В интервью NBJ Рами Мулейс, менеджер по продвижению продукта PT Application Inspector компании Positive Technologies, рассказал о проблемах безопасности банковских веб-приложений и о различных способах их защиты.

NBJ: Компания Positive Technologies предлагает два достаточно новых инновационных продукта для защиты веб-приложений – PT Application Firewall и PT Application Inspector. Каковы предпосылки их появления?

Р. МУЛЕЙС: С 2002 года компания Positive Technologies занимается поиском и анализом различного рода уязвимостей приложений. Компания имеет собственный исследовательский центр, результаты работы которого известны на мировом уровне. Positive Technologies активно взаимодействует с SAP, Microsoft и другими производителями ПО. Компания придерживается политики ответственного разглашения, то есть в первую очередь о каких-то уязвимостях мы сообщаем производителям. 

На базе исследовательского центра Positive Technologies вот уже много лет предоставляются услуги по анализу защищенности систем ДБО. По итогам проверок наши аналитики готовят отчеты и рекомендации, которые помогают устранить уязвимости, понять принципы проведения хакерских атак, устранить имеющиеся ­проблемы. 

Работая с банками в данном направлении уже достаточно давно, мы сделали несколько важных выводов. Так, в прошлом месяце наша компания опубликовала исследование по результатам работы именно с системами ДБО. Практически в каждой системе (90%) были обнаружены критические уязвимости. При этом покупка системы ДБО у известных вендоров не гарантирует защищенности. Количество банковских приложений растет, системы ДБО обзаводятся новыми функциями, и уязвимостей становится больше. Ошибки разработчиков не остаются без внимания злоумышленников.
Накопив значительную экспертизу, Positive Technologies начала разработку решений класса Application Security, нацеленных на защиту приложений. Мы стремились покрыть весь жизненный цикл приложений, поэтому создали сразу два продукта – PT Application Firewall (PT AF) и PT Application Inspector (PT AI).

NBJ: В чем особенности PT AF?

Р. МУЛЕЙС: PT AF – это защитный экран уровня приложений, предназначенный для выявления и блокирования современных атак на веб-порталы, ERP-системы и другие приложения. 

Подчеркну, что это никак не пересекается с сетевыми экранами по задачам. Web Application Firewall (WAF) работает только на уровне приложений. Например, ФСТЭК России в этом году вводит новую классификацию межсетевых экранов, в том числе появляется отдельная классификация для экранов, защищающих приложения. К такому типу решений относится PT AF, сертифицированный ФСТЭК и входящий в реестр российского программного обеспечения. 

Хочу отметить, что на российском рынке PT AF занимает уверенные позиции, которые мы планируем еще больше упрочить в этом году. Наряду с этим Positive Technologies c PT Application Firewall уже второй год подряд попадает в число «визионеров» рейтинга Magic Quadrant for Web Application Firewalls (среди средств защиты веб-приложений) аналитического агентства Gartner, причем в 2016 году Positive Technologies стала единственным «визионером». Международные эксперты отметили уникальные и передовые технологии защиты и реализацию сфокусированного на безо­пасности продуктового плана.

Раскрывая особенности нашего продукта, следует отметить, что PT AF использует в том числе технологии машинного обучения, позволяющие автоматически строить так называемую позитивную модель поведения пользователей приложения и отслеживать все отклонения от нее, отлавливая все аномальные запросы к ДБО. То есть при любом отклонении от типовой модели поведения действие считается аномальным, оценивается дополнительными механизмами защиты и блокируется. 

PT AF автоматически сортирует и ранжирует выявленные атаки, визуализирует угрозы таким образом, чтобы выделить действительно важные. Для этого используются специальные технологии построения цепочек атак. Способность PT AF автоматически коррелировать инциденты позволяет банкам обнаруживать и останавливать атаки на ранних этапах их развития. Внимание концентрируется только на опасных атаках, нерелевантные события отсеиваются. Кроме того, встроенный механизм проверки уязвимостей позволяет проверить, насколько актуальна обнаруженная атака. 

Благодаря механизму машинного самообучения PT AF выявляет и неизвестные ранее атаки или, другими словами, атаки «нулевого дня».

NBJ: Какова специфика PT Application Inspector?

Р. МУЛЕЙС: Почти одновременно с Application Firewall наша компания начала разработку Application Inspector – анализатора защищенности исходного кода приложений. 

Следует подчеркнуть, что в основном все анализаторы исходного кода, которые существуют на рынке (особенно российские), основываются на использовании механизмов статического анализа. Он подразумевает, что существует некий шаблон, по которому прогоняется исходный код и определяется, есть ли такая уязвимость или нет. Но существует и другой подход – динамический анализ, когда рассматривается не статический исходный код, а запущенное приложение и его реакция на те или иные запросы. 

Существуют решения, которые используют и статический, и динамический подход к анализу исходного кода. Мы пошли еще дальше. PT AI автоматически проверяет уязвимости приложения, применяя несколько методов анализа, не ограничиваясь статическим или динамическим методом. Это позволяет существенно снизить ложные срабатывания и сократить время аудита. 

PT AI генерирует тестовые запросы, позволяющие продемонстрировать наличие уязвимости. Благодаря этому на этапе приемки приложения можно поставить его разработчиков перед фактом выявления уязвимостей и даже продемонстрировать тестовый взлом. Кроме того, можно использовать эти отчеты для блокирования атак с помощью экрана уровня приложений (применяя механизм Virtual Patching), что позволит сразу блокировать атаки и нелегитимные запросы, использующие выявленную уязвимость. Таким образом, связка из двух решений (PT AF и PT AI) позволит выпускать релизы приложений, не дожидаясь, когда разработчики исправят найденные уязвимости.

Другими словами, когда проводится аудит безопасности сайта или ДБО и обнаруживаются какие-то уязвимости, все это доводится до сведения разработчиков, которые должны исправить ситуацию. Возникает вопрос: сколько нужно времени на исправление этих уязвимостей? Как правило – от нескольких недель до нескольких месяцев. Подобная проблема способна породить конфликт между бизнесом и безопасностью. Сочетание Application Inspector и Application Firewall, когда мы используем механизм Virtual Patching, дающий возможность модифицировать код, позволяет закрыть выявленную уязвимость на то время, пока проблема существует, и таким образом снять противоречия между бизнесом и рисками ИБ.

Необходимо также сказать о существовании такого подхода, как Secure Software Development Lifecycle (SSDL), – это процессы безо­пасной разработки, которые продвигаются многими крупнейшими ИТ-производителями. Внедрение процессов безопасной разработки предполагает, что сами разработчики участвуют в процессе поиска и исправления уязвимостей на этапе создания приложения. Ведь гораздо дешевле исправлять проблемы безопасности на этапе разработки и проектирования, чем делать это уже постфактум.

Наша новая версия Application Inspector SSDL как раз позволяет внедриться в процесс разработки и специалистам по ИБ, и разработчикам, и аналитикам. Таким образом, на всех этапах жизненного цикла приложения все возникающие проблемы можно закрыть с помощью двух наших решений: на этапе разработки – с помощью Application Inspector, на этапе эксплуатации – с помощью Application Firewall.