Оцінка ризиків використання Web-додатків

Наявність статистики дає можливість прогнозувати ризики пов'язані з використанням інформаційних систем і обгрунтовувати вибір контрзаходів. На жаль, отримати достовірну кількісну оцінку обсягу помилок, а вже тим більше – імовірності їхньої експлуатації досить важко. У даній статті наведено огляд деяких джерел, що дозволяють отримати статистичні дані про уразливість і атаках на Web-додатки.


Бази даних вразливостей


Відповісти на запитання про ймовірність виявлення тієї чи іншої проблеми можна за допомогою інформації з довідників (баз даних) вразливостей. На сьогоднішній день визнаним галузевим стандартом у цій галузі є список Common Vulnerabilities and Exposures (CVE). Однак безпосередньо сам список слабо упорядкований і вимагає серйозної аналітичної роботи для отримання корисних статистично результатів.


Щорічно аналітиками Mitre проводиться аналіз інформації в базі даних і публікується звіт про розподіл вразливостей за різними критеріями. Згідно зі звітом більше чверті проблем, виявлених у 2006 році, припадає на недоліки безпеки Web-додатків.


Аналогічну інформацію публікують і інші бази даних вразливостей. За інформацією порталу SecurityLab.ru, близько 40% всіх виявлених у 2007 вразливостей доводиться на Web-додатки (див. рис. 1).



Рис. 1 Розподіл вразливостей за типом додатків в 2007 році

Незважаючи на те, що інформація з баз даних вразливостей досить цікава з теоретичної точки зору, вона мало підходить для практичного використання у даному контексті. Це пов'язано з тим, що в бази даних потрапляє інформація про широко поширених додатках, чиє впровадження носить масових характер. Що стосується Web-додатків, то часто вони створюються під конкретну задачу і можуть бути розгорнуті тільки в одній мережі або в єдиному екземплярі. Останнім часом намітилася тенденція публікації в базах даних інформації не тільки про популярних Web-додатках, але і в часто використовуваних on-line сервісах. Наприклад – в загальнодоступних системах електронної пошти, пошукових системах, соціальних мережах і т.д. Однак поки це більше виняток, ніж правило. Таким чином, відповісти на запитання "Наскільки ймовірно виявлення уразливості в Web-додатку "за допомогою баз даних вразливостей неможливо.


Аналіз захищеності систем


Існують і інші підходи, наприклад, використання в якості вихідної інформації результатів робіт з аналізу та оцінки захищеності Web-додатків. Як правило, це метод використовується консалтинговими компаніями, що мають великий досвід у галузі безпеки додатків.


Як приклад подібних звітів можна привести щорічний звіт "Статистика уразливості Web-додатків" компанії Positive Technologies (PT) і щоквартальне огляд "Website Security Statistics Report" компанії WhiteHat Security (WH). Обидва звіти мають схожу структуру і містять статистику вразливостей Web-додатків, отриману в ході робіт з тестування на проникнення, аудиту безпеки та ін Для отримання даних використовувалися різні підходи, від сканування Web-додатків за допомогою сканерів з наступною перевіркою результатів до тестування методом "білого ящика", що включає також частковий аналіз вихідного коду.


Обидва звіту використовують класифікацію вразливостей Web Application Security Consortium Web Security Threat Classification. У цьому документі зібрані воєдино і організовані різні погрози безпеки Web-додатків. Проект є спроби розробки та популяризації стандартної термінології опису проблем безпеки в Web-додатках. Поширені уразливості Web-додатків організовані у структурований список, що складається з шести класів, кожен з яких містить кілька типів вразливостей і атак. В даний час готується до публікації друга редакція класифікації, що містить дев'ять класів загроз. Обидва звіту використовують елементи Web Security Threat Classification version 2 для опису таких проблем як "Розщеплення HTTP-відповіді" (HTTP Response Splitting) і "Підробка HTTP-запиту" (Cross-Site Request Forgery).


Цікаво, що дані звіти близькі не тільки за структурою, але і за результатами. Так, найбільш поширеною вразливістю обидва джерела визнають "міжсайтового виконання сценаріїв" (Cross-Site Scripting, XSS). Ця вразливість була виявлена в 74% всіх сайтів за версією Positive Technologies (див. рис. 2) і в 65 випадках з 100 (див. рис. 3) у клієнтів WhiteHat Security.


Найбільш поширеною вразливістю високим ступенем ризику обидві компанії визнають "Впровадження операторів SQL" (SQL Injection) ймовірність виявлення якої становить 31% – PT і 16% – WH. Менша ймовірність виявлення проблем різних типів у трактуванні WhiteHat Security цілком з'ясовна більшою зрілістю західного ринку і використанням результатів повторних перевірок додатків одного і того ж клієнта. На жаль, більшість російських власників Web-додатків знаходиться на етапі становлення процесу управління інформаційною безпекою.


У деяких пунктах, наприклад за кількістю вразливостей типу "Витік інформації" (Information Leakage) звіти досить серйозно розходяться (90% – PT і 40% – WH). Це пов'язано з тим, що WhiteHat Security включає у звіт лише уразливості, що мають "критичний", "невідкладний" і "високий" рівень ризику, в той час як Positive Technologies задіє всі знайдені недоліки.



