Страницы

пятница, 16 июня 2017 г.

Статистика атак на веб-приложения: I квартал 2017 года

В данном исследовании представлена статистика атак на веб-приложения за первый квартал 2017 года. Исходные данные были получены по результатам пилотных проектов по внедрению межсетевого экрана уровня приложений PT Application Firewall, а также по итогам работы PT AF для защиты веб-приложений компании Positive Technologies.

При проведении анализа в первую очередь ставится задача определить наиболее распространенные типы атак, цели атак, их источники, а также интенсивность и распределение во времени. Кроме того, мы рассмотрим атаки, характерные для отдельных отраслей экономики.

Исследование атак позволяет оценить текущие тенденции в области безопасности веб-приложений, выявить актуальные угрозы и понять, на какие аспекты следует обратить внимание в первую очередь при разработке веб-приложения и построении системы защиты.
Автоматизированный поиск уязвимостей с помощью специализированного ПО для сканирования веб-приложений (например, Acunetix) был исключен из исходных данных. Приведенные в отчете примеры атак были проверены вручную на предмет ложных срабатываний и являются достоверными.

Ресурсы Positive Technologies рассматриваются в совокупности с ресурсами компаний из сферы информационных технологий.

Основные результаты


Статистика атак на веб-приложения

Типы атак

Наиболее часто в первом квартале 2017 года встречались атаки «Внедрение операторов SQL» и «Межсайтовое выполнение сценариев», каждая составляет примерно треть от общего числа зафиксированных атак. Если атака «Внедрение операторов SQL» используется для получения доступа к чувствительной информации или выполнения команд ОС и дальнейшего проникновения в систему, то атака «Межсайтовое выполнение сценариев» направлена на пользователей приложений. Заметим, что именно возможность проведения атак на пользователей вышла на первое место в рейтинге самых распространенных угроз веб-приложений в прошедшем году.



Рисунок 1. Топ-10 атак на веб-приложения

Более половины атак направлены на получение доступа к чувствительной информации

Более детальную картину можно получить разделив компании, в отношении которых проводились атаки, по отраслям. В первом квартале в исследовании участвовали государственные и финансовые организации, IT-компании и образовательные учреждения.


Целью половины атак на государственные учреждения являлся доступ к важным данным. Наиболее ценным ресурсом в государственных учреждениях являются персональные данные, поэтому атаки направлены либо на пользователей приложений, либо на получение доступа к базам, где хранится такая информация.


Рисунок 2. Топ-5 атак на веб-приложения государственных организаций

Целью злоумышленников при атаке на финансовые организации является кража денежных средств. Большинство атак направлены либо на получение доступа к чувствительным данным, либо на получение контроля над сервером. В частности, атака «Выход за пределы назначенной директории» потенциально может привести к раскрытию таких данных, как конфигурация сервера, исходный код приложения, идентификаторы пользователей ОС и др. Полученные сведения злоумышленник может использовать для развития вектора атаки. Поскольку реализация атаки не требует особых условий или технических навыков, она часто используется в качестве вспомогательного шага при организации других атак и достаточно распространена.


Рисунок 3. Топ-5 атак на веб-приложения финансовых организаций

Значительного разброса в атаках на IT-компании не наблюдается, выделяются лишь «Внедрение операторов SQL» и «Межсайтовое выполнение сценариев», которые привычно составляют большую часть атак на веб-приложения без разделения по отраслям. Помимо доступа к информации атака «Внедрение операторов SQL» может использоваться и в других целях, в частности для дефейса сайта; а атака «Межсайтовое выполнение сценариев» может применяться для заражения рабочих станций пользователей вредоносным ПО. Подобные инциденты негативным образом повлияли бы на репутацию компании из сферы IT, особенно занимающейся обеспечением информационной безопасности.

