System ochrony aplikacji webowych (WAF – j. ang. Web Application Firewall) jest jednym z obecnie najbardziej efektywnych zabezpieczeń przed wielorakimi atakami płynącymi z sieci Internet. Owe wrogie działania mają na celu spowodować niedostępność serwisu, kradzież danych bądź tożsamości, niekiedy wyłudzenia, niszczenie reputacji firmy, co w konsekwencji naraża przedsiębiorstwa na ogromne straty finansowe.

Według danych firmy F-Secure na Polskę średnio przeprowadzanych jest 700 zorganizowanych ataków na godzinę z wielu lokalizacji na świecie. Popularne lokalizacje zostały zaprezentowane na poniższym rysunku (dane pochodzą z sieci Honeypot, należącej do F-Secure).

Zagrożenia płyną zarówno z Polski jak i z całego świata. Ochrona przed nimi staje się konieczna do zachowania ciągłości działania serwisów i aplikacji serwowanych zarówno klientom jak i pracownikom danej organizacji.

Najpopularniejsze ataki

Istnieje wiele typów ataków, na które często nieświadome firmy są narażona. Organizacja OWASP (j. ang. Open Web Application Security Project), będąca liderem w propagowaniu wiedzy z zakresu bezpieczeństwa aplikacji webowych, wymienia dziesięć najpopularniejszych ataków:

1. Tzw. “wstrzykiwanie” (j. ang. injection) kodu – co może skutkować nieautoryzowanym dostępem do wrażliwych danych a poprzez to umożliwiać ich kradzież, modyfikację bądź usunięcie.
    
2. Wadliwe uwierzytelnianie (j. ang. broken authentication) – ma miejsce w sytuacji gdy atakujący może skorzystać z istniejącej sesji zalogowanego już użytkownika i tym samym mieć pełen dostęp do jego informacji oraz uprawnień w aplikacji z której korzysta.
    
3. Ekspozycja na atak wrażliwych danych (j. ang. sensitive data exposure) – naraża użytkownika na przechwycenie jego danych m. in. z kart kredytowych, które w konsekwencji kradzieży służą bezprawnym zakupom w Internecie.
    
4. Błędy w aplikacjach parsujących pliki XML (j. ang. xml external entities) – tego typu atak może np. skutkować pobraniem pliku z użytkownikami i hasłami z systemu Linux/Unix by następnie metodą brute-force je odszyfrować.
    
5. Błędy w mechanizmach kontroli dostępu (j. ang. broken access control) – tego rodzaju atak naraża użytkownika na nieuprawniony dostęp do funkcjonalności serwisu poprzez błędy w weryfikacji uprawnień. Często dzieje się tak w sytuacjach, gdy np. do systemów posiadających API (j. ang. application programming interface) publiczne dostarczona jest szczegółowa dokumentacja, dzięki której atakujący może zanalizować logikę aplikacji celem wykrycia luki.
    
6. Błędy w konfiguracji zabezpieczeń (j. ang. security misconfiguration) – tego typu ataki polegają na wykorzystaniu standardowych ustawień zabezpieczeń w aplikacji, które bywają często opisane w dokumentacji produktowej. Brak zmiany standardowego loginu i hasła to najprostszy przykład, który może skutkować poważnymi konsekwencjami dla organizacji.
    
7. Skrypty między serwisowe (j. ang. cross-site scripting) – może skutkować uruchomieniem złośliwego kodu w przeglądarce użytkownika, który np. wykradnie ciasteczko z sesją. W takim wypadku atakujący przy użyciu wykradzionego (j. ang.) cookie może przejąc kontrolę nad kontem użytkownika.
    
8. Niezabezpieczone mechanizmy deserializacji (j. ang. insecure deserialization) – w zależności jakie dane są serializowane i jaka jest logika ich deseralizacji atakujący może np. zmienić dane wstrzykując komendę, która następnie zostaje wykonana na zdalnym serwerze. Niebezpieczeństwo zatem polega na uzyskaniu dostępu do serwera przez osoby nieuprawnione lub kradzieży wrażliwych danych.
    
9. Wykorzystywanie oprogramowania zawierającego znane podatności (j. ang. using components with known vulnerabilities) – w takim przypadku atakujący wykorzystuje znane luki w aplikacjach do których często publicznie udostępniany jest exploit. W zasadzie każdy mający dostęp do Internetu, nieposiadający doświadczenia w łamaniu zabezpieczeń może usunąć a nawet wykraść wrażliwe dane lub spowodować niedostępność serwisu.
    
