Атаки на web стали сложнее

Как отметил генеральный директор ООО "АМ Медиа" Илья Шабанов, открывая онлайн-конференцию "Современная защита веб-приложений", атаки на web остаются одной из наиболее горячих тем, лишним подтверждением чему стал сбой вечером 30 января 2024 г. Он подчеркнул, что этот сбой наглядно показал реальную опасность и последствия, к которым могут привести такие атаки.

https://www.comnews.ru/content/231329/2024-01-31/2024-w05/1009/stala-iz…

Руководитель отдела анализа кода ООО "АТ Груп" (Angara Security) Илья Поляков обратил внимание, что ландшафт таких угроз претерпел серьезные изменения. По его оценке, злоумышленники все более активно используют атаки на цепочку поставок, включая разработчиков компонентов с открытым исходным кодом. При этом, как подчеркнул Илья Поляков, потенциал этого вектора очень большой, особенно он выделил Python-компоненты.

Технический директор ООО "Веблок" (Weblock, входит в ГК "Гарда") Лука Сафонов видит усиление социотехнического аспекта атак, к которым подключились квалифицированные специалисты, в том числе сотрудники ИТ-вендоров. Он привел пример инструмента "1000 игл", за которым стоит один из сотрудников Palo Alto, для проведения атак на крупные компании на уровне L7 модели OSI. Именно такой инструмент использовался в ходе атак на АО "РЖД" и ПАО "Сбербанк" в 2023 г.

https://www.comnews.ru/content/229916/2023-11-03/2023-w44/1008/organiza…

Руководитель отдела клиентских решений ООО "Современные сетевые технологии" (NGENIX) Антон Апряткин охарактеризовал 2023 г. как "год ботов", которые генерировали по самым консервативным оценкам до половины всего трафика. Основной целью для злонамеренных ботов, по его оценке, стала сфера электронной коммерции, при этом основным мотивом для таких атак является конкурентная борьба. Целью злоумышленников, как отметил Антон Апряткин, становится или ухудшение показателей сайта в поисковой выдаче, или действия, направленные на недоступность того или иного товара для обычных покупателей (авторы ботов пользуются тем, что товар в корзину можно поместить без авторизации). Также Антон Апряткин назвал новой тенденцией у хактивистов массовые атаки на вузы в период приемной кампании.

Лука Сафонов привел из личного опыта пример, как с помощью таких манипуляций компании за ночь теряли 16 млн руб. Он также обратил внимание, что при атаках злоумышленники активно осваивают сервисную модель с разграничением ролей. В качестве примера Лука Сафонов привел распространение по подписке результатов исследования незащищенных протоколов API, используемых при тестировании мобильных приложений, которые злоумышленники используют для краж персональных и платежных данных.

Управляющий директор ПАО "Группа Позитив" (Positive Technologies) Денис Кораблев назвал тенденцией последних двух лет эксплуатацию уязвимостей массового ПО, причем не только с открытым кодом, но и коммерческого. По его словам, это стало закономерным результатом пренебрежения нормами безопасной разработки, тогда как злоумышленникам эти уязвимости хорошо известны, и инструменты, которые их эксплуатируют, легко найти и применить, даже обладая не очень высокой квалификацией.

Лука Сафонов назвал закономерной реакцией бизнеса развитие программ Bug Bounty, которое подстегивает то, что компании, запускающие такие программы, резко прекращают "ломать". Денис Кораблев назвал главными задачами игроков рынка - способствовать, чтобы такая практика была как можно скорее полностью легализована, и обучать всех участников данного процесса. Также он призвал регуляторов лучше учитывать специфику разных классов приложений. По мнению Дениса Кораблева, требования ФСТЭК по безопасной разработке, которые создавались в расчете на проверку низкоуровневого кода, для web-приложений плохо применимы. Но в целом Денис Кораблев, которого поддержали другие участники дискуссии, видит рост практического интереса к внедрению технологий безопасной разработки и безопасности приложений. Руководитель направления pre-sale ООО "Сторм Лабс" (Stormwall) Дмитрий Белянин заявил, что их применение уже становится фактическим стандартом для разработчиков, пусть и медленнее, чем хотелось бы.

Другим перспективным направлением, по мнению участников дискуссии, может стать применение технологий искусственного интеллекта и машинного обучения. Так, Денис Кораблев уверен, что их можно применять для донастройки средств защиты под изменения в инфраструктуре заказчика и (или) ситуации с актуальными угрозами. Лука Сафонов считает перспективным применение таких инструментов для профилирования пользователей и пресечения активности ботов.