• Широка доступність веб додатків, які проникають у всі сфери нашого життя, - це палиця про два кінці: їх дуже легко зламати. Популярність і значущість порталу не мають значення, оскільки "принцип Невловимого Джо вже не працює. Під загрозою перебувають практично всі сайти: якщо ситуація не зміниться, одні ресурси зламають цілеспрямовано, інші "зачеплять" випадково, в ході автоматизованої масової атаки. Втрати можуть бути різні: від банальної заміни головної сторінки або включення в ботнет до перехоплення управління виробничим циклом, крадіжки коштів та клієнтської бази.
    Проводячи аналіз веб додатків ключових російських компаній і промислових підприємств, експерти компанії Positive Technologies шукали відповіді на декілька питань. Наскільки добре захищені великі інтернет-сайти? Від чого залежить безпека додатків? Який інформації не вистачає для ефективного управління ризиками? Чи існують ефективні способи підвищити безпеку важливих для бізнесу веб додатків?
    Об'єктами дослідження стали 123 порталу компаній і організацій державного і фінансового секторів, телекомунікаційної, промислової та інших галузей російської економіки. Відносно невелика кількість сайтів не повинно вводити в оману: детального аналізу піддалися саме ті бізнес-системи і державні об'єкти, безпека яких інвестуються значні кошти. На вивчення і усунення вразливостей кожного об'єкта було витрачено кілька людино-місяців.
    Незважаючи на добре збудовані в цих організаціях ІБ-процеси, 10% проаналізованих сайтів не тільки утримані критичні уразливості, але і вже були зламані. Дві третини веб ресурсів мали критичні уразливості, і майже на всіх сайтах (98%) були виявлені проблеми з безпекою середнього рівня ризику.
    Вільні CMS: заражений кожен четвертий сайт
    Дослідники звертають увагу на низьку безпека сайтів, що використовують CMS власної розробки (на таких веб-ресурсах значно частіше зустрічалися критичні уразливості, ніж на порталах з комерційними і вільними системами). Єдиний виняток стосується фактичного зараження шкідливим кодом: серед ресурсів, сконструйованих на базі CMS власної розробки, заражені виявилися тільки 5%. Частки сайтів з ознаками злому на комерційних і вільних системах були помітно вище: 8% і 24% відповідно. Це пов'язано з тим, що веб-додатки на базі саморобних CMS, незважаючи на наявність великої кількості вразливостей, менше схильні до "випадкового" злому в рамках масової атаки з використанням автоматизованих засобів.
    З іншого боку, портали з ексклюзивними движками - відмінна мішень для цілеспрямованого нападу. Якщо ваші секрети знадобляться конкурентові - веб-додаток, швидше за все, зламають.
    Сайти телекомів уразливі найбільше
    Поступове перетворення телефонів в електронні гаманці відбувається на тлі вкрай низькою інформаційної безпеки сайтів телекомунікаційного сектора: приблизно 88% ресурсів містять критичні уразливості.
    Велике число уразливих веб додатків пов'язано з екстенсивним зростанням телекомунікаційних компаній. Широке поширення угод по злиттю і поглинанню створює надмірне різноманіття типів інформаційних систем та обладнання, значно ускладнює обслуговування технологічного парку.
    ІТ і держсектор
    Достатньо багато порталів з критичними уразливими місцями було виявлено також у сфері інформаційних технологій та державному секторі, де частки ресурсів з найбільш критичними уразливими місцями становлять відповідно 75% і 65%.
    При запуску державних інтернет-порталів їх творці і власники основну увагу приділяли контенту і функціональності, але не захищеності. Наслідком стала можливість витоку персональних даних громадян, які обробляються державними веб-ресурсами, доступу зловмисників до внутрішньовідомчої інформації, листуванні, документів та іншої важливої інформації.
    Концентрація вразливостей в промислових веб-додатках
    Рівень захищеності в промисловій галузі можна охарактеризувати як середній. Критичні уразливості були знайдені на 50% сайтів (це краще ситуації в телекомі і держсекторі). З іншого боку, у промисловій сфері експерти Positive Technologies виявили цілий ряд ресурсів, на яких концентрація критичних вразливостей вкрай висока.
