Актуално от света на ИТ

Да се защитим и от „невидимите“ cyber заплахи

Posted on by Lirex
cybersecurity-lirex

Съвсем наскоро обсъждахме в отдела една публикация, която засягаше киберзаплахите и в частност злонамерен софтуер без файлове, който работи изключително в паметта на сървъри под управление на Linux. По същото време извършвахме и анализ на току що публикувани кибер-доклади и се оказа, че бяхме на една и съща вълна в тематичния контекст на злоупотребите срещу компютърните и операционни системи.

Особено ни впечатлиха атаките срещу традиционно известния „бастион“ на стабилност и сигурност Linux ОС – атаки без оставяне на следи, директно в паметта, както и атаки през уеб интерфейса, който се явява широко отворена врата за уязвимости.

За да разясним тези аспекти, се обърнахме към експертите от LIREX, които ни казаха: „Ситуацията е съвсем в рамките на нормалното, ако знаете за какво става въпрос.“

Ситуацията е, че в динамичния свят на технологиите, където приложенията следват иновациите, е необходимо не само да ги публикуваме, но и да го направим по сигурен начин. В този контекст, сигурността на приложението играе решаваща роля, защото тя ни позволява да защитим не само функционалността и данните на самото приложение, но и да предотвратим то да се превърне във входна врата към останалата част от инфраструктурата ни.

poruska_blue_3_lirex

Два са ключовите аспекти или начините, чрез които можем да обезпечим сигурността на приложенията при тяхното публикуване – чрез защита посредством Web Application Firewall (WAF) / Web Application Attack Protection (WAAP)  технологии и чрез  своевременен и редовен мониторинг на приложението и параметрите на средата му.

И двата начина са валидни за всяка среда, включително и Linux.

Макар и да звучи сложно, този двоен подход за защита е важен за всяко приложение, което искаме да бъде истински полезно и да носи реална стойност на потребителите, включително и множество интегрирани помежду си системи. Освен че работят много добре заедно, и двата начина са такива, че съвсем естествено се развиват с времето и следват развитието на приложенията. Може да се каже, че те нямат начало и край и са полезни спътници през целия жизнен цикъл на приложенията.

В следващите редове бихме искали да дадем, от практическа гледна точка и опит, по-детайлна информация на споменатите по-горе начини на защита, за да бъдат още по-приложими и полезни.   

Web Application Firewall (WAF) / Web Application Attack Protection (WAAP)  е специализирана технология, която служи за защита на уеб приложенията като филтрира, анализира и блокира опасни или нежелани HTTP заявки, които може да представляват риск за сигурността и преди те да достигнат до приложението.

WAF/WAAP се основава на набор от правила и сигнатури, които помагат на системата да разпознае типични атаки като SQL Injections, Cross-Site скриптове, File Inclusions и други ползващи легитимен от протоколна гледна точка пренос. Сред популярните WAF продукти е например, NGINX App Protect WAF, който предпазва от сложни атаки и в приложния 7-и слой на OSI модела, в който са енкапсулирни данните от транспортните слоеве.

Ключов аспект за защитата чрез WAF/WAAP е да може да „говори езика и диалектите“ на информацията. Това означава, че защитата трябва да разпознава не само обичайните стандарти и протоколи, а в същото време да разбира и новаторските методи, които новите ботове могат да използват. Тази защита е своего рода пазител, който стои на входа и гарантира, че само валидни и автентични данни преминават напред.

Правилното внедряване и функциониране на WAF/WAAP е предпоставка за намаляване на  атаките към уеб приложенията и системите.

Следва да се отбележи, че „сляпото“ внедряване на WAF/WAAP може да окаже негативен ефект върху производителността на приложението, защото извършването на анализ и проверка на входящите HTTP заявки от страна на WAF/WAAP, може да добави допълнително време за тяхната обработка. Натоварването също може да се увеличи прогресивно при масирани атаки с голям брой и обем на заявки, което също може да забави отговорите на приложението. Затова е важно внедряването да е балансирано и осъзнато, а внедрената система да се наблюдава, оптимизира и актуализира от експерти.

Lack-of-network-segmentation
poruska_green_2_lirex

Следващата стъпка

След като сте определили целите си, е да изберете подходящата система за контрол на достъпа и управление на работното време.

При избора си е важно да вземете предвид следните фактори:

Функционалност: Системата да разполага с всички функции, които са ви необходими, за да постигнете целите си. Например, ако искате да контролирате достъпа до чувствителни зони, можете да изберете система, която разполага с мобилни идентификатори или RFID технология.

