Эксперты Positive Technologies назвали главные угрозы веб-приложений и оценили рынок WAF в России

Последние три года злоумышленники наиболее активно атаковали веб-ресурсы государственных учреждений (первое место по количеству атак), компаний кредитно-финансовой отрасли, ритейла, сфер образования и науки и ИТ, а также медицинских организаций. В 2019 году каждая пятая хакерская атака была направлена на веб-ресурсы. При этом каждое веб-приложение в среднем содержало более четырех критически опасных уязвимостей. 

Эксперты отметили, что ситуация, заставившая компании перевести свой бизнес в онлайн, не останется незамеченной злоумышленниками. Наиболее опасные угрозы для стабильности высоконагруженных приложений связаны с активностью бот-сетей, финансово мотивированных злоумышленников и APT-группировок.

Операторы бот-сетей, таких как Neutrino, монетизируют зараженные веб-ресурсы по-разному: путем майнинга криптовалют, продажи доступа к личным кабинетам и перенаправления трафика, проведения DDoS-атак и атак на посетителей сайтов. «В число наиболее вероятных жертв таких атак входят владельцы распространенных CMS: злоумышленники в среднем уже через два дня начинают эксплуатировать уязвимости после появления первых данных о них. Решить проблему можно с помощью систем защиты (например, WAF), реализующих механизмы выявления актуальных угроз благодаря различным технологиям, в том числе и глубокого машинного обучения», — пояснил Алексей Новиков, директор экспертного центра безопасности Positive Technologies (PT Expert Security Center).

На долю финансово мотивированных злоумышленников приходится не менее трети от общего числа атак. В случае с атаками на веб-приложения это может быть сопряжено с рисками последующего доступа злоумышленников к платежным сервисам пользователей, атак на различные системы лояльности. Для их защиты необходимы инструменты анализа действий пользователя и выявления поведенческих аномалий.

Что касается APT-группировок, то их мишенями становятся как четко определенные группы пользователей, атакуемые по сценарию «хищник у водопоя» (watering hole), так и конкретные организации, — для этого злоумышленники могут атаковать в том числе веб-интерфейсы администрирования различного оборудования. Например, в марте этого года группа APT41 использовала веб-уязвимости в панелях управления различных устройств, включая Citrix.

Данный ландшафт угроз определяет требования к основному средству защиты веб-приложений — решениям класса web application firewall (WAF). Для противодействия бот-сетям, финансово ориентированным злоумышленникам и APT-группировкам современный WAF должен обеспечивать высокую доступность веб-приложений — до 99,999% времени (или не более 5,5 минут простоя в год), а также работу только в режиме активного предотвращения атак, возможность установки в распределенной инфраструктуре, точное определение и классификацию ботов на зловредных и безопасных, выявление новейших и неизвестных угроз не только на приложения, но и API.