- •Экспертный аудит
- •Тест на проникновение (пентест)
- •Аудит безопасности web-приложений
- •Автоматическое сканирование
- •Метод «черного ящика» (Black Box)
- •Метод «белого ящика» (White Box)
- •Оценка рисков
- •Выработка рекомендаций
- •Внедрение мер по обеспечению информационной безопасности
- •Аудит информационных систем
- •Комплексный аудит
- •Подготовка к сертификации на соответствие международному стандарту iso/iec 27001:2005
Аудит безопасности web-приложений
О проблеме
Безопасность веб-сайтов и веб-приложений, возможно, один из наиболее игнорируемых аспектов обеспечения информационной безопасности организации. Веб-приложения доступные 24 часа в сутки, 7 дней в неделю, представляют собой отличную мишень для злоумышленников, так как чаще всего они связаны с другими компонентами системы - базами данных, в которых может храниться конфиденциальная информация организации или ее клиентов, а также партнеров. Хакеры уделяют много внимания веб-приложениям, которые включают в себя различные заполняемые формы, динамический контент, возможность он-лайн авторизации и совершения различных операций (например, возможность он-лайн трансакций). Файрволы, использование SSL или блокирование портов бесполезны против взлома веб-приложений. В дополнение веб-приложения, обычно пишутся индивидуально под заказчика, и поэтому тестированию таких приложений уделяют гораздо меньше времени чем массовому продукту.
Последние новости показывают, что даже сайты огромных корпораций, могут быть подвержены взлому. Основной причиной таких инцидентов, становятся ошибки в написании программного кода веб-сайтов, от которых не застрахован даже очень опытный разработчик.
Большинство компаний в современных рыночных условиях уделяют недостаточно внимания безопасности своих web-приложений. Зачастую руководство может оправдывать такой подход низкой степенью влияния web-приложений на бизнес-процессы компании. Если речь идет о сайте-визитке, то потери от скомпрометированного web-узла действительно можно расценить как минимальные. Однако не стоит забывать, что и в этом случае компания может нести значительные репутационные риски, связанные, например, с ситуацией когда на сайте происходит малозаметная подмена контента. Совсем иная ситуация возникает когда бизнес-процессы компании полностью основаны на функционировании web-приложения. К данной категории относятся интернет-магазины, корпоративные порталы, электронные торговые площадки, SaaS-приложения и т.д. Возможные финансовые потери компании в случае вывода приложения из строя или хищения/подмены данных могут варьировать в очень широком диапазоне. Согласно последнему исследованию, проведенному Web Application Security Consortium (WASC), вероятность возникновения уязвимостей высокой степени риска среди исследованных приложений составила от 80 до 96 %
Закон о персональных данных
До 1 января 2010 года все операторы ПД обязаны привести свои информационные системы обработки персональных данных в соответствие требованиям закона «О персональных данных». Под действие данного закона попадает большинство web-ресурсов сегмента электронной коммерции. Учитывая специфику разработки подобных web-приложений в российской части Интернета можно предположить что большинство из них потребуют дополнительной проверки на предмет возможности утечки информации, классифицируемой как персональные данные.
Методика аудита
Проведение аудита безопасности web-приложения предполагает несколько этапов работ:
-
Автоматическое сканирование
На данном этапе проводится автоматическое сканирование web-узла при помощи программных средств обнаружения уязвимостей. Проводится анализ наличия типичных решений, применяемых для web -ресурса, таких как CMS, форумы, гостевые книги и тд. Большинство подобных решений имеют открытый исходный код и хорошо изучены на предмет наличия уязвимостей. Дополнительно проводится поиск эксплойтов в случае обнаружения подобных уязвимостей. Автоматическое сканирование позволяет выявить не только ошибки на уровне исходного кода web-сценария, но также и типичные ошибки администрирования сервера.