Защита веб-приложений: тренды, рекомендации, ошибки и прогнозы в эфире AM Live
31 января прошел прямой эфир AM Live о практике защиты веб-приложений. Спикеры обсудили типичные и нетипичные ошибки защиты, безопасность в облаке, целесообразность использования WAF и многое другое. В эфире принял участие заместитель технического директора NGENIX Владимир Зайцев.
Делимся с вами основными тезисами Владимира Зайцева о том:
➡️ почему компании продолжают «страдать» от атак, несмотря на разнообразие средств защиты;
➡️ что стоит учесть при организации защиты веб-приложений;
➡️ какие важные рекомендации по защите веба нужно учесть в 2025 году.
Почему компании продолжают «страдать» от атак, несмотря на разнообразие средств защиты
Первая причина — многие компании по-прежнему рассматривают безопасность веб-приложений не как непрерывный процесс, а как точечное решение проблем. Раньше такой подход работал: покупка оборудования позволяла устранить конкретную уязвимость или отразить определенную атаку. Однако в современных условиях, когда киберугрозы приобрели комплексный характер, это неэффективно. Компаниям нужно выстроить непрерывный процесс обеспечения веб-безопасности, включающий в себя разработку решений, подбор квалифицированных ИБ-специалистов и покупку необходимого оборудования.
Вторая причина — постоянная эволюция разных методов атак.
➡️ Заметно растет мощность DDoS-атак — посмотреть статистику DDoS за второе полугодие 2024 года можно здесь. Такие атаки дешевеют в плане организации и становятся доступными большему количеству недоброжелателей. Также есть серьезные группировки, у которых имеются большие ресурсы. Если цель привлекательна, злоумышленники могут осуществить атаку, которая превысит возможности средств митигации.
➡️ Развитие нейросетей облегчает атаки на цепочки поставок (supply chain). Теперь, например, злоумышленник, найдя уязвимость в компоненте или open-source-решении типа WordPress, может при помощи нейросети собрать целую выборку веб-приложений с этим уязвимым компонентом и скомпрометировать их.
➡️ Боты становятся более продвинутыми и часто способны адаптироваться к методу митигации за несколько часов, потому что их создают и обучают высококвалифицированные команды разработчиков.
Третья причина — компания покупает инструмент защиты и кладет его «пылиться на полку», так как нет сотрудника, способного эффективно управлять этим инструментом защиты. Квалифицированные ИБ-кадры — очень острая проблема для всех. Сейчас специалистов не хватает, особенно сильно это ощущают небольшие компании с ограниченным бюджетом. Подробнее об этом мы рассказывали здесь.
Что стоит учесть при организации защиты веб-приложений
➡️ Защита веб-приложений точно нужна бизнесу, но волшебную таблетку никто еще не придумал. Важно грамотно построить систему защиты или делегировать защиту облачному провайдеру.
➡️ Развитие и поддержка собственной инфраструктуры для митигации DDoS-атак — это дорогой и сложный процесс. А еще атаки становятся всё мощнее, в какой-то момент оборудование on-prem-решения может не справиться с митигацией крупной атаки. У облачных сервисов инфраструктура больше.
➡️ Недостаточно защищаться от DDoS-атак только на L3 (уровне сети). Более 60% DDoS-атак в 2024 году было направлено на L7. Уровень приложений — уязвимее и сложнее для защиты. Злоумышленники пользуются этим и атакуют бизнес-логику веб-приложений (API, формы авторизации).
➡️ Необходимо защищать от атак DNS, потому что он участвует в обработке каждого запроса. 21% всех DDoS-атак в 2024 году приходился на DNS. Если DNS-сервер не справится с объемом запросов, получатели не получат доступ к сайту.
➡️ Нельзя «закручивать гайки», не учитывая паттерны трафика веб-приложения. Некорректное использование средств защиты может привести к проблемам. Например, если WAF настроен «агрессивно» и не учитывает специфику трафика, он может блокировать запросы пользователей во время всплесков легитимной нагрузки, например, распродаж. Часть функциональности сайта будет ограничена или сайт будет работать медленно, что негативно скажется на работе бизнеса.
Две рекомендации по защите веба на 2025 год
Совет № 1 — постарайтесь «импортозаместиться». Велика вероятность, что использование популярных зарубежных решений будет под запретом регулятора. Например, о запрете Cloudflare уже активно говорят не первый год: мы рассказывали об этом здесь. При этом российский ИБ стремительно развивается и многие отечественные провайдеры предлагают достойные функциональные аналоги.
Совет № 2 — делегируйте защиту облачному провайдеру. Некоторые компании по привычке скептически относятся к миграции в облако. Однако, если ваша деятельность не ограничена строгими регуляторными требованиями, переход в облако целесообразен. Облачные провайдеры ежедневно сталкиваются с актуальными киберугрозами, располагают готовой инфраструктурой и знают, как обеспечить безопасность и доступность вашего веб-приложения 24/7.
🧑💻 Больше полезных материалов о защите веб-приложений — в нашем блоге:
«Комплексный подход: рассказываем, что такое эшелонированная защита», где мы рассказали, с какими проблемами может столкнуться веб-ресурс без должной защиты; что такое эшелонированная защита; из чего состоит эшелонированная защита NGENIX.
«Сайт упал: почему DDoS-атаки опасны для вашего бизнеса», где мы рассказали, что такое DDoS-атаки и при чем тут боты; какие последствия DDoS-атак могут быть; какие известные компании сталкивались с масштабными DDoS-атаками.
«Бот-атака ≠ DDoS-атака: что такое паразитный бот-трафик и почему умные боты опасны», где мы рассказали, что такое бот-атака и умные боты; чем бот-атаки отличаются от DDoS-атак; почему умные боты опасны для сайта; кто в зоне риска и как именно паразитный бот-трафик вредит сайту.