    Парадоксально, але факт: найуразливіші програми були пов'язані з критичними з точки зору безпеки завданнями. Серед них - удаленный і термінальний доступ, системи управління підприємством (ERP, включаючи SAP R/3), доступні з інтернету або офісної мережі елементи систем управління виробничим процесом (АСУ ТП, SCADA). На жаль, інформація про останні інциденти і погрози APT (Advanced Persistent Thread), таких як Night Dragon, Stuxnet, Duqu, - показує, що саме ці системи є метою мотивованих зловмисників.
    Сайти банків й системи ДБО: позитивний ефект Compliance
    Найбільшу увагу захищеності своїх сайтів від критичних вразливостей приділяють власники веб ресурсів з фінансової галузі: тільки 43% проаналізованих веб додатків містять критичні уразливості. У системах дистанційного банківського обслуговування усунені практично всі критичні уразливості, такі як SQL Injection або Remote Code Execution. Це пояснюється високими бізнес-ризиками і жорстким регулюванням з боку платіжних систем в рамках стандарту PCI DSS, який, зокрема, стосується і безпеку веб додатків.
    Якщо застосувати вимоги PCI DSS до всіх веб додатків фінансового сектора, то тільки 10% відповідають необхідного рівня захищеності. Низький рівень відповідності обумовлений досить великою кількістю вразливостей середньої і низької ступеня ризику: 98 з кожних 100 недоліків, виявлених у системах ДБО та інших веб-додатках фінсектора, не є критичними.
    У результаті сучасному кіберзлочинці набагато зручніше використовувати для атаки комп'ютер клієнта банку, який виявляється найслабшою ланкою в системах віддаленого надання банківських послуг. Такі уразливості, як межсайтовая підміна запитів (CSRF, знайдена в 6% систем ДБО) і міжсайтового виконання сценаріїв (XSS, 18%), не будучи критичними, при певних умовах дозволяють зловмисникові здійснити фішинг-атаку і здійснити крадіжку. Ще одна проблема веб додатків ДБО - логічні уразливості, пов'язані з помилками при розробці додатків.
    Основні причини зараження шкідливим кодом
    У ході дослідження були детально вивчені ресурси, на яких виявився шкідливий код (їх частка склала 10%). Практично всі сайти, заражені шкідливим кодом (92%), написані на мові PHP і працюють під управлінням веб сервера Apache. Половина зламаних веб додатків функціонують під управлінням вільних CMS. Експерти Positive Technologies з'ясували, що зараження інформаційного ресурсу найбільш сприяє наявність вразливостей Виконання команд ОС" і "Неправильні права доступу до файлової системи". Третина всіх сайтів з уразливістю Виконання команд ОС" виявилася інфікована.
    "Найчастіше при спробі оцінити ті або інші ризики в області безпеки фахівцям бракує тривіальної речі - точки звіту, можливості порівняти поточний рівень своєї захищеності з ситуацією в галузі в цілому, - прокоментував результати дослідження Сергій Гордейчик, технічний директор Positive Technologies. - Ми сподіваємося, що надана інформація допоможе компаніям виважено проаналізувати актуальні загрози безпеки веб додатків і вибрати адекватні механізми захисту. Зрозуміло, що не можна судити про ймовірності компрометації виходячи тільки з статистики вразливостей. Але той простий факт, що 10% найбільших корпоративних сайтів і веб додатків містили шкідливі програми, тобто вже були зламані, - змушує замислитися про поточний рівень захищеності".
    Висновки
    Індустрія інформаційної безпеки поки не відлила свою "срібну кулю" - універсальне рішення для захисту веб додатків. Міжмережеві екрани (web application firewall), що стоять на сторожі більшості досліджених додатків, виявляються неефективними, якщо у компанії відсутня можливість систематично аналізувати ризики і виробляти необхідні правила інформаційної безпеки. Тримати руку на пульсі допомагає регулярний аналіз захищеності і контроль відповідності, як вручну, так і з використанням автоматизованих засобів. Але далеко не всі компанії завчасно оцінюють можливі втрати від кібератак та встигають вчасно прийняти вірне рішення.
    повною версією дослідження компанії Positive Technologies представлені також десятка найбільш поширених вразливостей, поквартальна динаміка, порівняння характерних вразливостей в залежності від різних факторів (мови програмування, веб сервера, галузі економіки, типу CMS).