Окончательное руководство по безопасности приложений

Это окончательное руководство по обеспечению безопасности ваших приложений, серверов и API, включая проектирование, кодирование, тестирование, соответствие требованиям, развертывание, инфраструктуру и информацию об угрозах. Кибербезопасность имеет огромное значение:

• По данным исследования TransUnion Holiday Retail Fraud Survey, 46% покупателей опасаются стать жертвой мошенничества при совершении покупок в Интернете.
• В ноябре 2021 года Microsoft Security Intelligence сообщила, что за последние 30 дней в сфере образования было зарегистрировано 5,5 млн. столкновений с вредоносными программами – больше, чем во всех других отраслях вместе взятых.
• В 2021 году средняя стоимость утечки данных для финансовой отрасли возрастет до 5,72 миллиона долларов.
• По данным Центра стратегических и международных исследований (CSIS), только в 2021 году правительства разных стран мира стали жертвами 121 значительного киберинцидента.

Читайте далее, чтобы узнать, что вы можете сделать для защиты своих приложений, клиентов и бизнеса от угроз кибербезопасности.

Понимание угроз безопасности

1. Основы кибербезопасности
2. Общие угрозы безопасности
3. Индекс и рейтинг угроз безопасности

Основы кибербезопасности

Кибербезопасность – это термин, который описывает действия, предпринимаемые отдельными лицами и организациями для предотвращения кибернетической атаки на их устройства или системы. Угрозы безопасности могут быть:

• Неизбирательность. Злоумышленники могут обнаружить уязвимость в системе или программном обеспечении и нацелиться на все устройства, имеющие эту уязвимость, одновременно.
• Целенаправленная. Целенаправленная кибератака затрагивает отдельное лицо или организацию, которые были специально определены злоумышленником.

Угрозы безопасности могут быть направлены на:

• Отдельные лица. Например, фишинговые и социально-инженерные атаки.
• Организации. Например, ransomware и DDoS-атаки.

Уязвимости безопасности включают:

• Люди. Люди часто считаются “слабым местом” кибербезопасности из-за ошибок, которые они могут совершить.
• Процессы. Люди и организации должны иметь готовые процессы для борьбы с кибератаками.
• Технологии. Программное обеспечение и системы безопасности необходимы как отдельным людям, так и организациям.

Угрозы безопасности обычно направлены на следующее или влияют на это:

• Доступность. Атаки типа “отказ в обслуживании” направлены на общую доступность веб-сайта, приложения или сервиса.
• Деньги. Фишинг, социальная инженерия и финансовые преступления обычно направлены на деньги, например, переводы, подарочные карты, информация о кредитных картах и онлайн-транзакции.
• Данные. Многие типы атак направлены на доступ, утечку, повреждение или сокрытие частных данных.
• Операции. Многие типы атак вмешиваются в операционные системы, например, чтобы повлиять на физическую безопасность или экологический контроль.

Общие угрозы безопасности

Не секрет, что ваш веб-сайт и важные для бизнеса приложения уязвимы для кибератак. В случае успеха самые серьезные атаки могут привести к краже данных клиентов, незаконному доступу к вашим серверам и корпоративным данным, заражению устройств ваших клиентов вредоносными программами и вирусами или полному отказу сервера, в результате которого клиенты не смогут получить доступ к вашему сайту. Защита ваших клиентов и ваших ИТ-систем от вредоносных атак крайне важна для вашего бизнеса. Но существует так много различных векторов атак, что трудно понять, с чего начать работу по обеспечению безопасности в Интернете. В следующем руководстве представлены наиболее распространенные угрозы безопасности для ваших веб-приложений. Защита от этих угроз является основой надежной стратегии безопасности.

Индекс и ранжирование угроз безопасности

OWASP Top 10 дает разработчикам веб-приложений и специалистам по безопасности представление о наиболее распространенных рисках безопасности. Это информационный документ, который ежегодно публикуется Open Web Application Security Project (OWASP).  Это список распространенных угроз безопасности приложений:

• Захват счета
• Ботнет
• Злоупотребление облаками
• Подделка межсайтовых запросов (CSRF)
• Скраппинг контента
• Отравление куки-файлов
• Наводнение при подключении
• Межсайтовый скриптинг (XSS)
• DNS Flood: NXDOMAIN Flood
• Отказ в обслуживании (DoS)
• DDoS (распределенный отказ в обслуживании)
• Вредоносные программы
• Фишинг
• Спам
• SQL-инъекции

Создание безопасных приложений

1. Начните с разработки безопасных приложений
2. Выберите лучшую внутреннюю структуру для обеспечения безопасности
3. Следуйте лучшим практикам для безопасного кода
4. Защита контейнеров Kubernetes
5. Тестирование безопасности приложений во время разработки

Начните с разработки безопасных приложений

Хакеры, вредоносные программы, киберпреступники и другие угрозы постоянно угрожают современным приложениям. Злоумышленники пытаются обнаружить и использовать любые уязвимости, чтобы украсть конфиденциальные данные, нарушить работу вашего сервиса и многое другое. При разработке приложений мы должны предотвращать или смягчать эти потенциальные уязвимости как можно раньше. Выявление и устранение пробелов в системе безопасности на поздних этапах разработки может обойтись очень дорого. Многие из самых серьезных уязвимостей возникают из-за плохого проектирования и требуют значительных усилий для их устранения. Вы можете избежать потери времени и ресурсов, следуя правильным принципам на этапе проектирования приложения. Следуйте этим принципам, чтобы убедиться, что ваше приложение готово отвечать строгим требованиям безопасности.

