Анализ защищённости веб-приложений
По результатам исследования компании Positive Technologies 89% корпоративных информационных систем содержат уязвимости, связанные с ошибками в коде веб-приложений. Несмотря на это, при их разработке зачастую не учитываются требования и рекомендации по обеспечению информационной безопасности (ИБ), что впоследствии может привести к нарушению штатного режима работы, раскрытию или несанкционированному изменению конфиденциальной информации компании и данных её клиентов и проникновению во внутреннюю корпоративную сеть, что приведёт к непосредственным финансовым потерям организации.
Аналитические отчёты международных исследовательских компаний подтверждают соответствующие риски ИБ, показывая, что недочёты в защищённости веб-приложений — источник уязвимостей внешнего сетевого периметра организации и распространённый путь компрометации КИС. Поэтому вне зависимости от того, кем, когда и насколько качественно с точки зрения вопросов обеспечения ИБ разрабатывались веб-приложения, необходимо проводить регулярную оценку защищённости веб-приложений компании — как планируемых, так и уже введённых в эксплуатацию.
Практический опыт ЭЛВИС-ПЛЮС позволяет анализировать даже сложные веб-приложения и предоставлять рекомендации по устранению выявленных уязвимостей для минимизации угроз ИБ и повышения уровня защищённости проверяемых веб-приложений.
Заказчики услуг ЭЛВИС-ПЛЮС по анализу защищённости веб-приложений (в том числе в рамках интеграционных проектов): ФСК ЕЭС, АКБ «РОССИЙСКИЙ КАПИТАЛ», КБ «СДМ-БАНК», Базэл Аэро и другие.
Аудиторы ЭЛВИС-ПЛЮС выполняют анализ защищённости веб-приложений на основе одного из трёх уровней начальной осведомлённости о структуре и функционировании веб-приложений.
Наименование работы | Уровень осведомлённости
|
Анализ защищённости веб-приложений путём внешних проверок (автоматизированных и ручных). | Black box или Gray box в общепринятой терминологии.
Black box — метод тестирования «чёрного ящика», заключающийся в проведении работ без предварительного получения информации об исследуемом объекте (веб-приложении). Gray box — метод тестирования «серого ящика», заключающийся в проведении работ с предварительным получением выборочной информации об исследуемом веб-приложении, например, пользовательских реквизитов доступа или информации об архитектуре. |
Анализ защищённости веб-приложений путём внешних проверок (автоматизированных и ручных) и анализа исходного кода. | Gray box или White box в общепринятой терминологии.
White box — метод тестирования «белого ящика», заключающийся в проведении работ с предварительным получением полной информации об исследуемом веб-приложении, включая исходные коды. |
Конкретный уровень начальной осведомлённости определяется на этапе согласования Технического задания.
В ходе работ по анализу защищённости веб-приложений аудиторы используют общепринятые методики: Open Web Application Security Project Testing Guide, Open Source Security Testing Methodology Manual, материалы Web Application Security Consortium.
Анализу подвергаются все составляющие веб-приложений, в том числе:- архитектура и бизнес-логика работы веб-приложений, в том числе серверные и клиентские компоненты (front-end, back-end и серверы-посредники) и их сетевое взаимодействие;
- настройки компонентов, обеспечивающих работу веб-приложений (конфигурация ОС, конфигурация ПО веб-сервера, файлы конфигурации вспомогательных подсистем);
- используемые механизмы аутентификации, авторизации и разграничения доступа пользователей веб-приложений;
- используемые механизмы проверки и обработки входных данных и пр.
- Результаты проведённого анализа, в том числе инструментальных и ручных проверок.
- Описание выявленных уязвимостей, включая общую оценку их критичности в зависимости от возможностей использования и последствий реализации.
- Выводы о текущем состоянии защищённости веб-приложений.
- Рекомендации по устранению выявленных недостатков.
Результаты анализа
- Оценка реальной защищённости веб-приложений.
- Оценка необходимости и достаточности мер, принятых по обеспечению ИБ веб-приложений.
- Своевременное выявление угроз ИБ, связанных с наличием уязвимостей в веб-приложениях.
- Принятие мер по устранению выявленных уязвимостей для повышения степени защищённости веб-приложений компании.