Цифрова трансформація триває і сьогодні у гіперфокусі підприємств перехід на хмарні технології та побудова гібридного робочого середовища. Проте питання кібербезпеки неухильно залишається на першому місці як для великих, так і для малих організацій. Особливо коли кількість атак зростає щодня.
Чи зменшується кількість серйозних вразливостей чи атак з роками? Коротка відповідь – ні. Небезпечні вразливості продовжують виявляти слабкі частини системи та системні порушення, користуючись неналежною підготовкою організацій та їх технічних відділів. Підтвердженням є значний вплив Log4Shell, який підкосив підприємства по всьому світу. Компанії виявились вразливими до атак «віддаленого виконання коду» (RCE) через широко застосовувану бібліотеку Log4j. Ця подія є ще одним нагадуванням про те, що ситуація не покращується. Про те, що потрібний надійний багаторівневий підхід до безпеки, щоб уникнути вразливості до постійних загроз.
Для тих, хто пристосовується до нової реальності гібридної віддаленої роботи, це непросте завдання: 69% організацій виявили, що за останні два роки збільшилися труднощі, пов’язані з гігієною безпеки та управлінням хмарними технологіями.
Відсутність необхідних ресурсів для виконання повсякденних задач, труднощі з отриманням дозволу на їх закупівлю і величезна нестача кваліфікованих кадрів у сфері ІТ-безпеки. Всі ці фактори спричиняють масштабну проблему, яка, сьогодні, переслідує майже кожне сучасне підприємство. Для розв’язання цього питання необхідна чітка і скоординована система менеджменту, за якою може слідувати вся організація, а також використання останніх напрацювань для пошуку вразливостей, що мають прямий вплив.
Компанія Invicti у своєму звіті зосередилася на дослідженні вразливостей, що були виявлені в середовищі 939 глобальних клієнтів компанії. Це дала змогу побачити тенденції їх розповсюдження.
На графіку показано скільки разів використання програмного забезпечення допомогло компаніям вчасно виявити RCE, SSRF, SQLi, LFI та OS. Як можна побачити, кількість вразливостей невпинно збільшується.
Результати дослідження показують що, кількість атак віддаленого виконання коду (RCE) з 2018 року стабільно збільшується, а частота підскочила на 5%. Міжсайтовий скриптинг (XXS), що є одним з із найпоширеніших видів атак, у 2020 році відзначився незначними покращеннями, але протягом 2021 кількість випадків зросла на 6%. Це говорить про те, що ці недоліки все ще залишаються поза радаром і утворюють негативну тенденцію.
Детальний огляд типових атак
Remote code execution (RCE)
RCE також називають ін’єкцією коду. Цей тип атаки дозволяє зловмисникам внести шкідливий код в програму та виконати його. Якщо вебдодаток не захищений від ураження RCE, зловмисник може зробити практично все, що дозволяє використовувана мова програмування. Це може включати встановлення вебоболонки для забезпечення зручного віддаленого доступу для вилучення конфіденційних даних, розгортання зловмисного програмного забезпечення або атаки інших систем у внутрішніх мережах. Яскравим прикладом небезпечного недоліку RCE є Log4Shell RCE 2021 в Apache Log4j, що черговий раз довів, що наявність навіть однієї вразливості RCE у виробничому середовищі – загроза саботування всієї системи. У списку «10 найбільших ризиків веббезпеки за 2021 рік» за версією OWASP, RCE та інші види ін’єкцій знаходяться на третьому місці. Зростання поширеності окремих вразливостей RCE може бути пов’язано з тим, що більше додатків розгортаються у вигляді кількох контейнерних компонентів.
Server-side request (SSRF)
Для того, щоб здійснити атаку типу SSRF, зловмисник, під час спілкування з іншими вебсайтами, програмами й системами видає себе за вебдодаток. Якщо програма, яка має доступ до зовнішнього вебресурсу, вразлива до SSRF, зловмисник може змусити її отримати доступ до іншого ресурсу. Найсерйозніший сценарій SSRF – це коли зловмисники можуть отримати доступ до систем, які повинні бути для них недоступними. Це може статися, коли вразлива програма має отримати зовнішній вебресурс (скажімо, стрічку новин), але замість цього отримує шкідливі дані. Ці дані змушують програму отримувати файл із власного приватного середовища, наприклад внутрішньої мережі або хмари. Вразливості SSRF можуть бути використані напряму для отримання даних. Однак, вони набагато небезпечніші, коли використовуються як шлюзи для інших атак. SSRF — єдина вразливість зі спеціальною категорією в рейтингу OWASP Топ 10 2021. Оскільки багато вебдодатків зараз покладаються на довірений API або внутрішній зв’язок, атаки SSRF можуть бути особливо небезпечними. Вони можуть дозволити зловмисникам отримати неавтентифікований доступ до API через довірений сервер.
