ПРОБЛЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ СОВРЕМЕННЫХ ВЕБ-ПРИЛОЖЕНИЙ

Аннотация. В статье рассмотрено текущее состояние информационной безопасности веб-приложений, проанализированы статистические данные.

Рассмотрены проблемы, связанные с обеспечением безопасности, а также указаны методы по улучшению ситуации.

Ключевые слова: Информационная безопасность, веб-приложения, уязвимости веб-приложений.

Введение

В наше время развитие информационных технологий, и, в частности, интернета идёт значительными темпами. Недавно глобальная сеть была лишь набором статических страниц, но постепенно она превратилась в огромную экосистему многофункциональных приложений и веб-сервисов, работающих с данными миллионов людей и выполняющих множество финансовых операций.

Несмотря на тенденцию стандартизации, развитие законодательства, а также многие годы опыта, наработанные специалистами в сфере разработки веб-приложений, информационная безопасность веб-ресурсов оставляет желать лучшего.

На протяжении последних восьми лет ежегодные статистические исследования показывают примерно одинаковые результаты: около 60% веб-приложений уязвимы [3]. Атаки на них по-прежнему представляют серьезную угрозу как для компаний, предоставляющих услуги, так и для обычных пользователей.

В данной статье мы попробуем выяснить, в чем заключаются причины данного явления.

Результаты исследования и использованные методы

К сожалению, при разработке веб-приложений проблеме информационной безопасности уделяется мало внимания, или не уделяется вовсе. Часто, проблемы, которые могли бы быть решены, решаются лишь формально, а также игнорируются по просьбе менеджера или просто из-за лени специалиста [3, c. 47].

Имеют место и проблемы, связанные с моделью разработки — специалисты приходят к выводу о том, что на сегодняшний день нельзя выделить какую-либо стандартизированную модель для разработки безопасных веб-приложений [5].

Более того, существует фундаментальная проблема, которая характеризует веб-приложения. Реализуя клиент-серверную архитектуру, разработчик должен учитывать, что клиент находится вне зоны контроля приложения и может отправлять серверу любые запросы [6, c 16]. Поэтому приложение должно работать со всеми отправленными пользователем данными как с потенциально опасными, что, в свою очередь, ставит разработчика в невыгодное положение, так как в настоящее время не представляется возможным использовать универсальные системы валидации для всех типов пользовательского ввода.

В вопросе обеспечения информационной безопасности разработчики слишком сильно полагаются на разнообразные готовые решения и фреймворки, а также использование стороннего кода для облегчения своих задач, и, зачастую, там, где это не является необходимым. Например, в веб-приложениях, использующих популярный фреймворк Ruby on Rails, используется в среднем 113 сторонних программных зависимостей, при этом большинство самых популярных зависимостей имеют хотя бы одну известную уязвимость [1].

Исследования показывают, что текущее состояние технологий в целом не может обеспечить механизмы защиты информации на уровне приложения [4, с. 18]. Поэтому, в особенности для защиты критически важных веб-приложений, содержащих данные большого количества пользователей или оперирующих финансами, необходимо использовать другие способы.

Такие способы существуют, ведь, несмотря на усиливающееся внимание к области защиты информации в интернете, веб-приложения остаются менее изученными и защищенными, чем сети или операционные системы, ввиду их относительной новизны [6, с. 10].

Так, семантические методы предоставляют надёжные механизмы против хакерских атак различных категорий и схем, поддерживая их комплексное и быстрое распознавание [4].

Многие современные организации предлагают использовать технологию Web Application Firewall (WAF), которая обеспечивает защиту готовых веб-приложений с разумными затратами усилий и без необходимости изменения самого приложения, а также является подходящим инструментом для выполнения требований стандартов и законодательства [2].

Заключение

Пользователи веб-приложений и компании-поставщики услуг продолжают сталкиваться с критическими угрозами, объём которых остаётся неизменно высоким. Проблема безопасности веб-приложений носит комплексный характер и связана как с организационными факторами, такими, как недооценка её значимости, так и с техническими, причем последние имеют серьёзные фундаментальные предпосылки.

Существенное изменение ситуации в ближайшее время не представляется возможным, хотя сообщество специалистов может создавать культуру работы над информационной безопасностью приложения как до начала проекта, так и во время его разработки, а также после неё — на всех стадиях жизненного цикла ИС, удаляя внимание программным уязвимостям, работая с приложением в реальном времени и используя более современные методы защиты от атак.

Список литературы:

1. Hakiri, Ruby Security Have You Not!, URL: https://hakiri.io/blog/ruby-security-have-you-not, дата обращения: 17.12.2018
2. OWASP Best Practices: Use of Web Application Firewalls, URL: https://www.owasp.org/index.php/Category:OWASP_Best_Practices:_Use_of_Web_Application_Firewalls, дата обращения: 20.12.2018
3. Positive research 2010-2018, URL: https://www.ptsecurity.com/ww-en/analytics/, дата обращения: 17.12.2018
4. Razzaq A. et al. Semantic security against web application attacks //Information Sciences. – 2014. – Т. 254. – С. 19-38.
5. Shuaibu B. M. et al. Systematic review of web application security development model //Artificial Intelligence Review. – 2015. – Т. 43. – №. 2. – С. 259-276.
6. Stuttard D., Pinto M. The web application hacker's handbook: Finding and exploiting security flaws. – John Wiley & Sons, 2011.