СРАВНИТЕЛЬНЫЙ АНАЛИЗ СРЕДСТВ ЗАЩИТЫ ВЕБ-ПРИЛОЖЕНИЙ И ВЫРАБОТКА РЕКОМЕНДАЦИЙ ПО ИХ ИСПОЛЬЗОВАНИЮ НА ПРЕДПРИЯТИИ

COMPARATIVE ANALYSIS OF WEB APPLICATION PROTECTION TOOLS AND DEVELOPMENT OF RECOMMENDATIONS FOR THEIR USE AT THE ENTERPRISE

Danila Kalinin

Student, Department of Cybersecurity of Information Systems, Don State Technical University,

Russia, Rostov-on-Don

АННОТАЦИЯ

Тема исследования посвящена актуальной проблеме обеспечения безопасности веб-приложений, которые являются ключевым элементом цифровой инфраструктуры современных предприятий. В работе проводится сравнительный анализ современных средств защиты, включая веб-прикладные файрволы (WAF), системы обнаружения вторжений (IDS), инструменты сканирования уязвимостей, а также решения для аутентификации и авторизации. Основное внимание уделяется оценке их эффективности, удобству интеграции, стоимости, масштабируемости и соответствию требованиям стандартов безопасности (например, OWASP Top 10, PCI DSS).

ABSTRACT

The research topic is devoted to the current problem of ensuring the security of web applications, which are a key element of the digital infrastructure of modern enterprises. The work provides a comparative analysis of modern security tools, including web application firewalls (WAF), intrusion detection systems (IDS), vulnerability scanning tools, as well as authentication and authorization solutions. The main focus is on assessing their effectiveness, ease of integration, cost, scalability and compliance with security standards (e.g. OWASP Top 10, PCI DSS).

Ключевые слова: информационная безопасность, WAF, сканеры уязвимостей, антивирусы, веб-сайт, обеспечение безопасности веб-сайтов, импортозамещение.

Keywords: information security, WAF, vulnerability scanners, antiviruses, website, website security, import substitution.

Введение

В условиях цифровой трансформации веб-приложения стали неотъемлемой частью бизнес-процессов, обеспечивая взаимодействие с клиентами, партнерами и сотрудниками. Однако их повсеместное использование делает их привлекательной мишенью для кибератак, которые приводят к утечкам данных, финансовым потерям и репутационным рискам. По данным Verizon DBIR 2023, более 80% нарушений безопасности связаны с уязвимостями в веб-приложениях, такими как SQL-инъекции, межсайтовый скриптинг (XSS) и недостатки аутентификации. Это подчеркивает критическую важность внедрения надежных механизмов защиты, адаптированных к потребностям конкретного предприятия.

Основные категории средств защиты веб-приложений

Для эффективной защиты необходимо использовать целый комплекс инструментов, адаптируя их под конкретные сценарии и регулярно обновляя базы данных уязвимостей. Это позволяет создать многоуровневую систему защиты, способную противостоять широкому спектру современных угроз. Современные средства защиты веб-приложений можно разделить на несколько ключевых категорий, каждая из которых решает специфические задачи:

1. Межсетевые экраны веб-приложений (Web Application Firewall);

2. Средства динамического и статического анализа кода;

3. Сканеры уязвимостей;

4. Балансировщики нагрузки и средства защиты от DDoS-атак;

5. Антивирусные решения.

Межсетевые экраны веб-приложений (WAF)

Анализируют HTTP-трафик для блокировки атак, таких как SQL-инъекции, XSS и подделка запросов (CSRF) [5]. Из популярных решений существуют Imperva SecureSphere, Cloudflare WAF, но также существуют отечественные аналоги, такие как: Solid Wall WAF, PT Application.

Solid Wall WAF — поддерживает режимы ПО, виртуального устройства и облачного сервиса, включен в реестр российского ПО [4].

PT Application Firewall (Positive Technologies) — обеспечивает ретроспективный анализ логов и интеграцию с динамическими сканерами [3].

Сравнивая существующие средства WAF иностранные решения сильны в масштабируемости и интеграции с облачными сервисами, а отечественные — в соблюдении регуляторных требований РФ и работе с локальной инфраструктурой (табл. 1).

Таблица 1

Сравнение WAF

Для предприятий, ориентированных на импортозамещение, Solid Wall WAF и PT Application Firewall соответствуют требованиям ФСТЭК и обеспечивают защиту на уровне зарубежных аналогов. При выборе важно учитывать поддержку HTTPS-трафика без раскрытия ключей, что критично для защиты данных [4].

Средства динамического и статического анализа кода

Динамический анализ, эффективен для обнаружения аномалий в Web Workers, WebAssembly и коде, загружаемом после запуска приложения [5]. Статический анализ, несмотря на ограничения (например, теорема Райса), полезен для предварительной проверки.

Динамические инструменты: Iroh.js, Clinic.js.

Статические инструменты: ESLint, NodeJsScan.

Для критически важных приложений комбинируйте динамический и статический анализ. Например, встраивание анализатора в браузерный движок (V8, Gecko) повышает точность обнаружения аномалий [5]. Используйте статические анализаторы на этапе разработки для сокращения базовых уязвимостей.

Сканеры уязвимостей

Большинство сканеров уязвимостей выявляют уязвимости из OWASP Top-10, такие как инъекции, XSS и CSRF. Одними из самых популярных сканеров являются: Metasploit framework, Acunetix. Также существуют отечественные аналоги:

Сканер-ВС (НПО «Эшелон») — поддерживает проверку контрольных сумм по ГОСТ Р 34.11, сертифицирован ФСТЭК [4].

