Перейти к содержанию

Распространенные угрозы и атаки

В данной статье описана защита от следующих атак и угроз:

Угроза атаки "Отказ в обслуживании" (DDOS)

Распределенная атака типа "отказ в обслуживании" снижает качество работы сети и препятствует ее нормальной эксплуатации. Пользователь не может получить доступ к ресурсам сети. При атаке типа "отказ в обслуживании" злоумышленники пользуются следующими приемами:

  • отправка недействительных данных приложениям и сервисам, работающим в подвергающейся атаке системе, что препятствует их нормальному функционированию;
  • отправка большого перегружающего систему объема данных, что приводит к тому, что система прекращает реагировать на запросы или время ее реакции замедляется;
  • сокрытие следов атаки.

eXpress уменьшает риски таких атак, контролируя запросы клиентов с конечных точек, подсетей и федеративных объектов.

Угроза прослушивания трафика

Злоумышленник получает доступ к сетевому траффику и может отслеживать его. Прослушивание трафика также называется «перехватом» или «слежкой». Если трафик передается в виде обычного текста, злоумышленник может прочитать его, получив доступ к каналу обмена данными. Примером такой атаки является контроль маршрутизатора в составе такого канала.

eXpress использует протокол TLS при обращении клиента к серверу. Весь трафик в сети шифруется.

Угроза атаки "Человек посередине" (Man-in-the-middle)

Атака типа "Человек посередине" — перехват данных, передаваемых между серверами отправителя и получателя, третьей стороной. В результате злоумышленник получает возможность просматривать или изменять данные до того, как они будут доставлены получателю. Стороны считают, что обмениваются данными друг с другом, но на самом деле — со злоумышленником. 

В eXpress реализовано шифрования между клиентом и сервером. Сервер идентифицирует себя посредством предоставления цифрового сертификата, после чего между клиентом и сервером устанавливается шифрованный канал для обмена конфиденциальными данными.

Угроза межсайтового скриптинга (Cross Site Scripting)

Угроза заключается во внедрении нарушителем на страницу сайта или приложения вредоносного кода.  Внедренный скрипт будет выполнятся при просмотре страницы пользователем.

Данная угроза обусловлена слабостями механизма проверки безопасности при обработке запросов и данных, поступающих от веб-приложения.

Реализация угрозы возможна в случае, если клиентское программное обеспечение поддерживает выполнение сценариев, а нарушитель имеет возможность отправки запросов и данных в дискредитируемую систему.

На стороне сервера eXpress реализована защита от угрозы межсайтового скриптинга  с применением экранирования вводимых данных.

Угроза межсайтовой подделки запроса

Угроза заключается в отправке нарушителем пользователю ссылки на содержащий вредоносный код веб-ресурс, при переходе на который автоматически будут выполнены неправомерные действия от имени дискредитированного пользователя.

Данная угроза обусловлена уязвимостями браузеров, которые позволяют выполнять действия без подтверждения или аутентификации со стороны дискредитируемого пользователя.

Реализация угрозы возможна в случае, если дискредитируемый пользователь сохраняет аутентификационную информацию в браузере.

В eXpress реализована защита от данной атаки. Используется уникальный CSRF токен для каждого запроса пользователя, что не позволяет нарушителям применять произвольный код.

Угроза внедрения кода или данных

Угроза заключается во внедрения нарушителем в информационную систему вредоносного кода. В дальнейшем он может быть запущен «вручную» пользователями, автоматически при выполнении определённого условия (наступления определённой даты, входа пользователя в систему и т.п.) или с использованием заданных «по умолчанию» аутентификационных данных. Нарушители могут внедрить собственные данные для обработки в информационную систему, фактически осуществив незаконное использование чужих вычислительных ресурсов. Работа устройства может быть приостановлена при выполнении определенных команд.

На стороне сервера eXpress реализована защита от угрозы внедрения кода.

Угроза доступа к защищаемым файлам с использованием обходного пути

Угроза заключается в получении нарушителем доступа к скрытым/защищаемым каталогам или файлам посредством различных воздействий на файловую систему. Например, добавление дополнительных символов в путь к файлу или обращение к файлам, которые явно не указаны в окне приложения. Данная угроза обусловлена слабостями механизма разграничения доступа к объектам файловой системы.

Ее реализация возможна при следующих  условиях:

  • наличие у нарушителя прав доступа к некоторым объектам файловой системы;
  • отсутствие проверки вводимых пользователем данных;
  • наличие у программы слишком высоких привилегий доступа к файлам, обработка которых не выполняется с ее помощью.

В eXpress реализовано зашифрованное хранение всех данных на устройстве внутри контейнера, и применяется политику разграничения доступа к запрашиваемым ресурсам.

