Разработка критериев оценки экрана веб-приложений. Основные подходы к защите веб-приложений. Анализ российских нормативных документов. Зарубежная практика выбора экрана веб-приложений. Разработка и обоснование общих требований к механизмам защиты.
Аннотация к работе
На сегодняшний день можно уверенно говорить о том, что веб-технологии прочно вошли в жизнь любого бизнеса, являясь наиболее удобным способом предоставления информации: коммерческие и государственные структуры весьма активно предоставляют свои услуги, используя публичные и частные сети для всех видов пользователей. Преимущества такого подхода очевидны - улучшаются наиболее критичные показатели бизнес-процессов: производительность, оперативность, доступность, стоимость и т.п. Но с ростом возможностей веб-приложений происходит и увеличение совокупной стоимости обрабатываемой в системе информации, а также возрастает вероятность эксплуатации уязвимостей в развивающемся функционале прикладного обеспечения. Последние исследования показывают, что веб-приложения наиболее подвержены атакам со стороны хакеров, являясь при этом как самой их целью, так и отправной точкой для целенаправленной атаки на всю сеть предприятия. Такой подход работал, пока организация обслуживала только одно или два веб-приложения и могла закрывать издержки по обеспечению процесса анализа исходного кода, валидации конфигураций, и тестирования для каждого из веб-приложений.Это вполне закономерное делегирование задач, кто как не разработчики смогут исправить те ошибки исходного кода приложений, которые и приводят к появлению уязвимостей. При этом на разработчиков накладывались функции по обеспечению безопасности приложений, как и в процессе непосредственно разработки, так и уже после очередного релизного цикла, когда с помощью ручного или автоматизированного тестирования обнаруживались новые ошибки, приводящие к возможности эксплуатировать уязвимости. Многолетняя практика такого подхода привела к выработке определенных правил разработки и тестирования, которые формализовали эти процессы и позволяли их масштабировать и применять от одной к команде к другой в рамках различных организаций. Стандарты так или иначе помогают создать цикл безопасной разработки программного обеспечения, указывают на основные стадии разработки, и меры, которые необходимы применять в контексте каждого этапа с целью уменьшения вероятности возникновения ошибок в разрабатываемом продукте. 1 Обучение · Повышение знаний, умений и общей квалификации сотрудников, задействованных в цикле безопасной разработке · Осведомление о цикле безопасной разработке, передача необходимых знаний о его процессахЭкран веб-приложений может быть реализован как облачный сервис, программное обеспечение для веб-сервера, программно-аппаратный комплекс железное или виртуальная машина для сред виртуализации. Развитие рынка веб-приложений пока складывается так, что облачный сервис востребован в среднем и малом бизнесе, для крупного бизнеса актуален программно-аппаратный комплекс. Хотя шансы его развития в будущем крайне большие, связано это с тем, что устанавливая экран веб-приложений непосредственно на веб-северве, мы экономим ресурсы поддерживающей работы приложения инфраструктуры на дешифрацию, парсинг, и обработку запроса. Дело в том, что остальные режимы внедрения экрана веб-приложения подразумевают двойное выполнение данных процедур, сначала на экране, а затем уже и непосредственно на самом приложении. Помимо фактора экономии ресурса, агентский экран веб-приложений эффективен с точки зрения безопасности, так как позволяет избежать ошибок нормализации при интерпретации запроса.В итоге получается, что для защиты информации в приложениях у служб защиты информации на предприятии есть три возможных подхода: · внедрить процессы цикла безопасной разработки; Каждая из этих контрмер в своей мере закрывает определенные риски снижая вероятность возникновения угроз и уменьшая возможность ущерба, но при внедрении только одной из контрмер совокупные риски эксплуатации приложения все равно в определенный момент продолжат расти и перестанут покрываться внедренной контрмерой. В контексте использования только анализаторов исходного кода - ошибкой будет вкладываться в дорогостоящую разработку для устранения всех замечаний отчета, которые в итоге будут определятся лишь конечным количеством проверок в анализаторе и не заменят защиту, базирующуюся на белых списках. Таким образом, совместное использование анализатора исходного кода и экрана веб-приложений даст более оптимальную модель управления рисками приложений, хоть и точка входа в такую модель управления рисками будет существенно дороже. Когда экран веб-приложений интегрирован с процессами тестирования безопасности приложений, владельцы веб-инфраструктур получают возможность публиковать приложения, содержащие даже критически опасные уязвимости.В которым, были определены требования для новых типов межсетевых экранов, среди которых и требования для экранов веб-приложений, классифицированного как межсетевой экран уровня веб-сервера. Межсетевой экран уровня веб-сервера (тип «Г») - межсетевой экран, применяемый на сервере, обслуживающем сайты, веб-службы и веб-приложения, или на физической границе сегмента таких серверов (сервера).В результате обновления у сертифицирующих
План
ОГЛАВЛЕНИЕ защита экран веб приложение
ВВЕДЕНИЕ
ГЛАВА 1. ПОДХОДЫ К РЕШЕНИЮ ЗАДАЧИ ЗАЩИТЫ ВЕБ-ПРИЛОЖЕНИЙ
1.1 Организация цикла безопасной разработки и анализ кода
1.2 Применение экрана веб-приложений
1.3 Комплексный подход к защите веб-приложений
ГЛАВА 2. РАЗРАБОТКА КРИТЕРИЕВ ОЦЕНКИ ЭКРАНА ВЕБ-ПРИЛОЖЕНИЙ
2.1 Анализ Российских нормативных документов
2.2 Анализ зарубежных практик
2.3 Требования к механизмам защиты экрана веб-приложений
ГЛАВА 3. РАЗВИТИЕ ЭКРАНОВ ВЕБ-ПРИЛОЖЕНИЙ В БУДУЩЕМ
3.1 Объединение процессов безопасной разработки и технологий экранирования
3.2 Развитие интеллектуального поведенческого анализа пользователей веб-приложений
Список используемой литературы
Приложение № 1. Критерии оценки экранов веб-приложений