• Конфиденциальность: Доступ могут получить только уполномоченные лица (или процессы).
• Целостность: Представленные данные являются неизменными.
• Доступность: Система и ее данные доступны даже при неблагоприятных обстоятельствах.
• Аутентичность: Пользователи являются теми, за кого себя выдают.

Эти критерии безопасности должны стать неотъемлемой частью работы вашей компании, а не просто рекомендациями по безопасности при написании кода.

Выберите лучшую внутреннюю структуру для обеспечения безопасности

Ваш back-end фреймворк будет либо помогать, либо мешать вашим усилиям по обеспечению безопасности. Мы составили список back-end фреймворков, которые предлагают разработчикам и менеджерам продуктов высокозащищенные функции для разработки приложений. К таким фреймворкам относятся:

• Python
• Django
• FastAPI
• ASP.NET Core
• Laravel
• CodeIgniter
• Волокно

Следуйте лучшим практикам для безопасного кода

Несмотря на все благие намерения, при написании кода слишком легко сосредоточиться на решении непосредственной функциональной задачи и игнорировать другие цели, такие как безопасность. К счастью, многие мощные приложения для сканирования безопасности могут помочь выявить наиболее распространенные ошибки, которые мы как разработчики допускаем и которые приводят к проблемам безопасности.  Тем не менее, мы не должны полагаться на инструменты. Нам также необходимо лучше понимать, что требуется для безопасной разработки.

Защита контейнеров Kubernetes

Если вы думаете о развертывании приложений в контейнерах и использовании платформы оркестровки контейнеров, такой как Kubernetes, вам необходимо подумать о безопасности. Более мелкие и простые приложения позволят снизить затраты на разработку, тестирование и обслуживание, но безопасность может оказаться более сложной по сравнению с развертыванием на виртуальных машинах.  Распределенная система с множеством контейнеров и конечных точек, взаимодействующих друг с другом, значительно увеличивает количество уязвимостей. Вы должны уделять первоочередное внимание обеспечению безопасности всей экосистемы контейнеров, чтобы снизить риски.

Направления деятельности по обеспечению безопасности контейнеров. При обеспечении безопасности контейнеров следует обратить внимание на следующее.

• Безопасность узла контейнеров. Здоровье ваших контейнеров зависит от уровня безопасности системы центрального узла. Вы должны уделять первоочередное внимание обеспечению безопасности узла контейнера.
• Безопасность управления контейнерами. Безопасность контейнеров также зависит от вашей экосистемы контейнеров, включая системы регистрации, балансировки нагрузки, тестирования и мониторинга. Вы должны обеспечить безопасность всего стека управления контейнерами.
• Безопасность сетевого трафика. Распределенные системы увеличивают поток трафика через сеть контейнеров. Вы должны обеспечить безопасность этого потока трафика. 
• Безопасность приложений. Приложения, развернутые в контейнерах, открывают больше конечных точек, чем приложения в виртуальных машинах, что делает их более уязвимыми. Вы должны защитить свои приложения от угроз уровня 7.
• Безопасность пользователей. Вы должны идентифицировать и блокировать вредоносное поведение пользователей в вашем приложении.
• Безопасная архитектура приложений. Хотя мы не будем подробно рассказывать об этом в данной статье, вы должны следовать лучшим практикам разработки и кодирования безопасных приложений.
• Безопасный конвейер сборки. Ваш конвейер сборки для автоматического развертывания кода также может выявить недостатки безопасности. Вы должны провести аудит своего конвейера и устранить все уязвимости.

Проблемы безопасности контейнеров. Поддержание безопасности при развертывании контейнера может быть затруднено из-за следующих проблем.

• Открытый исходный код. Открытый исходный код удобен, но он представляет угрозу безопасности, если его не проверить.
• Быстрая разработка. Организации, которые отдают приоритет быстрой разработке и доставке, часто делают это в ущерб надлежащим процедурам безопасности.
• Разнообразные инструменты. Команды, использующие больше инструментов и сервисов, сталкиваются с растущей сложностью в поддержании всех исправлений и обновлений.
• Неясные обязанности. Организации, развертывающие контейнерные приложения в нескольких облачных средах с разными владельцами, сталкиваются с путаницей в вопросе о том, кто отвечает за поддержание безопасности в процессе разработки, тестирования и производства. Чтобы преодолеть эти проблемы и обеспечить безопасность контейнерных приложений в Kubernetes, команды DevOps должны быть готовы к дополнительным сложностям и затратам времени на планирование и выполнение.

