Na redakční otázky odpovídá Alois Andrýsek, Security System Engineer, SkyNet – Veracomp s.r.o.

1) Jak se nejlépe zajistit před útoky z webu?

Asi každý, kdo se skutečně zabývá bezpečností IT, si tuto otázku klade minimálně jednou do týdne. Odpověď na ni není jednoduchá a nikdy ani nebude. Útoky z webu jsou jednoznačně na prvním místě v pomyslném žebříčku aktuálních útoků současnosti. Aktuální trend jen ukazuje, že tento typ útoků bude bohužel rapidně stoupat. Důvodů, proč tomu tak je, je celá řada. HTTP a HTTPS jsou v současnosti vůbec nejpoužívanější protokoly na internetu, a tudíž tomu odpovídá i nepřeberné množství aplikací a služeb využívající tento protokol. A k tomu se samozřejmě vážou i bezpečnostní „díry“ v samotných aplikacích a webserverech, na kterých pak tyto aplikace běží. Samotná bezpečnost uživatele proti těmto útokům není dána jen zabezpečením lokálního počítače (tzn. aktuální systém, prohlížeč, antivir, antimalware, personální firewall atd.), ale především v chování samotného uživatele. Základem by mělo být např. přihlašování se do systému pomocí účtu s omezenými právy, neklikat na všechno co vidíme a neinstalovat aplikace, o kterých nic nevíme, kde jediným vodítkem toho, co uvedená aplikace dělá, je „pochybná“ popiska u aplikace. To samozřejmě platí i u různých activeX, pluginů do prohlížečů, IM, ale třeba i doplňků do aplikací typu kancelářských balíků, prohlížečů obrázků, pdf souborů, které se tváří jako např. kodeky (nebo cokoliv jiného) pro zobrazení aktuálního videa na web stránce. Ve firemní bezpečnostní politice by tyto věci měly být absolutní samozřejmostí. Bohužel, jak se ale v praxi ukazuje, tomu tak není. To je také jednou z příčin tak masivního nárůstu různých botnetů.

Proto je důležité se na bezpečnost jako takovou dívat komplexně a také ji komplexně řešit. V současné době již nelze řešit bezpečnost jen na úrovni koncového počítače, ale především na vstupu do sítě. Vždy je lépe eliminovat nebezpečí již na vstupu do sítě, než následně řešit incidenty ve vnitřní síti. Řešením můžou být např. UTM Firewally, které plní funkci nejen firewallu, jako vstupní brány do sítě, ale zároveň dokážou skenovat, filtrovat a analyzovat činnost jak provozu sítě, tak i uživatelů. A to nejen u protokolu HTTP, ale i HTTPS a tím i "usměrnit" chování uživatelů v síti s následnou eliminací potenciálních bezpečnostních rizik z toho vyplývajících. A to třeba za pomocí antiviru s detekcí malwaru, kvalitního Web Filteringu (kontrola přístupů na webové stránky) s možností ActiveX a Java Applet filteringu atd.

2) Jak nejlépe zajistit svůj web před útoky?

Nejprve je potřeba rozlišit o jaký typ webu se jedná a jak "moc si svůj web a data ceníme". Obecně lze říci (budeme li mluvit o webových portálech a aplikacích), že webová aplikace je tak bezpečná, jak moc při návrhu aplikace a programování dbali autoři na její bezpečnost. Proto velmi záleží již na výběru webové aplikace, včetně vývojových technologií, které byly použity při tvorbě aplikace. Většina útoků je totiž založena na nalezení a využití chyb, či opomenutí vzniknuvších při programování. Například část úspěšných útoků na webové stránky je založena na nedostatečné nebo úplně chybějící kontrole programových proměnných používaných (ve formulářích, dotazech do DB atd.) především na vstupu. Právě proto, že většinu těchto skutečností nejsme schopni přímo ovlivnit, je potřeba filtrovat útoky ještě před tím, než vedený útok bude proveden na web aplikaci nebo serveru (byť třeba neúspěšně). Abychom mohli úspěšně detekovat útok nebo jiný podezřelý provoz a následně ho odfiltrovat, je potřeba minimálně nasazení aplikačního a protokolového IDS/IPS (Intrusion Detection and Prevention). Toho můžeme dosáhnout předřazením třeba již zmíněných UTM Firewallů. Některé dokáží běžet v transparentním režimu, čímž nijak nezasahují do stávající topologie sítě, a umí bezpečně útok detekovat, eliminovat, zaznamenat a následně upozornit administrátora o této skutečnosti. Toto řešení přináší hned několik výhod, a to jednak v podobě komplexní ochrany nejen samotné web aplikace, ale i web serveru, aniž by se jich samotný útok jakkoliv dotkl.

3) Jak zjistit, že je webová aplikace bezpečná?

To bohužel nelze zjistit nikdy.  Hacking je „příliš živý proces“ na to, aby někdo dokázal s jistotou říct, že ta či ona aplikace je skutečně bezpečná a bude bezpečná i na druhý den.  Napomoci může bezesporu bezpečnostní audit této aplikace. Ten ovšem odhalí „jen již známé“  bezpečnostní  zranitelnosti.  I když tento audit neodhalí žádný bezpečnostní problém, neznamená to, že webová aplikace je skutečně bezpečná. Možná právě v tuhle dobu objevil nějaký hacker na druhém konci světa  v operačním systému nebo v programové knihovně prozatím neznámou bezpečnostní díru a pracuje na funkčním exploitu, který poprvé vyzkouší právě proti Vaší webové aplikaci.  To je také jeden z důvodů, proč je nezbytné řešit bezpečnost komplexně a nikoliv jen na úrovni webové aplikace.
 
4) Jsou z hlediska webové bezpečnosti lepší řešení běžná - multifunkční nebo proprietární?

Každé řešení má své primární určení. Od toho se pak zákonitě odvíjí  i jeho vhodnost nasazení. Každé z těchto řešení má své pro a proti.  Vždy však záleží na konkrétním zadání.  Dle tohoto zadání lze pak následně navrhnout koncepci bezpečnostního řešení, včetně vhodnosti jednotlivých řešení pro daný projekt. Nicméně je třeba mít vždy na paměti, že ani to „nejlepší a nejvhodnější“  bezpečnostní řešení za Vás nikdy samo bezpečnost nevyřeší. Ta skutečná bezpečnost je především v definici Vaší bezpečnostní politiky a její následné implementaci do zvoleného bezpečnostního řešení.

Antiviry | Bezpečnostní management | Škodlivé kódy