Бесплатно Экспресс-аудит сайта:

30.04.2020

Эксперты Positive Technologies назвали главные угрозы веб-приложений и оценили рынок WAF в России

Последние три года злоумышленники наиболее активно атаковали веб-ресурсы государственных учреждений (первое место по количеству атак), компаний кредитно-финансовой отрасли, ритейла, сфер образования и науки и ИТ, а также медицинских организаций. В 2019 году каждая пятая хакерская атака была направлена на веб-ресурсы. При этом каждое веб-приложение в среднем содержало более четырех критически опасных уязвимостей. Такие данные были представлены компанией Positive Technologies на презентации четвертого поколения PT Application Firewall ― системы защиты приложений от веб-атак.

Эксперты отметили, что ситуация, заставившая компании перевести свой бизнес в онлайн, не останется незамеченной злоумышленниками. Наиболее опасные угрозы для стабильности высоконагруженных приложений связаны с активностью бот-сетей, финансово мотивированных злоумышленников и APT-группировок.

Операторы бот-сетей, таких как Neutrino , монетизируют зараженные веб-ресурсы по-разному: путем майнинга криптовалют, продажи доступа к личным кабинетам и перенаправления трафика, проведения DDoS-атак и атак на посетителей сайтов. «В число наиболее вероятных жертв таких атак входят владельцы распространенных CMS: злоумышленники в среднем уже через два дня начинают эксплуатировать уязвимости после появления первых данных о них. Решить проблему можно с помощью систем защиты (например, WAF), реализующих механизмы выявления актуальных угроз благодаря различным технологиям, в том числе и глубокого машинного обучения», — пояснил Алексей Новиков, директор экспертного центра безопасности Positive Technologies (PT Expert Security Center).

На долю финансово мотивированных злоумышленников приходится не менее трети от общего числа атак. В случае с атаками на веб-приложения это может быть сопряжено с рисками последующего доступа злоумышленников к платежным сервисам пользователей, атак на различные системы лояльности. Для их защиты необходимы инструменты анализа действий пользователя и выявления поведенческих аномалий.

Что касается APT-группировок, то их мишенями становятся как четко определенные группы пользователей, атакуемые по сценарию «хищник у водопоя» (watering hole), так и конкретные организации, — для этого злоумышленники могут атаковать в том числе веб-интерфейсы администрирования различного оборудования. Например, в марте этого года группа APT41 использовала веб-уязвимости в панелях управления различных устройств, включая Citrix.

Данный ландшафт угроз определяет требования к основному средству защиты веб-приложений — решениям класса web application firewall (WAF). Для противодействия бот-сетям, финансово ориентированным злоумышленникам и APT-группировкам современный WAF должен обеспечивать высокую доступность веб-приложений — до 99,999% времени (или не более 5,5 минут простоя в год), а также работу только в режиме активного предотвращения атак, возможность установки в распределенной инфраструктуре, точное определение и классификацию ботов на зловредных и безопасных, выявление новейших и неизвестных угроз не только на приложения, но и API.

Реальное положение дел (достаточное число атак и нацеленность злоумышленников на веб) находит свое отражение и в том, как меняется рынок WAF не только с точки зрения технологий, но и с точки зрения их востребованности. «По нашим оценкам, объем российского рынка WAF за последние пять лет вырос в пять раз и на конец 2019 года превысил 1 млрд. рублей [2], — заявил Максим Филиппов, директор по развитию бизнеса Positive Technologies в России. — Сегодня решения класса WAF входят в топ-3 ключевых технологий , используемых для защиты современными крупными предприятиями и компаниями среднего и малого бизнеса. На долю PT Application Firewall по итогам 2019 года приходится 50% объема этого рынка WAF в России и СНГ, а общее число компаний, применяющих PT Application Firewall, за последние два года увеличилось почти до 250. В ближайшие один-два года Positive Technologies планирует занять 60―70% рынка WAF в России, в том числе за счет наращивания доли крупных инсталляций».

[1] Advanced persistent threat (APT) – сложная целенаправленная кибератака на конкретные компании или государственные организации.

[2] Собственная оценка аналитиков Positive Technologies, основанная на публичных и непубличных данных по инсталляциям продуктов класса WAF на рынке России и стран СНГ[2]