Тестируйте безопасность приложений во время разработки

Очень многие предприятия не могут обеспечить безопасность своих приложений, потому что не знают, как проверить их безопасность в первую очередь. Одна из самых больших сложностей, связанных с безопасностью и тестированием программного обеспечения, – это темпы изменения количества и типов уязвимостей. Несмотря на то, что существуют способы защиты кода от распространенных уязвимостей, все еще могут существовать дыры в безопасности из-за проблем со сторонними приложениями, браузерами, операционными системами и сетевыми системами, которые часто находятся вне вашего контроля. Следуя приведенным ниже методам тестирования, вы сможете обнаружить большинство (если не все) известных рисков безопасности и устранить эти проблемы в процессе разработки.

1. Сделайте тестирование безопасности частью разработки.
2. Выберите методологию тестирования безопасности.
3. Выберите тесты безопасности.
4. Выберите инструменты для тестирования безопасности.
5. Документируйте стратегию тестирования безопасности.

Защитите свою инфраструктуру

1. Выберите безопасную архитектуру
2. Выберите безопасного поставщика облачных услуг
3. Принять сильную модель безопасности
4. Управление управлением, рисками и соблюдением нормативных требований

Выберите безопасную архитектуру

Мы много говорим о важности облачных вычислений и переноса инфраструктуры в облако для повышения производительности и доступности в глобальном масштабе. Однако, поскольку ожидания в отношении производительности приложений продолжают расти, а люди подключаются к сети в более удаленных местах, чем когда-либо, некоторым компаниям необходимо сделать больше, чем просто поддерживать присутствие в облаке, – им необходимо рассмотреть преимущества создания размещенной граничной среды. Размещенная граничная среда может обеспечить значительное снижение задержки, что приводит к значительному улучшению пользовательского опыта, повышению конверсии, увеличению доходов и удержанию клиентов. Однако пограничную среду зачастую сложнее защитить, чем опорную сеть, и она более изменчива, чем крупные общедоступные облака. Могут ли предприятия воспользоваться преимуществом задержки на границе с безопасностью приложений, которой они могут доверять? Существует мнение, что хранение и обработка данных приложений в различных сторонних сетях является рискованным занятием из-за угрозы утечки данных, локальных вторжений и различных стандартов безопасности и соответствия нормативным требованиям в разных регионах.

Вполне понятно, что многие предприятия по-прежнему предпочитают использовать собственную пограничную инфраструктуру и нести огромные расходы на обеспечение безопасности своих приложений на границе. Другие компании довольствуются тем, что ждут, пока крупные поставщики облачных услуг, такие как Amazon Web Services (AWS), Microsoft Azure, Google Cloud и Oracle Cloud, разместят центры обработки данных в желаемых местах. Поставщики облачных услуг не могут постоянно добиваться такой же задержки, как показано в разделе, учитывая их ограниченное географическое присутствие, но некоторые компании должны отдавать приоритет безопасности, а не задержке. Однако Hosted Edge предлагает решение этой дилеммы. Поскольку инфраструктура Hosted Edge предназначена для запуска приложений на границе, предприятия, использующие среду Hosted Edge, могут развернуть приложения безопасности на границе. Например, брандмауэр веб-приложений (WAF), работающий на границе, может защитить критически важные приложения и данные, блокировать угрозы и атаки, а также предотвратить мошенничество, простои и нарушения нормативных требований.

Выберите безопасного поставщика облачных услуг

Само собой разумеется, что безопасность остается важнейшим фактором в ваших потребностях в облаке, поскольку ни одна компания не может позволить себе идти на компромисс в этом вопросе. Безопасность в облаке (да и везде в наше время) является одной из главных проблем, поэтому очень важно задавать подробные и четкие вопросы, связанные с вашей отраслью, уникальными сценариями использования, нормативными требованиями и другими проблемами. Не упускайте из виду эту важную особенность работы в облаке. Вы должны понимать свои конкретные цели в области безопасности, меры безопасности, предлагаемые каждым провайдером, и механизмы, которые они используют для защиты ваших приложений и данных. Кроме того, убедитесь, что вы полностью понимаете конкретные области, за которые отвечает каждая сторона.

Рассмотрите, какие функции безопасности предлагаются бесплатно, “из коробки”, каждым поставщиком, которого вы оцениваете, какие дополнительные платные услуги они предлагают, и где вам может потребоваться дополнить свою безопасность технологиями сторонних партнеров. Далее убедитесь, что выбранная вами платформа облачной архитектуры соответствует стандартам соответствия вашей отрасли и организации. Независимо от того, соблюдаете ли вы GDPR, SOC 2, PCI DSS, HIPAA или другие стандарты, убедитесь, что вы понимаете, что требуется для обеспечения соответствия требованиям, когда ваши приложения и данные находятся в инфраструктуре публичного облака. Например, в разных странах существует множество нормативных актов, касающихся финансовых операций и конфиденциальности/хранения данных, поэтому компаниям важно убедиться, что их облачные стратегии отвечают этим нормативным требованиям, которые могут потребовать различных решений в разных регионах.