Угроза несанкционированного изменения аутентификационной информации

Угроза заключается в возможности осуществления неправомерного доступа нарушителем к информации аутентификации других пользователей с помощью штатных средств операционной системы или специальных программных средств. Данная угроза обусловлена слабыми мерами разграничения доступа к информации аутентификации. Реализация данной угрозы может способствовать дальнейшему проникновению нарушителя в систему под учетной записью дискредитированного пользователя.

В eXpress реализована политика разграничения доступа, не позволяющая реализовать данную угрозу. 

OWASP Top 10

OWASP Top 10 – это регулярно обновляемый рейтинг основных угроз безопасности веб-приложений.

eXpress учитывает рекомендации из данного списка критических уязвимостей в построении корпоративных систем, чтобы минимизировать риски от угроз безопасности.

В последней редакции OWASP Top 10 от 2021, перечислены следующие уязвимости:

Нарушение контроля доступа (Broken Access Control)

Это набор уязвимостей, при которых система плохо контролирует уровни доступа к информации или к своей функциональности. По этой причине злоумышленники могут воспользоваться функциями, к которым не должны иметь доступа. В eXpress реализована политика разграничения доступа, не позволяющая реализовать данную уязвимость.

Сбои криптографии (Cryptographic Failures)

Сбои криптографии — это уязвимости, связанные с неправильной настройкой и использованием криптографических методов для защиты данных. К ним относят недостаточную длину ключей, ненадёжные условия их хранения, использование устаревших алгоритмов и другие ошибки в криптографической реализации.

В eXpress реализована политика разграничения доступа, не позволяющая реализовать данную уязвимость.

Внедрение кода (Injection)

Внедрение кода или инъекция — это пользовательский ввод с вредоносным кодом. Инъекции позволяют злоумышленникам внедрять свой вредоносный код на сервер и выполнять его. Результат — потеря данных, кража данных или повреждение системы.

При разработке eXpress осуществляется статический и динамический анализ кода, который позволяет выявлять такие ошибки на раннем этапе. Проводится тестирование на проникновение, которое включает в себя проверку реализации уязвимости на внедрение кода, валидируются и фильтруются входные данные. Принимаются только допустимые символы и структуры данных.

Небезопасный дизайн (Insecure Design)

Уязвимости этой категории возникают потому, что сама логика работы приложения может позволять использовать существующие функции для взлома. Например, в веб-приложение пользователи загружают файлы на сервер без проверки. Злоумышленники могут использовать эту функцию и загрузить на сервер исполняемый файл с вредоносным кодом. 

В eXpress реализована проверка входных данных, также существует интеграция с антивирусами, что не позволяет реализовать данную уязвимость.

Неправильная конфигурация (Security Misconfiguration)

Небезопасная конфигурация — это ситуация, когда настройки приложения, сервера, базы данных или других компонентов системы не являются безопасными. К этой группе уязвимостей относят ненадёжные или отсутствующие настройки аутентификации, авторизации и доступа.

В eXpress реализуется корректная настройка конфигурационных файлов при развертывании системы с соблюдением всех требований безопасности.

Уязвимые и устаревшие компоненты  (Vulnerable and Outdated Components)

К этому типу уязвимостей относят случаи, когда веб-приложение использует сторонние фреймворки, библиотеки, плагины или другие компоненты, которые имеют выявленные дефекты безопасности.

В eXpress реализовано регулярное сканирование контейнеров инструментом Trivy на предмет общеизвестных уязвимостях в заимствованных компонентах. Выявленные дефекты подлежат устранению и обновлению версий до неуязвимых. Также в CI/CD внедрен инструмент Dependency track, который выявляет уязвимости CVE в компонентах.

Ошибки идентификации и аутентификации (Identification and Authentication Failures)

Слабые пароли, недостаточная проверка подлинности, неэффективные системы учёта сеансов — всё это OWASP относит к ошибкам идентификации и аутентификации.

В eXpress реализована защита от данной уязвимости.

Нарушения целостности программного обеспечения и данных (Software and Data Integrity Failures)

К этой группе уязвимостей относят случаи, если приложение или оборудование работают неправильно после обновления.

В eXpress для проверки целостности данных и обнаружения несанкционированных изменений применяется хеширование и цифровые подписи.

Сбои регистрации и мониторинга безопасности (Security Logging and Monitoring Failures)

Это уязвимости, при которых система неправильно регистрирует аномальные события, касающиеся безопасности. К ним также относят отсутствие или неправильную настройку механизмов логирования и отсутствие уведомлений о подозрительных событиях.

В eXpress интегрирована DLP система, которая отслеживает подозрительную активность, а также ведется журнал событий безопасности.

Подделка запросов на стороне сервера (Server-Side Request Forgery)

Подделка запросов на стороне сервера (server-side request forgery, SSRF) — это тип уязвимости, при котором злоумышленник заставляет сервер отправлять запросы к внутренним ресурсам или внешним сайтам.

В eXpress введено ограничение и контроль доступа сервера к внутренним и внешним ресурсам.