Рисунок 4. Топ-5 атак на веб-приложения IT-компаний

Нарушителями в сфере образования часто являются сами учащиеся, которые стремятся либо получить доступ к данным, например экзаменационным материалам, либо изменить текущую информацию, например результаты экзаменов, стипендиальные списки и др. Среди атак на образовательные учреждения преобладает «Подделка межсайтовых запросов». Эта атака позволяет злоумышленнику сформировать специальную страницу, содержащую запрос к уязвимому приложению; цель такого запроса — выполнить действия от имени легитимного пользователя. На результат мог оказать влияние относительно небольшой объем выборки исследуемых в первом квартале систем.

Рисунок 5. Топ-5 атак на веб-приложения сферы образования

На рисунке ниже приведен пример обнаружения удаленного выполнения команд. Злоумышленник намеревался загрузить на сервер собственный файл и изменить его права доступа.


Рисунок 6. Пример обнаружения атаки «Удаленное выполнение кода и команд ОС»

На следующем рисунке отображен пример выявления атаки «Выход за пределы назначенной директории». Целью злоумышленника был доступ к конфигурационному файлу WordPress wp-config.php, содержащему важные данные.


Рисунок 7. Пример обнаружения атаки «Выход за пределы назначенной директории»

В рамках одного вектора атаки злоумышленник может применять различные методы взлома, делать длительные перерывы между отдельными атаками или изменять IP-адрес в целях маскировки. Однако среди большого количества разрозненных на первый взгляд событий можно выявить цепочки взаимосвязанных атак. Для этого PT AF использует механизмы, позволяющие в реальном времени анализировать все регистрируемые события на наличие корреляций. Такая функциональность незаменима как при выявлении целенаправленных атак, так и при расследовании инцидентов. Возможность своевременного обнаружения целенаправленных атак крайне актуальна для банков и финансовых организаций. Пример выявленной цепочки атак «Внедрение операторов SQL» представлен на рисунках ниже. В цепочку вошла 31 атака, каждой из которых был присвоен высокий уровень риска.


Рисунок 8. Пример выявленной цепочки атак «Внедрение операторов SQL»


Рисунок 9. Атаки «Внедрение операторов SQL», входящие в одну корреляционную цепочку

По среднему числу зарегистрированных событий в день на первом месте находятся государственные учреждения, за ними следуют IT-компании и финансовые организации. Замыкают рейтинг образовательные учреждения.

Рисунок 10. Среднее число атак в день по отраслям

Основной целью злоумышленников в первом квартале являлся доступ к чувствительной информации. Также значительную часть составили атаки на пользователей.  
Наибольшее число атак по-прежнему приходится на веб-приложения государственных учреждений.

Источники атак

Рассмотрим источники атак на веб-приложения. На диаграмме выделяются две страны: Китай и Россия. Такое распределение атакующих связано с тем, что большая часть пилотных проектов проводилась для российских компаний.



Рисунок 11. Источники атак по числу уникальных IP-адресов

Также можно разбить исследуемые системы по отраслям. Страны-источники атак представлены для каждой отрасли на рисунках ниже. Диаграммы распространения источников атак были автоматически созданы в веб-интерфейсе межсетевого экрана PT AF. Анализ проводился по количеству заблокированных запросов.

Атаки на государственные организации в первую очередь исходят от IP-адресов, принадлежащих провайдерам из России, США, Китая, Франции и Украины.


Рисунок 12. Источники атак на государственные организации в интерфейсе PT AF

Атаки на финансовые организации чаще осуществлялись с IP-адресов России, Швейцарии, США, Франции и Украины.


Рисунок 13. Источники атак на финансовые организации в интерфейсе PT AF

Среди источников атак на IT-компании преобладали IP-адреса США, России и Китая.


Рисунок 14. Источники атак на IT-компании в интерфейсе PT AF

В сфере образования IP-адреса нарушителей в основном относились к США, России и Франции. Высокий процент атак из США связан с использованием утилит для эксплуатации уязвимостей и сервисов для сокрытия действительного IP-адреса источника.