Принять сильную модель безопасности

Средства безопасности могут фильтровать трафик приложений в соответствии с несколькими различными стратегиями:

• Негативная модель безопасности
• Позитивная модель безопасности
• Машинное обучение и искусственный интеллект

Что такое негативная модель безопасности? Негативная модель безопасности предполагает, что весь трафик безопасен, если он не идентифицирован как небезопасный. Трафик, который соответствует предопределенным сигнатурам угроз или нарушает правила безопасности, идентифицируется как небезопасный.  WAF с негативной моделью безопасности по умолчанию разрешает все входящие запросы и блокирует только те запросы, которые определены как небезопасные. Негативная модель безопасности имеет множество проблем, включая:

• Он не может защитить от эксплойтов нулевого дня или любых атак, которых нет в базе данных угроз.
• Он не может защитить от атак, которые были модифицированы таким образом, чтобы немного отличаться от известных сигнатур атак.
• Она не может защитить от всех типов атак. Например, среди 10 лучших рисков безопасности веб-приложений OWASP, три из них (A2 [Нарушенная аутентификация], A5 [Нарушенный контроль доступа] и A7 [Межсайтовый скриптинг]) не могут быть эффективно защищены негативным подходом к безопасности.
• Часто она обеспечивает недостаточную защиту даже от известных и идентифицированных атак. Например, атаки A1 [Injection].

К сожалению, многие WAF, продаваемые сегодня, все еще используют модель негативной безопасности и не обеспечивают полной защиты от угроз кибербезопасности. Эти продукты представляют собой риск для большинства стратегий GRC.

Что такое позитивная модель безопасности? Позитивная модель безопасности предполагает, что весь трафик является небезопасным, если он не идентифицирован как безопасный. Трафик, который проходит проверку безопасности и соответствует характеристикам запросов легитимных пользователей, идентифицируется как безопасный.  WAF с позитивной моделью безопасности будет пропускать только легитимных пользователей и блокировать запросы, показывающие аномалии. В некоторых случаях WAF будет разрешать аномальный трафик, но будет анализировать его дальше (с низкой толерантностью к нестандартному поведению), прежде чем принять решение о блокировке. WAF, использующий позитивную и негативную модели безопасности в сочетании, гораздо эффективнее, чем чисто негативная модель безопасности для защиты от:

• Неизвестные нападения
• Модифицированные атаки
• Атаки, которые выглядят очень похожими на поведение законного пользователя
• Исключения и крайние случаи

Хорошим примером полезности позитивной модели безопасности является защита от ботов. Боты часто избегают обнаружения, используя случайные IP-адреса, входя через анонимные прокси-серверы, изменяя свою личность и имитируя поведение человека. Чтобы противостоять бот-угрозе, сложный WAF, использующий позитивную модель безопасности, должен выявлять подозрительные шаблоны просмотра, нечеловеческий ввод и трафик из сомнительных источников. Кроме того, он должен направлять подозрительных пользователей для интенсивной оценки пользовательского ввода, шаблонов просмотра, идентификатора браузера, местоположения, репутации и т. д. Он также должен сравнивать клиента с другими известными ботами, безопасными браузерами и легитимными ботами и пауками, чтобы избежать ложных срабатываний.

Машинное обучение и искусственный интеллект. Машинное обучение (ML) позволяет избежать статичных наборов правил, но использует распознавание образов и профилирование больших массивов данных для определения того, является ли трафик безопасным или небезопасным. Предполагается, что трафик, который соответствует выученной модели небезопасного трафика, является небезопасным или подозрительным, а трафик, который соответствует выученной модели безопасного трафика, считается безопасным, пока новые данные не опровергнут это. WAF, использующий машинное обучение, способен генерировать новые профили и правила, которые инженеры по безопасности не могут предугадать при использовании статических наборов правил. В сочетании с автоматизацией на основе ИИ интеллектуальный WAF может обеспечить полностью автоматизированный и самообучающийся ответ на возникающие угрозы.

Это имеет интересные концептуальные и практические последствия для стратегий GRC. С концептуальной точки зрения, приложения для ОД и ИИ находятся далеко впереди GRC – сводам правил еще предстоит наверстать упущенное, поэтому далеко не так просто сказать: “У меня есть ОД в моем WAF, поэтому я полностью соответствую требованиям”. На практике ML и ИИ продемонстрировали свою эффективность в блокировании атак нулевого дня. Например, система анализа угроз Snapt Nova на основе ML заранее блокировала 98% узлов, пытавшихся использовать Log4j, еще до того, как было объявлено об уязвимости. Кроме того, компания IBM установила, что организации, использующие ИИ для обеспечения безопасности, смогли сократить расходы на 3,8 миллиона долларов. Следовательно, вам следует проконсультироваться с вашими юридическими, нормативно-правовыми службами или службами безопасности о влиянии автоматизации безопасности с помощью ML и AI.

