разработке и внедрения практик DevSecOps — в будущем это поможет избежать массы проблем.

Немаловажно построить несколько эшелонов защиты, чтобы обеспечить фильтрацию мусорного и вредоносного трафика с оптимальной эффективностью. То есть резать объёмные атаки L3 / L4 на каналах, отфильтровывать ряд атак по типовым признакам запроса (например, принадлежность сетям ЦОД, география IP-адресов, определённый отсылочный заголовок (referer) и так далее), защищать на L7 системой противодействия DDoS, а для нейтрализации более сложных атак, которые прошли все предыдущие эшелоны, уже использовать WAF.

Знать своё приложение, размечать трафик, обновлять белые и чёрные списки. Разносить по различным доменам различные ресурсы: статический контент — на один домен, динамический — на другой; так же поступать в отношении внешних и внутренних пользователей. Активно взаимодействовать с ИБ-командой (внутренней или провайдера): фон атак сейчас очень изменчив, появляются новые векторы и техники, нужно постоянно искать совместные решения.

Спасибо за интервью. Желаем успеха!