Книга: Безопасность веб-приложений. Исчерпывающий гид для начинающих разработчиков
Назад: Ориентированность на облако
Дальше: Инструменты инвентаризации приложений

Современные инструменты

Инструментарий для обеспечения безопасности приложений менялся с течением времени, при этом многие концепции были заново изобретены или переосмыслены благодаря новым технологиям. В этом разделе мы рассмотрим новейшие (на момент написания книги) виды инструментов для обеспечения безопасности. Данный список не является исчерпывающим. Он предназначен для того, чтобы дать общее представление о множестве различных видов инструментов, доступных специалисту по безопасности приложений.

Интерактивное тестирование безопасности приложений IAST

IAST – это сочетание статического и динамического тестирования безопасности приложений, которое выполняется внутри приложения во время его использования. Данные инструменты устанавливаются с помощью двоичного файла внутри приложения, работающего в реальном времени, и выдают результаты практически в реальном времени. IAST работают только в том случае, если приложение активно, поэтому, даже если выбранный для тестирования инструмент автоматизирован, следует обеспечить ему контакт с приложением. Такие инструменты тестируют только те части кода или приложения, с которыми взаимодействуют пользователи, отсюда и их название (интерактивные). Они не проверяют весь код, даже если охватывают все части приложения, которые используются конечными пользователями.

Идеальными ситуациями для использования IAST являются: тестирование качества, тест на проникновение или оценка безопасности, использование автоматизированного инструмента сканирования DAST, а также случаи, когда низкий пинг, который они создают, допустим во время эксплуатации. Уровень пинга варьируется от продукта к продукту и от приложения к приложению.

Запуск защиты приложений

Инструменты запуска защиты приложений (англ. Runtime Application Security Protection, RASP) также являются устанавливаемыми в приложение двоичными файлами. Однако обычно они устанавливаются только в эксплуатационных средах. Они действуют как щит, анализируя все входные данные приложения на предмет потенциальной вредоносной активности. Многие из них могут похвастаться использованием искусственного интеллекта (AI) и машинного обучения (ML) для анализа входных данных приложения на наличие неправильных или потенциально вредоносных запросов, в результате которого найденные ненадлежащие входные данные блокируются до того, как попадут в приложение.

RASP также часто называют «обратным прокси» или «WAF нового поколения». WAF означает брандмауэр веб-приложений (англ. web application firewall) – еще один вид инструмента для защиты приложений.

Пинг варьируется от продукта к продукту и от приложения к приложению. Следует помнить, что все инструменты, обеспечивающие защиту приложения, в той или иной степени понижают пинг.

Контроль целостности файлов

Контроль целостности файлов (рис. 8.4) гарантирует, что системные файлы не будут изменены без одобрения администратора. Идея контроля целостности файлов заключается в гарантии того, что вирусы и другие вредоносные программы не обойдут средства контроля приложений с помощью изменения имени на такое же, как у системного файла.

Инструменты контроля приложений (список одобренного программного обеспечения)

Средства контроля приложений используются для обеспечения работы на сервере или хост-компьютере только одобренного программного обеспечения. С помощью этих инструментов компания составляет белый список, приложения из которого могут работать на всех хост-компьютерах или только на серверных машинах. Все, что не входит в этот список, блокируется. Эти средства могут быть неудобны организациям, не утверждающим программное обеспечение для использования на серверах или хост-машинах.



Рис. 8.4. Работа мониторинга целостности файлов и средств контроля приложения





Когда вредоносная программа загружается на компьютер, первое, что она делает, это пытается запустить себя. Если установлен инструмент контроля приложений, он сразу же увидит, что вредоносная программа не входит в список одобренных, и заблокирует ее запуск. Следующее, что делает вирус, – пытается подменить свое имя названием какого-нибудь системного файла, чтобы обмануть средства контроля приложений. Остановить эту атаку можно с помощью мониторинга целостности файлов (описанного в предыдущем разделе). Совместное использование мониторинга целостности файлов и средств контроля приложений обеспечит защиту систем от всех типов вредоносного ПО, кроме разве что самых усовершенствованных.

ПРИМЕЧАНИЕ. Для правильной установки и обслуживания этих инструментов требуется довольно много административных ресурсов, но они значительно снижают риск атаки вымогателя и других типов вирусов.

Инструменты безопасности, созданные для конвейеров DevOps

В настоящее время разрабатывается или выходит на рынок несколько новых видов инструментов обеспечения безопасности, предназначенных специально и исключительно для работы в конвейерах CI/CD. Некоторые из них являются повторением оригинальных идей SAST и DAST, но некоторые – абсолютно новые и довольно изобретательные инструменты.

Совершенно новые инструменты объединяют несколько инструментов вместе и запускают их одновременно, тем самым сокращают время, затрачиваемое на выполнение задач по обеспечению безопасности. Они также объединяют полученные результаты, чтобы на одной панели была видна полная информация по безопасности всех приложений, интегрируемые в конвейеры хранилища секретов и инструменты, анализирующие результаты тестирования всех приложений с помощью AI/ML, и на их основе создают прогнозы рисков и списки приоритетов.

Назад: Ориентированность на облако
Дальше: Инструменты инвентаризации приложений