Управление рисками и соблюдением нормативных требований

“Управление, риски и соответствие” (GRC) могут быть грязными словами для многих людей, работающих в сфере разработки и доставки приложений. Строгие правила и процессы могут стать препятствием для инноваций или соблюдения сроков проекта. Однако, поскольку сбои в системе безопасности приводят к простоям, потере доходов, утечке клиентской и служебной информации и крупным штрафам со стороны регулирующих органов, команды разработчиков приложений не могут позволить себе игнорировать меры GRC, разработанные для ограничения вероятности и потенциала ущерба. При наличии правильных методологий и инструментов, таких как централизованный брандмауэр веб-приложений (WAF), команды разработчиков приложений могут внедрить меры GRC в свои рабочие процессы, не расстраивая членов команды и не снижая скорость реализации проекта.

Почему GRC важен? В 2021 году средняя стоимость утечки данных в финансовых отраслях выросла до 5,72 миллиона долларов. Масштабы проблемы огромны. В 2019 году в результате утечки данных было скомпрометировано более 100 миллионов счетов в Capital One; другая утечка раскрыла более 855 миллионов документов по ипотеке и недвижимости в First American Financial Corp. Количество векторов атак растет. Удаленное банковское обслуживание означает больше учетных записей пользователей, содержащих персональные данные, и больше онлайн транзакций. Большие данные означают больше личной информации в одном месте, предоставляя злоумышленникам манящую возможность сорвать большой куш. Даже когда организации инвестируют в инновации, основанные на искусственном интеллекте, злоумышленники также используют более сложных ботов для получения имен пользователей и паролей и избегания обнаружения. Управление, риски и соблюдение нормативных требований, когда они применяются к кибербезопасности, – это не просто заполнение коробок или уход от ответственности. Они необходимы для последовательного решения проблем.  Передовой опыт может помочь командам разработчиков приложений разрабатывать и поставлять безопасные продукты. Кроме того, следование четким рекомендациям позволяет организациям подвергаться аудиту и проверке со стороны внешних экспертов. Это укрепляет доверие.  Команды DevOps укрепляют уверенность в том, что они поступают правильно, а клиенты и регулирующие органы укрепляют уверенность в том, что организация заслуживает доверия.

Снижение затрат на GRC. Обязательство вашей организации следовать лучшим практикам GRC не является бесплатным. GRC обычно добавляет шаги к существующим процессам и привлекает дополнительный персонал для выполнения этих шагов – и подтверждения того, что эти шаги были выполнены. Это означает, что для завершения проектов требуется больше времени и больше людей. И эти затраты растут. По оценкам Deloitte, с 2008 года расходы банков на обеспечение соответствия требованиям выросли более чем на 60%.  Организации, стремящиеся к GRC, должны также стремиться к эффективности, чтобы избежать постоянно растущих расходов и задержек. Вы можете упростить GRC в сфере кибербезопасности и повысить эффективность, приняв правильные методологии и инструментарий.

Защитите свой трафик

1. Шифруйте свой трафик
2. Защитите свои веб-серверы
3. Защитите вход с помощью брандмауэра веб-приложений (WAF)
4. Защитите свои приложения от вредоносных ботов
5. Защитите свои API с помощью шлюза API

Шифруйте свой трафик

При использовании стандартного HTTP для передачи данных через Интернет все данные отправляются в виде обычного текста. Это делает данные уязвимыми, поскольку хакер, который может находиться в любой точке Интернета, может прослушать передачу данных и украсть информацию.

Именно поэтому был разработан HTTPS, или защищенный протокол передачи гипертекста. HTTPS – это HTTP с функцией безопасности. Эта функция безопасности называется SSL, или Secure Socket Layer. SSL шифрует данные HTTP, обеспечивая безопасность всех данных, передаваемых через Интернет между клиентскими устройствами и серверами. Протокол HTTPS делает данные невозможными для чтения, для этого используются алгоритмы шифрования, чтобы скремблировать передаваемые данные. Шифрование SSL/TLS – это термин, обычно используемый для обозначения безопасного HTTP или HTTPS, но на самом деле SSL был заменен на TLS.

Почему важен SSL / TLS? SSL / TLS дает нам три возможности:

• Аутентификация – проверка личности общающихся сторон с асимметричным шифрованием, которыми обычно являются клиенты и серверы. TLS гарантирует, что пользователи получают доступ к настоящему, а не поддельному веб-сайту.
• Конфиденциальность – TLS защищает обмениваемые данные от несанкционированного доступа, защищая их с помощью симметричных алгоритмов шифрования.
• Целостность – TLS распознает любое изменение данных во время передачи путем проверки кода аутентификации сообщения.

Когда следует использовать SSL / TLS? Веб-сайты должны использовать SSL / TLS для защиты онлайн-транзакций и коммуникаций от возможного перехвата. Это жизненно важно для защиты передачи данных, таких как:

• Операции электронной коммерции
• Банковские платежи или переводы
• Безопасное общение по электронной почте или в чате
• Передача файлов, например, загрузка и скачивание больших файлов
• Системные логины
• Технический доступ к системе, например, подключение к базе данных и системное администрирование.