XSpider (Positive Technologies) — анализирует до 10 000 сетевых узлов, интегрируется с системами контроля соответствия стандартам [4] (табл. 2).

Таблица 2

Сравнение отечественных и иностранных сканеров уязвимости

Для предприятий с требованиями к сертификации (ФСТЭК, ФСБ) предпочтительны Сканер-ВС и XSpider. При выборе оценивайте поддержку современных технологий (REST/JSON, WebSocket) и точность обнаружения уязвимостей (табл. 3).

Таблица 3

Сравнение технологий анализа уязвимостей

Балансировщики нагрузки и защита от DDoS

Говоря о средствах защиты веб-приложений нельзя исключать защиту от таких типов атак как DDoS. F5 Networks Local Traffic Manager, Cloudflare DDoS Protection являются не только средствами защиты от DDoS, но и балансировщиками нагрузки. Из отечественных аналогов стоит отметить Yandex Network Load Balancer и Сервис Ростелекома. Они обеспечивают фильтрацию HTTPS-трафика, а Сервис Ростелекома защиту объектов КИИ [4].

Антивирусные решения

Для защиты серверов необходимо подобрать решения с поддержкой отечественных ОС (Astra Linux, Ред ОС). Антивирусное ПО должно иметь сертификаты ФСТЭК (например, CAB3 для Dr.Web) [4].

Kaspersky Endpoint Security — поддерживает серверные ОС, включая Astra Linux и Альт.

Dr.Web Server Security Suite — сертифицирован ФСТЭК и ФСБ, совместим с российскими ОС.

Заключение

Сравнительный анализ средств защиты веб-приложений показывает, что комплексный подход, включающий различные инструменты и методы анализа, является наиболее эффективным способом обеспечения безопасности веб-приложений. Рекомендуется использовать комбинацию WAF, IDS/IPS, сканеров уязвимостей и методов безопасной разработки для достижения высокого уровня защиты от актуальных угроз.

Список литературы:

1. Крылов И.Д., Кича И.В., Яковлев Д.П., Беликов Г.В., Селищев В.А. «Моделирование рисков информационной безопасности типа обхода web application firewall» / Крылов И.Д., Кича И.В., Яковлев Д.П., Беликов Г.В., Селищев В.А. // Известия Тульского государственного университета. Технические науки, 2023 , DOI: 10.24412/2071-6168-2023-4-167-171 - С.169-173. – Текст: электронный.
2. И.Д. Крылов, И.В. Кича, Д.П. Яковлев, А.А. Жданов, Д.К. Шульга, И.О. Елфимов Г.В. Беликов, В.А. Селищев «Определение рисков информационной безопасности типа обхода web application firewall» / И.Д. Крылов, И.В. Кича, Д.П. Яковлев, А.А. Жданов, Д.К. Шульга, И.О. Елфимов Г.В. Беликов, В.А. Селищев // Известия ТулГУ. Технические науки. 2023. Вып. 8, DOI: 10.24412/2071-6168-2023-8-305-306 – C.305-314. – Текст: электронный.
3. Шутько Н.А. «Теоретические понятия защиты web-приложений от уязвимостей» / Шутько Н.А. // Международный научный журнал «ВЕСТНИК НАУКИ» №11 (56), 2022, Т.4, УДК 004.056.57 – C.253-268. – Текст: электронный.
4. Довгаль В.А., Шередько Д.И. «Обеспечение информационной безопасности веб-сайта в условиях импортозамещения» / Довгаль В.А., Шередько Д.И. // Вестник Адыгейского государственного университета. Серия 4: Естественно-математические и технические науки, 2022, DOI: 10.53598/2410-3225-2022-2-301-67-77 – C.67-78 – Текст: электронный.
5. Михеева О.И., Гатчин Ю.А., Савков С.В., Хамматова Р.М., Нырков А.П. «Методы поиска аномальных активностей веб-приложений» / Михеева О.И., Гатчин Ю.А., Савков С.В., Хамматова Р.М., Нырков А.П. // Научно-технический вестник информационных технологий, механики и оптики, 2020, Т.20, №2, DOI: 10.17586/2226-1494-2020-20-2-233-242 – C.233-264. – Текст: электронный.
6. Ковцур М. М., Кириллов Д. И., Михайлова А. В., Потемкин П. А. «Разработка методики внедрения машинного обучения для повышения информационной безопасности web-приложения» / Ковцур М. М., Кириллов Д. И., Михайлова А. В., Потемкин П. А. // Техника средств связи, 2020, УДК 004.056 – С.74-89. – Текст: электронный.
7. Пулко Т. А., Држевецкий Н. А., Ромейко М. Ю. “Сканер веб-уязвимостей technoscan” / Пулко Т. А., Држевецкий Н. А., Ромейко М. Ю. // Endless light in science, 2023, УДК 004.056.2 – С.212-249. – Текст: электронный.
8. Яковлев Г. О., Батетников И.А. «Сравнительный анализ кибербезопасности в компании с течением времени» / Яковлев Г. О., Батетников И.А. // Вестник науки и образования, Часть 2, 2020 – С.1-12. – Текст: электронный.
9. Кодацкий Н. М., Муратов И. А. «Решения в кибербезопасности» / Кодацкий Н. М., Муратов И. А. // StudNet №1, 2022 – C.615-647. – Текст: электронный.