10. Niewystarczające monitorowanie i rejestrowanie (j. ang. insufficient logging & monitoring) – nie jest to atak sam w sobie ale skierowanie uwagi na potrzebę posiadania systemu monitorowania serwerów webowych, na których mogłoby dojść w przyszłości do nieautoryzowanego dostępu. Atakujący mógłby przez długi okres czasu nie będąc wykrytym np. wykorzystywać zasoby serwera lub wrażliwe dane.
     

Zbieranie informacji

Lista typów ataków jest znacznie dłuższa niż przedstawia organizacja OWASP w raporcie Top 10. Firmy chcące zwiększyć bezpieczeństwo swej organizacji na początku powinny zebrać następujące podstawowe informacje:

• Źródła i lokalizacje najczęstszych ataków – taka lista pozwoli na utworzenie odpowiednich reguł blokujących dostęp do aplikacji;

• Typy / rodzaje ataków – co pozwoli im na precyzyjne włączenie sygnatur bezpieczeństwa, które zablokują wybrany atak;

• Najczęściej atakowane aplikacje – dzięki tej wiedzy można ustalić priorytety wdrożeniowe rozwiązania typu WAF;

• Maksymalna liczba żądań (np. na sekundę), które dana aplikacja jest w stanie bezawaryjnie obsłużyć – posiadając te dane możliwe jest ustalenie górnych limitów sesji lub żądań użytkowników do aplikacji;

W zebraniu tych informacji może posłużyć rozwiązanie typu WAF, które przede wszystkim zwiększy świadomość organizacji o skali ataków oraz pozwoli zabezpieczyć dane zarówno klientów jak i samych pracowników.

Rozwiązanie

Jednym z aktualnie najnowocześniejszych rozwiązań, które wdrażamy naszym Klientom to Citrix Netscaler ADC (j. ang. Application Delivery Controller) i ADM (j ang. Application Delivery Management) posiadający funkcjonalność WAF oraz inne zabezpieczenia chroniące aplikacje przed atakami np. typu DoS. System Citrix Netscaler ADC / WAF analizuje, loguje i blokuje próby ataków na aplikacje webowe w czasie rzeczywistym. Dzięki funkcjonalności typu IP Reputation system jest w stanie skutecznie zablokować potencjalne niebezpieczne adresy IP. Więcej o tej funkcjonalności pisałem w publikacji “Citrix Netscaler i Reputacja IP – sposób na blokowanie niebezpiecznych źródeł do aplikacji WWW”. Kolejnym sposobem jest instalacja listy tysięcy sygnatur opartych o wyrażenia regularne, które skutecznie wykrywają i blokują znane ataki. W celu ustalenia limitu sesji lub żądań do aplikacji można wykorzystać funkcjonalność Rate Limiting.

Do analizy ataków służą specjalne kokpity graficzne w systemie Citrix ADM. Każda z aplikacji posiada tak zwany Threat Index, który dostarcza wiedzy administratorom o częstotliwości przeprowadzanych ataków. Znajdują się tam także informacje o poszczególne typach ataków na przestrzeni czasu.

System Netscaler ADM posiada również mapę, na której widoczna jest lokalizacja adresów IP, z których zostały przeprowadzone ataki. Możliwe jest np. stworzenia bardziej restrykcyjnego profilu bezpieczeństwa na wybrany kraj / lokalizację.

Więcej informacji o funkcjonalnościach i rozwiązaniach można znaleźć w dokumencie Citrix Web App Firewall oraz w dokumentacji producenta lub poprzez bezpośredni kontakt z autorem.

Korzyści

Największą z korzyści wdrożenia rozwiązania WAF będzie przede wszystkim wyeliminowanie potencjalnych znanych podatności na ataki, zapobieganie wyciekom wrażliwych danych klientów i pracowników co chroni reputację firmy, jak również automatyczne lub manualne blokowanie źródeł takowych ataków w konsekwencji zapobiegające wysyceniu zasobów serwisu, co mogłoby skutkować jego całkowitą niedostępnością i generowałoby straty finansowe dla przedsiębiorstwa.

Źródła informacji:

• Raport OWASP Top 10
• Dane z sieci Honeypot, należącej do F-Secure
• Dokumentacja Citrix

Masz jakieś pytania? Dowiedz się więcej! Skontaktuj się z nami!