Как работает шифрование SSL/TLS? Чтобы веб-сайт мог применять шифрование SSL/TLS, он должен иметь SSL-сертификат. Сертификат, который хранится на веб-сервере, действует как удостоверение личности, доказывающее, что веб-сайт является подлинным, а не поддельным.  В сертификатах SSL/TLS хранится уникальный идентификатор сайта, называемый открытым ключом. Открытый ключ используется устройством посетителя сайта для установления безопасного соединения с веб-сервером.

Как рассчитываются оценки SSL? Проект SSL Labs был создан в 2009 году, и его целью было предоставление диагностики для выявления проблем безопасности в компьютерных конфигурациях. SSL Labs создал алфавитную систему оценок для сертификатов SSL / TLS. Эти оценки оценивают безопасность конфигурации из 100 баллов. Это алфавитные оценки, которые варьируются от F до A+, и являются способом измерения качества конфигурации безопасности.  Оценка A+ SSL присваивается, если конфигурация сервера признана исключительной.

Защитите свои веб-серверы

Представьте ситуацию: вы только что завершили установку совершенно нового сервера (Windows Server, Ubuntu и т.д.), на котором вы собираетесь развернуть веб-портал вашей организации. Вам нужно обеспечить, чтобы эта служба оставалась онлайн и была защищена от плохих игроков. Вы уже придумали действительно трудноугадываемый пароль администратора, так что начало положено. Клиенты будут получать доступ к серверу через публичный IP-адрес, поэтому вы решили перенаправить порты (NAT) на порты 80 и 443 для безопасных HTTPS-соединений. Вы подключили свой новый сервер к Всемирной паутине и готовы к запуску. Теперь вы должны спросить себя: достаточно ли вы сделали? Насколько безопасен ваш новый сервер?

Ваш контрольный список безопасности сервера. Надежный пароль для доступа администратора к вашему серверу – это самый необходимый минимум! Следуйте этому контрольному списку безопасности, чтобы убедиться, что вы охватили все основы.

1. Обновления системы – особенно исправления безопасности с момента выпуска последнего ISO
2. Доступ по SSH – отключить Root
3. Обеспечение физической безопасности серверов
4. Блокировка – привязка к localhost
5. Поддерживайте чистоту – удаляйте старые вещи

Защитите вход с помощью брандмауэра веб-приложений (WAF)

Инструментарий также может иметь большое значение. Для эффективного управления и защиты трафика приложений необходим современный брандмауэр веб-приложений (WAF), который позволяет легко применять и проверять последовательную политику безопасности.

Что делает брандмауэр веб-приложений? Брандмауэр веб-приложений (WAF) – это сетевая функция, обычно развертываемая перед бэкендами приложений. Он контролирует, фильтрует и ограничивает трафик между внешними клиентами и бэкендом приложения. Ничто не попадает в ваше приложение – и никакие данные не выходят из вашего приложения – без прохождения через WAF. WAF может идентифицировать вредоносный трафик и общие векторы атак и блокировать вредоносных пользователей и ботов от простоя (например, атака “Отказ в обслуживании”), утечки данных (например, атака SQL-инъекции) или захвата учетных записей легитимных пользователей (с помощью ботов для атаки на вбивание учетных данных). В большинстве WAF приоритетной является защита от 10 лучших уязвимостей OWASP. Наиболее распространенным способом развертывания WAF является обратный прокси-сервер, то есть WAF выступает в качестве посредника между клиентами и внутренними системами. Клиенты общаются только с WAF, никогда напрямую с вашими внутренними системами. Этот процесс прозрачен, поэтому клиенты не знают, что они общаются с посредником. Входящие запросы клиентов и исходящие ответы сервера проходят через WAF в обоих направлениях. WAF может отклонять трафик, нарушающий его политику безопасности.

Выберите безопасный WAF. Каждому предприятию, использующему онлайн-приложения, сервисы и API, необходим межсетевой экран веб-приложений (WAF) для безопасной работы и защиты от угроз кибербезопасности. WAF выявляет и блокирует атаки, которые приводят к простоям, утечке данных и компрометации транзакций и учетных записей. Однако вы можете обнаружить, что выбор подходящего WAF – дело непростое.  Не существует недостатка в вариантах WAF, все они нацелены на различные сценарии использования. Так или иначе, вам нужно выбрать тот, который лучше всего подходит для вашего бизнеса, как сегодня, так и в будущем. Если вы сделаете неправильный выбор, вы можете подвергнуть свой бизнес рискам безопасности или привязать свою команду к инфраструктуре, которая не отвечает вашим потребностям. Этот контрольный список поможет вам выбрать подходящий WAF для защиты вашего бизнеса и соответствия вашему технологическому стеку, командам и рабочим процессам.

