Мысли о последнем эксплойте NHS “WannaCry” — может ли это повториться, может ли это быть хуже и какие уроки можно извлечь?
Эксплойт NHS “WannaCry” — это может случиться снова, и это может быть хуже!
На этой неделе мы стали свидетелями широкомасштабного взлома компьютерных систем, что повлекло за собой серьезные последствия для всех нас как людей, на самом фундаментальном уровне — на уровне нашего здоровья.
Это очень тревожный сигнал, прежде всего потому, что многое из этого можно было предотвратить. К счастью, эта проблема затрагивала только старые машины с Windows XP, поэтому ее цель была ограничена.
Каков следующий большой риск? Мы считаем, что медленные темпы внедрения брандмауэров приложений подвергают многие приложения серьезному риску.
WAF (Web Application Firewall) существует уже давно, его задача — защищать веб-сайты и приложения от специфических атак.
Веб-сервер — сильная мишень для атаки, потому что они обычно доступны как из внутренних, так и из публичных сетей. Они работают на мощном серверном оборудовании и, в отличие от пользовательского компьютера, всегда включены! Отличное место для атаки вредоносного ПО, подобного тому, что недавно наблюдалось в случае с “WannaCry” и NHS.
Хотя сейчас это стандартный компонент для предприятий, внедрение WAF на малом и среднем рынке происходило медленно, отчасти потому, что WAF считались сложными и ненужными на этом уровне.
Такие стандарты, как PCIDSS, в которых указано, что брандмауэры приложений необходимы для систем оплаты кредитными картами, ускорили внедрение для финансовых учреждений, но это лишь одна из областей.
Что это значит для остальных? Простой факт заключается в том, что сотни и тысячи веб-приложений уязвимы для веб-атак Layer7.
В то время как в большинстве компаний установлен традиционный брандмауэр, блокирующий доступ к портам и приложениям для внешних соединений, существуют также приложения, предназначенные для доступа широкой публики. Веб-сайт — самый простой пример этого.
Это означает, что Вы можете открыть дверь и позволить всем желающим получить доступ к Вашему веб-серверу. Откуда Вы знаете, что то, что они запрашивают с Вашего веб-сервера, является действительным? Откуда Вы знаете, что они честны? Откуда Вы знаете, что они не просто напрямую взламывают Ваш сервер, и Ваша единственная защита (последняя линия обороны) — это надежда на то, что на Вашем сервере установлена последняя заплатка, и, более того, что Ваше приложение или веб-сайт написаны разработчиком, прошедшим обучение безопасности.
Вы можете сказать, что Ваш сайт защищен, возможно, с помощью логина пользователя. Но откуда берется этот вызов на вход пользователя? Если Вы не используете сервер предварительной аутентификации или SSO (например, jetNEXUS), то вызов на вход будет поступать с сервера, который Вы пытаетесь защитить.
Так что да, это все равно что пускать людей в свой дом, но не пускать их на кухню, пока они не назовут Вам правильный пароль.
Работа брандмауэра веб-приложений заключается в анализе того, что пользователи запрашивают у веб-сервера, а также того, что веб-сервер отвечает пользователю. Это проверяется на соответствие известным типам атак и либо блокируется, либо разрешается (список из 10 наиболее важных рисков безопасности веб-приложений Вы можете найти здесь https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project).
Это очень отличается от обычного брандмауэра, и Ваш текущий брандмауэр, скорее всего, не предлагает такого типа защиты.
Хорошая новость заключается в том, что Вы, возможно, еще не подверглись атаке, поскольку, возможно, Вы являетесь небольшим приложением и не так интересны или заслуживают внимания, как глобальный банк или правительственная организация. К сожалению, мы видим, что многие небольшие приложения и веб-сайты теперь подвергаются атакам. Причина, как и почти во всем в ИТ, в том, что стоимость и сложность снижаются. Что я имею в виду? Взламывать уязвимые цели становится все проще, дешевле и автономнее. Если раньше, когда Вы были менее “интересной” целью, Ваши промахи в области безопасности приложений могли остаться незамеченными, то теперь это уже не так.
WAF, такие как edgeNEXUS, становятся все более простыми в использовании и очень экономичными. Вы даже можете свести к минимуму потерю данных, если Вы столкнетесь с нарушением со стороны другой системы или атакой нулевого дня. Это, несомненно, имеет отношение к GDPR.
Не станьте следующей жертвой атаки, которую можно предотвратить, используйте предварительную аутентификацию и установите брандмауэр веб-приложений.
