ДОСЛІДЖЕННЯ ЗАСТОСУВАННЯ АДАПТИВНИХ МЕТОДИК ОЦІНЮВАННЯ РИЗИКІВ БЕЗПЕКИ ДЛЯ ВЕБ-ДОДАТКІВ
DOI:
https://doi.org/10.31891/csit-2024-3-5Ключові слова:
information security, web attack, SQL injections, OWASP, databases, information security management system, information protection, risk, risk managementАнотація
Проаналізовано вагомість проблеми забезпечення безпеки веб-додатків в сучасних умовах та наголошено, що найбільшими загрозами в цій області є низька обізнаність співробітників у питаннях інформаційної безпеки, слабка парольна політика або повсюдне її невиконання, недоліки в процесах управління оновленням програмного забезпечення, використання небезпечних конфігурацій, і, як це може здатися парадоксальним, неефективним міжмережевим розмежуванням доступу.
Дано опис тестування методами «білого», «сірого» та «чорного ящиків». Висловлена думка, що тестування за принципом «сірого ящика» являє собою комбінацію методів, що використовуються при тестуванні за принципом «чорного ящика», а також технологій і прийомів реверс розробки. Цінність вихідного коду в процесі пошуку вразливостей полягає в тому, що він представляє логіку роботи програми в зрозумілому для дослідника поданні. Аналіз вихідних кодів, на додаток до аналізу методами чорного і сірого ящика дозволяє виявити більше вразливостей для кожного додатка. Зокрема, тестування методом білого ящика в середньому знаходить в 3,5 рази більше вразливостей середнього ступеня ризику в порівнянні з методами чорного і сірого ящика.
На основі виявленого переліку найпопулярніших загроз для веб-додатків і застосування удосконаленої методології сукупного ризику був проведений детальний аналіз даних загроз, а також були виявлені фактори ризику, характерні для кожної із загроз. Ці фактори визначалися на основі доступної статистики.
На прикладі підприємства банківської сфери проведено порівняння методик з оцінки ризиків безпеки для веб-додатків. Наведено критерії переводу показників з кількісних в якісні величини для досліджуваного підприємства. Зроблено такі рекомендації для зниження рівня загроз, щодо заявлених вразливостей: зменшення часу автоматичного виходу з системи при бездіяльності; багатофакторна аутентифікація на веб-додатку. Наприклад, пароль і карта, або пароль і відбиток пальця; установка додатково захисного програмного забезпечення (vipnet та ін.); можливість швидкого відкликання прав, тобто мінімізація збитку за рахунок швидкого з’ясування та припинення несанкціонованих дій; будь-які зміни в позиції співробітника, що тягнуть зміни в його правах, повинні якомога швидше відбиватися на його реальних правах в комп’ютерній системі.