1. Как выглядит ваша сетевая архитектура и инфраструктура приложений?
2. Какие команды будут использовать WAF и как?
3. Где вы будете развертывать WAF?
4. Какие методы обнаружения и блокирования подходят для вашего трафика и профиля риска?
5. Какие атаки на приложения представляют наибольший риск для вашего бизнеса?
6. Выиграют ли ваши приложения от виртуального исправления и интеграции сканера?
7. Нужно ли вам соответствие стандарту PCI-DSS для обеспечения безопасности транзакций?
8. Нужно ли вам завершать SSL-трафик?
9. Какой вид видимости и отчетности необходим вашей команде SecOps для эффективной работы?

Защитите свои приложения от вредоносных ботов

Термин “бот” – это сокращение от “робот”. Бот – это программа, которая выполняет повторяющиеся задачи, следуя сценарию роботизированной автоматизации процессов (RPA). Боты обрабатывают инструкции для выполнения задач, на которые человеку в противном случае потребовались бы тысячи часов. Боты могут выполнять задачи в огромных объемах быстро и точно. Около четверти всего веб-трафика поступает не от людей, а от автоматизированных ботов – некоторые из них хорошие, некоторые плохие. Ботов можно разделить на три категории:

1. Однозначно хорошие боты. Например, GoogleBot, который крайне важен для того, чтобы поисковая система проиндексировала ваш сайт.
2. Явно плохие боты. Например, ползание по сайтам с целью сбора электронных писем для рассылки спама, выполнение базовых атак типа “отказ в обслуживании”, сканирование на предмет уязвимостей и т. д.
3. Плохие боты, которые выдают себя за людей, чтобы избежать обнаружения и обойти защиту. Они всегда враждебны и обычно участвуют в набивании учетных данных, выбивании цен, краже контента и т. д.

Из этих трех категорий только со второй категорией (явно плохие боты) легко справиться с помощью стандартных систем безопасности. Однако реальная задача состоит в том, чтобы остановить ботов третьей категории, не останавливая ботов первой категории – разрешить ботам Google и другим автоматизированным системам вести себя корректно, одновременно обнаруживая и блокируя продвинутых ботов, использующих такие инструменты, как headless Chrome, и выдающих себя за реального пользователя. Помните, что сегодня для бизнеса может быть дороже заблокировать поискового паука и быть исключенным из списка, чем стать жертвой реальной атаки. В то же время настоящий веб-браузер, который может выполнять JavaScript, ждать между страницами, эмулировать щелчок мышью и многое другое, очень трудно идентифицировать как бота.

Защитите свои API с помощью API-шлюза

API-шлюз получает API-запрос и возвращает ответ, выступая в качестве посредника или “промежуточного звена” между потребителем API и одним или многими API-сервисами. API-шлюзы выполняют общие задачи в системе API-сервисов, такие как аутентификация пользователей, ограничение скорости, метрики реального времени и многое другое. Цель API-шлюза – обеспечить фасад для потребителей, скрывающий множество внутренних приложений в вашей внутренней сети, которые часто могут представлять собой смесь кодов и платформ приложений: устаревшие монолитные приложения на виртуальных машинах, контейнерные или бессерверные микросервисы.  Шлюз API – это главная точка управления для управления доступом к API в масштабе.

Нужен ли мне API-шлюз? API-шлюз необходим для решения таких проблем API, как безопасность и доступ, надежность и производительность, а также видимость и управление. Без API-шлюза вам пришлось бы создавать сложные правила маршрутизации и писать собственный код для обработки всех различных способов доступа потребителей и сторонних систем к вашему API. API-шлюз упрощает доступ к API и одновременно обеспечивает его безопасность, надежность и согласованность для всех способов использования.  Кроме того, API-шлюз, не зависящий от платформы, будет поддерживать доступ к API независимо от того, где и как размещены ваши услуги на пути к преобразованиям.

Управление реагированием на инциденты

1. Управление информационными событиями в области безопасности
2. Используйте автоматизацию для улучшения реагирования системы безопасности
3. Использование разведки угроз для более эффективного реагирования на инциденты и превентивной защиты

Управление событиями информационной безопасности

Security Information Event Management (SIEM) – это термин, используемый для описания процессов обнаружения угроз безопасности, анализа, сбора оперативной информации и управления инцидентами безопасности. SIEM может включать широкий спектр других источников угроз или событий. SIEM объединяет управление информацией о безопасности (SIM) и управление событиями безопасности (SEM). Системы SIEM поддерживают работу команды безопасности по обнаружению угроз, обеспечению соответствия и управлению инцидентами.  Хотя SIEM в первую очередь ассоциируется с выявлением и управлением событиями кибербезопасности в технологических системах, она также применима к реальной безопасности. SIEM также применяется к информации о безопасности и событиях, связанных с физическими объектами или общественной инфраструктурой. Возможности системы SIEM очень широки, включая:

• Сбор и управление событиями журнала
• анализ этих и других данных из многочисленных источников
• управление инцидентами
• оповещение
• панели отчетов и многие другие функции.