Рис. 2 Ймовірність виявлення вразливостей різного типу (Positive Technologies)

Рис. 3 Ймовірність виявлення вразливостей різного типу (WhiteHat Security)

Оцінка ступеня ризику


Питання класифікації ступеня ризику, пов'язаного з уразливими додатків є важливою темою. На даний момент існує безліч методик оцінки небезпеки уразливості, але найбільш поширені наступні підходи:



  1. класична "світлофорна" оцінка, що виділяє уразливості "високою", "середньої" та "низькою" ступеня ризику;
  2. п'ятирівнева модель, прийнята в стандарті PSI DSS і визначальна рівні "критичний", "невідкладний", "високий", "середній" і "низький" (Urgent, Critical, High, Medium, Low)
  3. метод Common Vulnerability Scoring System (CVSS), що оцінює ступінь ризику як число від 0 до 10.

Не торкаючись переваг або недоліків кожного з методів можна виділити наступні особливості, які можуть впливати на достовірність оцінки:



  1. залежність від контексту;
  2. залежність від конфігурації системи;
  3. залежність від методу визначення.

У різних додатках уразливості одного типу можуть мати різну ступінь ризику. Так, вразливість "Підробка HTTP-запиту" може не становити загрози для типового репрезентативного сайту або пошуковою машини, і навпаки – класифікуватися як проблема високого ступеня ризику в Web-інтерфейсі електронної пошти або платіжної системи. У результаті витоку інформації зловмисник може отримати доступ до журналів роботи програми (низька або середня ступінь ризику), а може завантажити резервну копію вихідних текстів сайту (висока ступінь ризику).


Конфігурація конкретної системи також може чинити серйозний вплив на ступінь ризику. Так, вразливість "Впровадження операторів SQL" зазвичай класифікують як має високу небезпеку. Однак у випадку якщо Web-додаток працює з сервером СУБД з обмеженими привілеями, вона може бути віднесена до проблем середнього або низького ступеня ризику. В іншій інсталяції або реалізації програми ця ж уразливість може бути використана для отримання доступу до операційної системи з правами root, що природно робить її найбільш критичною.


У залежності від методу у глибини аналізу ступінь одна і та ж уразливість може бути оцінена по-різному. Якщо взяти наведений вище приклад "Впровадження операторів SQL", використання мережевого сканера дозволить тільки констатувати наявність проблеми. Для визначення привілеїв, доступних потенційному зловмиснику потрібно або спробувати використовувати помилку, або уточнити порядок взаємодії між Web-додатком і СУБД методом "білого ящика".


Кожен з наведених методів оцінки використовує свої підходи для обліку зазначених обставин. Це може бути абстрактне "експертну думку" в "світлофорної" оцінці або вагові коефіцієнти в CVSS, але в будь-якому випадку – метод і глибина аналізу роблять серйозний вплив на оцінку ризиків. Цю обставину необхідно приймати увагу при роботі зі звітами та статистичними даними.


Міжнародна статистика


Проблема об'єднання даних з декількох джерел, які використовують різні методи аналізу і підходи до оцінки ступеня ризику, позначилася на актуальності проекту Web Application Security Statistics Project міжнародної групи Web Application Security Consortium [9]. Спочатку дані для цього проекту надавалися компаніями Cenzic, Positive Technologies, SPI Dynamics і WhiteHat Security використовують схожі підходи до аналізу захищеності систем. Однак при спробі залучення більшої кількості учасників для формування звіту за 2007 рік, ініціативна група проекту зіткнулася з неможливістю об'єднання деяких результатів. Це призвело до того, що дані за 2007 рік поки не були опубліковані, і ймовірно не будуть доступні раніше другого півріччя 2008 року.


У будь-якому випадку Web Application Security Statistics Project є одним з найбільш масштабних проектів у галузі, і включає в себе результати аналізу 31373 додатків, що становить близько 0,03% всіх сайтів у мережі Інтернет в 2006 році. Залишається сподіватися, що роботи над проектом буде продовжено.


Вірогідність атаки


Однак імовірність виявлення уразливості не є ймовірністю реалізації загрози (атаки), яка потрібна в класичній моделі оцінки ризиків. Отримати реальні дані про інциденти достатньо складно. В основному використовуються два підходи: реєстрація інформації про інциденти та протоколювання спроб за допомогою технології honeypot або антивірусного сканування.
В якості цікавих прикладів першого типу можна навести портал Zone-H та проект Web Hacking Incidents Database. Портал Zone-H реєструє наслідки компрометації Web-додатків. Як правило, інформацію в архів заносять самі зловмисники. Цим визначається і наповнення архіву, що містить в основному інформацію про атаки "зламати хоч що-небудь".
База даних Web Hacking Incidents Database поповнюється на основі інформації, доступної в засобах масової інформації. У зв'язку з цим технічні деталі, як правило, відсутні або недостатньо конкретні, проте об'єкти успішних атак вельми і вельми значні. Найчастіше в інформації про інцидент є інформація, що дозволяє оцінити наслідки атаки.
Прикладами використання технології honeypot для визначення найбільш вірогідних методів атак представлені в публікаціях Internet Security Threat Report компанії Symantec і звітах проекту "Distributed Open Proxy Honyepot”.


Висновок


Існуючі на даний момент відкриті джерела дають достатню базу для проведення оцінки ризику, пов'язаного з уразливими в Web-додатках. Різні джерела використовують різні дані і методи їх інтерпретації. У зв'язку з цим важливо вибирати найбільш відповідний для вирішення конкретних завдань інструмент. Благо, на даний момент в них не бракує.
Природно, не варто забувати, що уразливості Web-додатків, це не тільки технічні проблеми прикладної частини. Гучні інциденти часто пов'язані з крадіжкою паролів на адміністрування сайту або іншими проблемами, пов'язаними з персоналом.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*