Защита веб-сервисов и бизнес-приложений

Современные информационные услуги становятся все более удобными, интерактивными и клиентоориентированными и все чаще предоставляются удаленно посредством сети Интернет через обычный веб-интерфейс. Такие простые сервисы как электронная почта, заказ пиццы, покупка каких-либо вещей или такие сложные как дистанционное банковское обслуживание, предоставление государственных услуг – сегодня все доступно через сеть. Это очень удобно, но и это очень опасно. Особенно учитывая то, что возможность веб-доступа могут иметь не только фронтофисы информационных систем (ИС) розничных компаний, но и критичные бизнес-системы, а сервисы предоставляются не только в сегменте b2c, но и b2b. Поэтому атака на веб-сервисы – одна из самых опасных и распространенных угроз, способная вызвать финансовые или репутационные потери для владельца сервиса, но и привести к финансовым потерям его клиентов. Ежегодные прямые убытки от атак на веб-ресурсы по разным данным составляют от 1 до 3,5 триллионов долларов США. Косвенные убытки и потери, связанные с ущербом репутации, упущенной прибылью, похищением данных кредитных карт, персональных данных и пр. не поддаются оценке.

Веб-сервисы часто разрабатывают студии и люди, не имеющие никакого представления об информационной безопасности, а решения, которые они используют не позволяют ни обеспечить защиту самой системы, ни разграничить периметры веб- и внутренних информационных систем. Другая встречающаяся крайность – экономия финансов и времени на разработку веб-приложений как не основного продукта при внедрении ИТ-систем, что способствует снижению уровня безопасности даже изначально надежных платформ и, часто вызывает появление уникальных уязвимостей в добавок к имеющимся стандартным.

Угрозы, которым подвергаются корпоративные веб-сервисы, имеют пять основных видов:

• Нарушение доступности сервиса вследствие атаки типа «отказ в обслуживании».
• Подмена веб-сайта или изменение его содержания с целью осуществления прямых злонамеренных действий или сбора данных для последующего их использования.
• Внедрение вредоносного кода на веб-сайт без его видимого изменения с целью осуществления атаки на ИС владельца сервиса или на пользователей.
• Мошенничество с клиентскими данными (кража/изменение данных CRM, биллинга и пр).
• Утечка данных с веб-ресурса – прямая кража персональных данных пользователей, информации об их банковских картах и т.п.

Все это – серьезные риски, которые должны учитываться, а потенциальные потери – минимизироваться. «АСТ» имеет опыт внедрения комплексных систем по защите корпоративных веб-сервисов и бизнес-приложений, способных обеспечить всестороннюю защиту от описанных угроз как на уровне фронт-энда сервисов, так и на уровне их внутренней функциональной инфраструктуры. При этом используются методологии и лучшие в своем классе продукты, гарантирующие высокий уровень безопасности.

Комплекс защиты от атак на веб-ресурсы включает в себя средства, которые обеспечивают выполнение следующих функциональных задач:

• Разграничение периметров внутренних ИС, баз данных (БД) и внешних веб-интерфейсов.
• Осуществление контроля обращений к ресурсам, их независимый аудит.
• Защиту от атак на уровне веб-приложений.
• Защиту от атак на уровне запросов к базам данных.
• Поиск и анализ аномалий на уровне пользователей и запросов.

Внедрение обеспечивает комплексную защиту веб-приложений и дает следующие результаты:

1. Снижение времени простоя веб-сервисов из-за инцидентов ИБ.
2. Своевременное обнаружение злонамеренных действий и инцидентов ИБ, недопущение их развития или предотвращение.
3. Снижение риска возникновения инцидентов, связанных с мошенничеством.
4. Выполнение требований регулирующих законодательных актов, нормативных документов и стандартов (PCI DSS, 152-ФЗ, СТО БР ИББС 1.0).