Наблюдение в реално време на активността на потребителите и предупреждение за нарушения на сигурността.

Лесно генериране на отчети, което ще ви помогне да наблюдавате и подобрявате своите мерки за сигурност, да идентифицирате потенциални рискове за сигурността и да подобрявате цялостната ефективност на системата.

Мащабируемост: Изберете система, която може да расте заедно с вашия бизнес. Уверете се, че системата може да се справи с голям брой потребители, които имате в момента и в бъдеще и лесно се добавят нови точки за достъп.

Интеграция: Изберете система, която може да се интегрира с други системи. Тази възможност на системата ще ви помогне да спестите време, да намалите разходите и да подобрите точността.

Потребителско изживяване: Изберете система, която е лесна за използване и навигация, има удобен за ползване интерфейс и осигурява подходящо обучение и поддръжка.

Отдалечен достъп: Тази функция позволява на потребителите да имат достъп до защитени зони или информация от отдалечено място, като използват мобилни или web-базирани приложения достъпни от всяка работна станция.

Разходи: Изберете система, която отговаря на вашия бюджет. Вземете предвид първоначалните разходи, текущите разходи и възвръщаемостта на инвестицията.

Репутация: Изберете система от реномиран интегратор с доказан опит, който ще може и да ви консултира в процеса на дизайн и да работи добре с вас по време на всички фази, включително последващата поддръжка.

Lack-of-network-segmentation
poruska_green_2_lirex
Lack-of-network-segmentation
poruska_green_2_lirex

Следващата стъпка

След като сте определили целите си, е да изберете подходящата система за контрол на достъпа и управление на работното време.

При избора си е важно да вземете предвид следните фактори:

Функционалност: Системата да разполага с всички функции, които са ви необходими, за да постигнете целите си. Например, ако искате да контролирате достъпа до чувствителни зони, можете да изберете система, която разполага с мобилни идентификатори или RFID технология.

Наблюдение в реално време на активността на потребителите и предупреждение за нарушения на сигурността.

Лесно генериране на отчети, което ще ви помогне да наблюдавате и подобрявате своите мерки за сигурност, да идентифицирате потенциални рискове за сигурността и да подобрявате цялостната ефективност на системата.

Мащабируемост: Изберете система, която може да расте заедно с вашия бизнес. Уверете се, че системата може да се справи с голям брой потребители, които имате в момента и в бъдеще и лесно се добавят нови точки за достъп.

Интеграция: Изберете система, която може да се интегрира с други системи. Тази възможност на системата ще ви помогне да спестите време, да намалите разходите и да подобрите точността.

Потребителско изживяване: Изберете система, която е лесна за използване и навигация, има удобен за ползване интерфейс и осигурява подходящо обучение и поддръжка.

Отдалечен достъп: Тази функция позволява на потребителите да имат достъп до защитени зони или информация от отдалечено място, като използват мобилни или web-базирани приложения достъпни от всяка работна станция.

Разходи: Изберете система, която отговаря на вашия бюджет. Вземете предвид първоначалните разходи, текущите разходи и възвръщаемостта на инвестицията.

Репутация: Изберете система от реномиран интегратор с доказан опит, който ще може и да ви консултира в процеса на дизайн и да работи добре с вас по време на всички фази, включително последващата поддръжка.

statia-ACS-Lirex
poruska_blue_3_lirex

LIREX може да ви консултира при избора на най-подходящото WAF/WAAP решение за вашите потребности, както и за достигането на необходимия баланс – производителност на защитата, отзивчивост за потребителите, цялостно оразмеряване.

За да се определи нормалното състояние и очакваната натовареност на IT платформата, ние провеждаме консултации със съответните екипи във вашата организация – инженери по инфраструктурата, разработчици и дори потребители. Това ни помага да разберем характеристиките и поведението на приложенията в различни сценарии. Правим анализ на релевантни ИТ параметри, за да определим граничните стойности за натоварване на платформата, ако това е случаят. Това може да включва мониторинг на трафика, използване на ресурси (CPU, памет, дисково пространство) и времето за отговор на приложенията.

След анализа, определяме средните и гранични стойности, които указват кога натоварването е извън нормалните граници. Тези стойности ни показват какви действия за планиране на  оптимизиране на платформата и подобряване на производителността ѝ трябва да бъдат взети. Те са т.нар. „прагове“, чието пресичане е сигнал за отклонение, което трябва да бъде изследвано, защото често се оказва показател за нежелани и зловредни прояви.

