Angara Security: без защиты web-приложений все эшелоны защиты инфраструктуры неэффективны

Компания Angara Security подвела итоги конференции «ИБ-среда», посвященной задачам и технологиям защиты пользовательских web-приложений в ритейле, e-commerce, банковском и страховом секторе. В дискуссии приняли участие эксперты компаний Mitigator, ГК Swordfish, Вебмониторэкс, а также более 50 CISO крупнейших российских брендов.

диаграмма_среда ИБ1.jpg

По оценке руководителей информационной безопасности, свыше 70% компаний за последний год сталкивались с DDoS-атаками. При этом эксперты отметили, что изменился характер самых популярных атак: они становятся «веерными», хактивисты используют VPS, proxy, VPN и уязвимости абонентского оборудования. Целями являются http и https ресурсы и открытые TCP-порты, которые заранее сканируются перед атакой. Атаки производятся с использованием известного инструментария, без подмены IP-адресов, а главное, злоумышленники переиспользуют IP-адреса при атаках на разные цели.

диаграмма_среда ИБ2.jpg

Степан Прибытков, эксперт компании Вебмониторэкс, сославшись на данные Gartner, подчеркнул, что до 83% трафика составляют API-вызовы, при этом к 2024 году число атак через API-приложения вырастет вдвое. По прогнозам эксперта, под угрозой окажутся бонусные счета в программах лояльности, платежные данные на онлайн-площадках, в мобильных приложениях маркетплейсов, а также ресурсы компаний, которыми злоумышленники попытаются завладеть для майнинга криптовалют.

В своем выступлении Глеб Хохлов, менеджер продукта Mitigator, отметил, что для защиты можно использовать репутационные списки, которые стали эффективным инструментом защиты. Списки содержат не только IP-адреса атакующих и участников ботнетов, но также номера автономных систем и JA3-отпечатки. Для подготовки к таким атакам важно выстраивать эшелонированную защиту на всех уровнях: приложения, сервера, инфраструктуры, on-premises устройств фильтрации, границы сети и поставщиков услуг защиты, так как «провал на любом из эшелонов снижает эффективность всей защиты».

диаграмма_среда ИБ3.jpg

В ходе опроса о действующих мерах защиты от DDoS-атак, 60% CISO сообщили, что среди инструментов защиты web-приложений лидируют WAF и NGFW-решения, на втором и третьем месте — решения для защиты от кибератак через сети интернет- и облачных провайдеров (46% и 36% соответственно), 29% CISO подчеркнули роль on-premise решений.

Глеб Хохлов пояснил, что популярные WAF-решения могут быть точкой отказа при массированных атаках, нужны для защиты от эксплуатации уязвимостей, но все-таки для защиты внешнего контура также необходимы antiDDoS-решения. В ходе дискуссии о роли on-prem устройств в составе услуг интернет-провайдера, он прокомментировал, что важно «настраивать гранулированную защиту под специфику каждого сервиса, так как в большинстве случаев операторы предлагают грубую фильтрацию объемных атак».

диаграмма_среда ИБ4.jpg

Антон Башарин, технический директор ГК Swordfish Security, в контексте защиты web-приложений поднял тему DevSecOps. По мнению эксперта, в процессе развития программных продуктов сложилась ситуация, при которой «информационная безопасность стала догоняющей отраслью относительно IT». В большинстве случаев приемка безопасности web-приложений происходит в конце цикла разработки, когда на проверку кода со стороны ИБ-специалистов практически не остается времени. Этот факт подтвердил Степан Прибытков, который отметил, что, по данным исследования компании, 48% разработчиков признают, что постоянно выпускают в прод код с известными уязвимостями, а 31% — допускают такую случайность.

Антон Башарин пояснил, что необходимо включать безопасность в процесс автоматизации DevOps, чтобы свести количество уязвимостей в готовых продуктах к минимуму. Это позволит значительно оптимизировать обработку уязвимостей, собираемых сканером, которая иногда может занимать до нескольких дней, а также улучшить взаимодействие между различными отделами, работающими над созданием продукта. «Нередко даже если разработчики готовы внести исправления в течение пары часов, то комментариев от инженеров ИБ, например, приходится ждать несколько дней. А это не только потеря времени, но и издержки, которые можно сократить на 70%, если встроить процесс безопасности в DevOps на всех этапах», — подчеркнул Башарин.

диаграмма_среда ИБ5.jpg

При правильном внедрении DevSecOps компания сможет улучшить показатели KPI, повысить уровень защищенности своих продуктов, сократить время вывода ПО на рынок и за счет этого окупить инвестиции во внедрение процесса безопасной разработки и выйти в плюс. Например, по тем же данным Forrester, для крупной организации с численностью разработчиков около 1500–2000 человек точка безубыточности инвестиций в одну из ведущих облачных платформ DevSecOps может быть достигнута примерно за три месяца, а чистая приведенная стоимость (Net Present Value, NPV) способна превысить 2 миллиона долларов в год.

диаграмма_среда ИБ6.jpg

Как показали итоги опроса CISO на мероприятии Angara Security, для обеспечения качественного процесса безопасной разработки не хватает решений API ST (41%) и технологий для оркестрации и корреляции практик безопасной разработки ASOC (36%). 34% ИБ-руководителей компаний отметили дефицит решений для динамического анализа защищенности десктопных и мобильных версий приложений (DAST и MAST), о недостатке решений для безопасного использования библиотек с открытым исходным кодом (OSA, SCA) сообщили 24% респондентов.

24.07.2023

Другие публикации

Angara Security запустила платформу предиктивной аналитики для атрибуции киберугроз по отраслевой принадлежности компаний

Эксперты Центра киберустойчивости Angara SOC на основе данных международной классификации MITRE ATT&CK®, базы данных угроз безопасности ФСТЭК и собственной практики расследования и реагирования на инциденты ИБ разработали платформу для автоматического определения.

актуально

24.05.2024

Angara Security и облачный провайдер «НУБЕС» (Nubes) стали партнерами в сфере киберкриминалистики

Москва, 15 мая 2024 г. — Компании «НУБЕС» и Angara Security подписали соглашение о сотрудничестве в области расследований киберпреступлений.

актуально

15.05.2024

Angara Security: верифицированные электронные кошельки OZON стали использовать для нелегальных p2p-операций

Аналитики Angara Security выяснили, что после отзыва лицензии у QIWI Банка в три раза выросло число сообщений о покупке и продаже верифицированных электронных кошельков OZON для p2p-переводов в 2024 году.

актуально

14.05.2024

Angara Security: в Рунете растет число «двойников» онлайн-касс культурного досуга

Эксперты Angara Security зафиксировали рост числа фишинговых сайтов, которые содержат в доменном имени слова kassa.

актуально

13.05.2024

Ритейл под ударом: анализ угроз от экспертов Angara Security

В 2023 году ритейл и e-commerce вошли в ТОП-3 самых атакуемых отраслей российской экономики.

10.04.2024

Остались вопросы?

Понравилась новость?

Подпишитесь на уведомления о новых материалах