SQL injection (SQLi)
SQLi дозволяє зловмисникам змінювати або замінювати запити, які програма надсилає до своєї бази даних. Більшість вебпрограм використовують базу даних, яка приймає запити мовою SQL і відповідає, повертаючи дані запиту або виконуючи вказані операції з базою даних. Якщо програма створює свої запити до бази даних із несанкціоновано введених даних, які може контролювати зловмисник, вона вразлива до SQL-ін’єкції. Залежно від програми та конфігурації бази даних, успішна атака SQLi може призвести до несанкціонованого доступу, скомпрометованих облікових даних, витоку даних компанії або навіть повної втрати даних, якщо зловмисник видалить таблиці бази даних. Попри те, що SQLi є однією з найстаріших вебвразливостей із відомими методами усунення, вона все ще зустрічається в сучасних вебдодатках.
Local file inclusion (LFI)
LFI або локальне включення файлів змушує вебпрограму розкрити або запустити певні файли на сервері. LFI має схожість з методом відомим як directory traversal або path traversal. Відмінність лише в тому, що directory traversal дозволяє зловмисникам керувати файлами, які знаходяться за межами головного каталогу, коли LFI застосовується саме до файлів в каталозі. Якщо вебдодаток надає доступ сторонньому користувачу та використовує цей зв’язок під час завантаження файлу, він може бути вразливим до LFI. Типовий випадок – розміщення імен файлів безпосередньо в URL-адресі, де зловмисники можуть змінити їх вручну. Доступ до локальних файлів зазвичай призводить до розкриття інформації, що дозволяє зловмисникам завантажувати файли, які в іншому випадку мали б бути для них недоступними. Наприклад, якщо конфіденційні дані розміщенні на певному вебсервері в файлах, до яких повинні мати доступ лише авторизовані користувачі програми, вразливість LFI може дозволити зловмисникам дивитися і завантажувати ці файли. У поєднанні з іншими вразливими місцями LFI може сприяти атакам, таким як XXS, OS або навіть віддалене виконання коду (RCE).
OS command injection
OS command injection, simply command injection або просто ін’єкція команд, дозволяє зловмисникам виконувати системні команди через вебдодаток. Вебсайт або програма вразливі до цієї атаки, якщо вони надсилають команди до операційної системи та включають вхідні дані неперевірених користувачів під час виконання цих команд. Вразлива програма може вставляти дані користувача безпосередньо в параметри команди, дозволяючи зловмисникам запустити атаку, яка виконує додаткові команди в локальній операційній системі програми. Введення команд в операційну систему надзвичайно небезпечне. Це може дозволити зловмисникам взяти під контроль вебсервер, витягти конфіденційні дані, встановити вебоболонку для віддаленого доступу, розгорнути шкідливе програмне забезпечення та здійснити подальші атаки зі зламаної системи. Подібно до RCE, зростання кількості випадків ін’єкції команд може бути пов’язано зі зростанням популярності модульних контейнерних розгортань, де кожна служба або мікросервіс потенційно представляє окрему ціль для ін’єкції, хоча вплив буде сильно різнитися залежно від служби.
Cross-site scripting (XSS)
Міжсайтовий скриптинг (XSS) дозволяють зловмисникам вводити шкідливий код JavaScript і виконувати його в браузері користувача. Багато розробників недооцінюють можливості XSS, але цей тип атаки надає можливість відкрити шлях до розкриття конфіденційних даних, перехопити сеанси, перенаправити на шкідливі сайти, а також встановити шкідливе програмне забезпечення. Наприклад, зловмисник може розсилати типові, з першого погляду, посилання, які містять частину відомого та надійного доменного імені та частину замаскованого зловмисного коду. Фактично, будь-хто, хто натисне це посилання, буде атакований і вважатиме, що атака надійшла з сайту підприємства.
Cross-site request forgery (CSRF)
Якщо користувач уже аутентифікований на цьому сайті (скажімо, увійшов у свій банківський акаунт), шкідливі запити, надіслані зловмисником через CSRF, розглядатимуться як його дії. CSRF може буде цілком достатньо одного кліку по посиланню, що виглядає цілком безпечним, в електронному листі з фішингом, щоб надати можливість шахраям виконати багатомільйонний банківський переказ. Атаки CSRF часто спрямовані на форми для авторизації й подібні форми, які можуть призвести до захоплення облікового запису (за допомогою функції скидання пароля) або несанкціонованого доступу (через щойно створені шкідливі облікові записи). CSRF входить в категорію “Порушення контролю доступу”, яка посідає перше місце серед усіх ризиків AppSec у рейтингу OWASP Top 10 2021.
Підсумок
Конфігурація програми AppSec у кожної організації індивідуальна. Однак, кожна компанія з відповідальним ставленням до безпеки повинна враховувати п’ять фундаментальних елементів:
- Використовувати модель дизайну безпеки, яка охоплює систему повністю
- Включити безпеку в кожен етап життєвого циклу розробки програмного забезпечення
- Ставити питання безпеки на етапі пре-кодингу, щоб забезпечити безпеку архітектурної основи програми
- Мінімізувати простій, зокрема затримку через складності комунікацій між відділами
- Інвестувати в інноваційні інструменти, автоматизувати максимальну кількість процесів