Още с внедряването, ние от LIREX сме готови да започнем дългосрочно споделяне на know-how съвместно с вашите администратори. Практиката ни е показала, че това е добър начин за овладяване на правилата, касаещи работата на WAF/WAAP – как да се използват, управляват и актуализират.  

От опит препоръчваме, дори и за съвсем познати приложения, WAFWAAP да започнат работа в режим на учене (learning mode). Така ще се натрупа достоверен baseline, конкретно за обкръжението и приложението, което ще се защитава. Тази стъпка е важна за изготвянето на първоначалните правила за защита, така че да се избегнат false-positives – блокиране на легитимно ползване.

Вторият важен аспект за осигуряването на цялостна защита на приложенията –  своевременният и редовен мониторинг, включва наблюдение на активността и откриване на необичайни дейности или опити за атаки. Това позволява на екипите за сигурност да бъдат известени за необичайна активност в приложението и средата му. Този процес спомага за разкриване и на все още непознати  заплахи. Освен това, предоставя информация за области, в които приложението и обкръжението му могат да бъдат подобрени.

statia-ACS-Lirex
poruska_blue_3_lirex

След избора на система за контрол на достъпа и управление на работното време се подгответе за нейното внедряване. На този етап е необходимо да вземете предвид следните неща:

Миграция на старата система: Ако заменяте съществуваща система, трябва да мигрирате данните си към новата, като подготвите чисти, точни и пълни данни.

Изисквания към хардуера и софтуера: Трябва да сте сигурни, че хардуерът и софтуерът ви отговарят на изискванията на новата система и са съвместими.

Обучение на потребителите: Направете обучение на служителите си как да използват системата.

Управление на промените: Подгответе служителите си за промяната. Разкажете им за ползите от новата система, обърнете внимание на техните притеснения и ги включете в процеса на внедряване.

Тестване: Преди да пуснете системата в действие тествайте внимателно нейната функционалност, интеграция и работа от потребителите.

statia-ACS-Lirex
poruska_blue_3_lirex

След избора на система за контрол на достъпа и управление на работното време се подгответе за нейното внедряване. На този етап е необходимо да вземете предвид следните неща:

Миграция на старата система: Ако заменяте съществуваща система, трябва да мигрирате данните си към новата, като подготвите чисти, точни и пълни данни.

Изисквания към хардуера и софтуера: Трябва да сте сигурни, че хардуерът и софтуерът ви отговарят на изискванията на новата система и са съвместими.

Обучение на потребителите: Направете обучение на служителите си как да използват системата.

Управление на промените: Подгответе служителите си за промяната. Разкажете им за ползите от новата система, обърнете внимание на техните притеснения и ги включете в процеса на внедряване.

Тестване: Преди да пуснете системата в действие тествайте внимателно нейната функционалност, интеграция и работа от потребителите.

Съчетаването на ефективни мерки за защита на входната точка на уеб приложенията с анализ на натоварването на платформата, помага да поддържате надеждна и сигурна IT инфраструктура, която е защитена срещу различни атаки.

Наскоро, в една от държавните организации, беше използван този подход, който съчетаваше защита и мониторинг. Подходът откри комбинация от ZeroDay атака и съвсем легитимна brute force атака. Първият тригер при „хващането“ беше пресичането на „праговете“ – на определените за нормални параметри на приложението и обкръжението му. Втория тригер дойде от засичането по същото време на повишени risk scores в логовете (traces) на WAF/WAAP.

Благодарение на натрупания опит и експертиза, екипът успя на ранен етап да идентифицира заплахата, да класифицира събитието като атака, която да бъде блокирана. На по-късен етап, новите security бюлетини потвърдиха за наличието и употребата на този нов начин за извършване на комплексни прониквания.

В заключение, защитата на приложенията е важен аспект в динамичния свят на технологиите. Съчетаването на интелигентни технологични защитни механизми като WAF/WAAP със здрав разум и наблюдение може да предостави необходимата сигурност и стабилност на приложенията, докато същевременно се поддържа оптимална производителност и функционалност.

Запознайте се с нашите решения за сигурност на трафика на страницата на LIREX.

Свържете се тук с екипа на LIREX за консултация и съдействие по внедряването и реализацията на сигурни мерки за защита на вашите уеб приложения.