Использование автоматизации для улучшения реагирования службы безопасности

Когда речь заходит о безопасности в Интернете, компании прилагают много усилий, чтобы обеспечить наличие необходимых инструментов, брандмауэров и настроек для защиты своих приложений от опасной угрозы хакеров, вирусов и DDoS-атак. Однако самым большим риском безопасности, который часто недостаточно изучен, является человеческий фактор. Поскольку многие системы безопасности требуют сложной настройки, операционные инженеры могут легко допустить ошибки в конфигурации или в развертывании кода, содержащего недостатки безопасности, что делает системы уязвимыми для внешних атак. Что касается угрозы потенциальных DDoS-атак, то команды, обслуживающие эти сложные системы безопасности и отвечающие за реагирование на многие из этих угроз вручную, просто не в состоянии достаточно быстро идентифицировать риски, не говоря уже о своевременном реагировании на них для защиты своей сети.

В результате компаниям приходится восстанавливать сервисы после сбоя, вместо того, чтобы защитить их от сбоя в первую очередь. Все это становится еще более сложным, если учесть, что сегодня компаниям приходится управлять большим количеством систем, чем когда-либо. На среднем предприятии среднего и крупного размера сочетание локальных служб и нескольких облачных провайдеров обеспечивает работу сотен различных узлов. Это делает поддержание безопасности огромной проблемой. Если проблема заключается в человеческом факторе, усугубляемом сложностью современных систем, то решение заключается в поиске альтернативы человеческому выполнению рутинных задач по обеспечению безопасности. Именно здесь автоматизация, а в последнее время машинное обучение и искусственный интеллект могут стать преобразующим фактором.

Использование разведки угроз для более эффективного реагирования на инциденты и превентивной защиты

Анализ угроз – это сбор, обработка, анализ и распространение текущих и прогнозируемых данных о безопасности, которые позволяют командам безопасности, разработчикам и автоматизированным инструментам принимать разумные решения для обеспечения безопасности инфраструктуры, данных и пользователей. Информация об угрозах предоставляет структурированную информацию, которая позволяет организации действовать против угрозы для ее сотрудников, клиентов, физических или технических активов, представляющих для нее ценность. Информацию об угрозах можно получить путем сбора, анализа и оценки больших объемов информации и выявления в ней угроз. Этот анализ проводится с учетом трех вопросов:

• Кто является субъектами угроз?
• Почему они намерены совершить эти действия?
• Насколько они способны быть успешными?

Анализ угроз может помочь составить карту угроз, рассчитать риски и предоставить сотрудникам службы безопасности информацию и контекст для принятия более эффективных и быстрых решений. Это включает в себя оценку соответствующих бизнес- и технических рисков, определение правильных стратегий и технологий для их снижения и обоснование этих усилий перед руководством.  Анализ угроз может стать важнейшим ресурсом для всех этих действий, предоставляя информацию об общих тенденциях, таких как:

• Какие типы атак становятся более (или менее) частыми
• Какие типы атак наиболее дорого обходятся жертвам (клиенту и бизнесу)
• Какие новые виды угроз появляются, и на какие активы и предприятия они могут быть нацелены
• Какие методы и технологии обеспечения безопасности оказались наиболее (или наименее) успешными в пресечении или смягчении последствий этих атак

Он также может позволить группам безопасности оценить вероятность воздействия возникающей угрозы на их конкретное предприятие на основе таких факторов, как:

• Отрасль – влияет ли угроза на другие предприятия в нашей вертикали?
• Технология – Связана ли угроза с компрометацией программного обеспечения, оборудования или других технологий, используемых на предприятии?
• География – Нацелена ли угроза на объекты в регионах, в которых работает наша компания?
• Метод атаки – Были ли методы, использованные в атаке, успешно применены против аналогичных компаний?

Анализ угроз помогает командам безопасности реагировать на активные инциденты безопасности. Когда команды безопасности сталкиваются с инцидентом, они должны быстро изучить различные вопросы, чтобы знать, когда и как реагировать – для наилучшего смягчения потенциальной угрозы.  Хотя это требует немедленных действий, объем информации, которую часто приходится анализировать, может сделать это довольно трудновыполнимым. Вот почему так важно донести правильную информацию до команд безопасности. Анализ угроз позволяет им иметь под рукой все необходимые данные и быстро определить наилучший подход для конкретного сценария.  Анализ угроз снижает давление, с которым сталкиваются эти команды, несколькими способами:

• Выявление ложных срабатываний и их отклонение
• обогащение оповещений контекстной информацией в режиме реального времени, например, пользовательскими оценками риска
• Сравнение информации из внутренних и внешних источников

Похожие публикации:

Окончательное руководство по обеспечению безопасности сайта WordPress

7 приложений безопасности для укрепления безопасности Windows 11

Окончательное руководство по анализу пробелов в контенте

Semrush: окончательное руководство по основным возможностям платформы

SEO лучшие практики на 2023 год: ваше окончательное руководство по доминированию в рейтингах Google

Руководство по безопасности WordPress: 14 профессиональных советов по обеспечению безопасности сайта WordPress

Окончательное пошаговое руководство по тестированию удобства использования веб-сайта

Время пребывания: окончательное руководство для блоггеров по его улучшению в 2023 году