Аналитика и комментарии

04 ноября 2022
 

Эксперты «Информзащиты» проанализировали актуальные атаки через веб-приложения в 2022 году

По данным «Информзащиты» за 2022 год более 30% от общего количества киберинцидентов пришлось на атаки через веб-приложения. Это на 16% больше, чем за аналогичный период прошлого года. По данным зарубежных экспертов за 2020 год – веб-приложения оказались в центре 39% взломов. Хакеры используют уязвимости в коде приложения для получения доступа к базам, содержащим конфиденциальные данные.

Совершив кражу, злоумышленники используют их для получения выкупа или перепродают на чёрном рынке для дальнейшего использования в социальной инженерии.

С распространением веб-приложений поверхность атаки организаций значительно расширилась. Приложения есть на личных и рабочих устройствах, и очень часто остаются открытыми и работают в фоновом режиме, а обновления безопасности не всегда выполняются регулярно.

Зачастую веб-приложения содержат личную информацию пользователей, такую как финансовые и медицинские данные или другие конфиденциальные записи, которые могут быть монетизированы для незаконной выгоды. Это значит, что у хакеров есть возможность получить доступ к открытой, уязвимой поверхности атаки, а, следовательно, и к ценным сведениям.

От кибератак не застрахована ни одна отрасль, однако некоторые из них сталкиваются с большим давлением, чем другие. Эксперты «Информзащиты», анализируя 2021 и 2022 годы, утверждают, что больше всего от действий киберпреступников страдают финансы, сфера здравоохранения и государственное управление, а также сфера профессиональных услуг. Так, всплеск внедрения приложений для онлайн и мобильного банкинга ещё во время пандемии привёл к увеличению спроса организаций на управление огромными объёмами данных, связанных с личными финансами. Злоумышленники увидели в этой тенденции новые возможности: атаки через веб-приложения на сектор финансовых услуг увеличились на 38% в период с января по май 2021 года. Также хакеры стали чаще атаковать отрасль здравоохранения: базовые атаки на веб-приложения, разнообразные ошибки и вторжения в систему стали причиной 76% утечек данных в этой сфере в 2021 году.

У злоумышленников есть множество методов, которые они могут использовать для запуска атак на основе приложений. Сегодня можно определить некоторые из наиболее распространённых векторов.

Например, популярен среди хакеров межсайтовый скриптинг (или XSS). Данная атака происходит, когда злоумышленник внедряет вредоносный код на доверенный веб-сайт, отправляя его ничего не подозревающему пользователю. Предполагая, что код отправителя заслуживает доверия, браузер получателя выполняет его, не проверив, тем самым предоставляя хакеру доступ к любым записям, которые хранятся в браузере. Поэтому стоит помнить, что любые данные, которые не были созданы самим PHP для текущего запроса, являются ненадёжными. Браузер доверяет всему, что он получает от сервера, и это одна из главных причин межсайтового скриптинга.

Межсайтовый скриптинг при наличии SQL-инъекции – эта атака пользуется тем, что приложения должны запрашивать свою базу данных контента, чтобы выполнить запрос пользователя. Однако вместо того, чтобы удовлетворить обычный запрос контента, злоумышленник вставляет свой собственный SQL-запрос на веб-страницу, эффективно заменяя безобидный входной запрос вредоносным. Успешные атаки могут позволить злоумышленникам подделать личность, изменить данные, уничтожить данные или сделать их полностью недоступными.

Заполнение учётных данных: одна из наиболее распространённых техник захвата учётных записей пользователей. Эта атака включает в себя автоматическое внедрение утёкших паролей и имён пользователей методом грубой силы на сотни различных сайтов. Атака использует человеческую привычку повторно использовать один и тот же пароль для нескольких учётных записей и приложений.

DDoS: Распределённые атаки типа «отказ в обслуживании» работают, забивая сервер организации большим количеством запросов, чем он может обработать. Перегружая сервер, атака может сократить время загрузки веб-страниц и полностью вывести из строя целые веб-сайты. Цель хакеров состоит в том, чтобы разорвать линии связи и сделать службы приложения недоступными. Злоумышленники могут совершить DDoS-атаку, закодировав функцию счётчика циклов или специальное выделение объекта, которое вводит чрезвычайно большой объём запросов.

Несмотря на множество хакерских схем, у организаций тоже есть набор инструментов, которые используются для защиты от вторжений. Так, компании могут расширить видимость поверхности атаки с помощью автоматизированных инструментов безопасности, которые выявляют и устраняют уязвимости на ранних этапах жизненного цикла разработки программного обеспечения.

Также эксперты рекомендуют проводить дезинфекцию и проверку пользовательского кода. Дело в том, что большое количество атак на основе веб-приложений связано с использованием слабых мест в пользовательском вводе. Организации могут значительно снизить риск взломов, очистив свои вводимые данные. Это может быть сделано путём удаления нежелательных символов из ввода и проверки, чтобы гарантировать, что входные данные соответствуют установленным буквенно-цифровым требованиям безопасности.

Наконец, организации должны иметь в своем арсенале этичных (белых) хакеров. Эти эксперты умеют предвосхищать действия хакера, подвергая веб-приложения полному набору всевозможных методов вторжения, чтобы выявить имеющиеся уязвимости.

Текст: «Информзащита»

Материал также опубликован в печатной версии Национального банковского журнала (октябрь 2022)

Поделиться:

Возврат к списку