Рисунок 15. Источники атак на образовательные учреждения в интерфейсе PT AF

По сравнению с результатами прошлого года общая картина источников атак несколько изменилась. Главное отличие состоит в резком сокращении украинских IP-адресов в рейтинге источников. В остальном изменения незначительны, Россия, Китай и США по-прежнему остаются на первых местах.

Динамика атак

Рассмотрим более подробно распределение атак во времени. Подсчитаем, сколько атак каждого типа в среднем регистрируется в сутки для одной компании. Эти результаты помогут понять, как часто и в каком объеме встречаются различные типы атак, какие методы нарушителей мы можем наблюдать каждый день, а какие применяются реже. Также мы увидим, какие атаки выделяются из общего потока по количеству отправленных нарушителями запросов. Проведем такое исследование для наиболее популярных атак.

Рисунок 16. Количество атак в сутки по типам

Существенную часть атак составляет «Межсайтовое выполнение сценариев», причем средние значения находятся в диапазоне от 250 до 800, число таких атак являлось высоким на протяжении всего первого квартала.

На диаграмме выделяются и атаки «Внедрение операторов SQL». Средние значения лежат в промежутке от 100 до 300 атак в день. Попытки найти и эксплуатировать уязвимости, связанные с неправильной обработкой SQL-запросов, характеризуются высокой интенсивностью в рамках целенаправленной атаки. В некоторых компаниях число запросов в отдельные дни превышало 8000, однако эти результаты не учитывались на графике для получения объективных значений. Такое количество запросов связано и с применением автоматизированных утилит для эксплуатации уязвимостей.

Интенсивные атаки присутствуют также в категории «Подключение локальных файлов». Помимо значений, представленных на рисунке, были зафиксированы дни, в которые число запросов для отдельных компаний достигало 10 730 и 6270. Для поиска уязвимостей нарушители также используют автоматизированные утилиты, например для перебора имен файлов и директорий. На рисунках продемонстрирован ряд запросов, направленных на поиск уязвимости, и пример заблокированного запроса, с помощью которого злоумышленник намеревался получить доступ к файлу .htaccess.


Рисунок 17. Множество атак «Подключение локальных файлов»


Рисунок 18. Пример атаки «Подключение локальных файлов»

Среднее количество атак других типов не превышает 2000 в день (за исключением категории «Отказ в обслуживании» — максимум 2079 атак).

Рассмотрим общую интенсивность атак за первый квартал по всем отраслям, подсчитав среднее количество запросов в сутки для одной компании. Результаты сгруппированы по дням недели.

Рисунок 19. Распределение атак по дням

Как видно из диаграммы, общий уровень активности злоумышленников в первом квартале был высоким, каждый день веб-приложения подвергались множеству атак. В среднем число атак в сутки варьировалось от 500 до 1500 и не опускалось ниже 300 за исключением одного значения. В одной из компаний, для которых проводился пилотный проект, было зафиксировано два пика, соответствующих максимально интенсивным атакам: 21 февраля число атак составило 11 533, а 22 февраля — 19 889. Эти даты выделяются на следующем графике, отображающем для компании динамику атак за январь, февраль и март.


Рисунок 20. Динамика атак в течение первого квартала (интерфейс PT AF)

Резкое увеличение числа атак, особенно определенного типа, может быть связано с публикацией новых уязвимостей или инструментов. Например, обозначенные выше пики преимущественно включали в себя атаки «Внедрение операторов SQL». В конце января были опубликованы три уязвимости в CMS WordPress, позволяющие выполнять произвольные команды ОС путем внедрения операторов SQL. Нарушителю могло потребоваться некоторое время для написания эксплойта и его тестирования. Кроме того, целью злоумышленника не всегда является непосредственно атакуемый сайт. Эксплойт может быть направлен сразу на множество ресурсов, на которых обнаружена определенная версия ПО или библиотеки. Поэтому веб-приложение может пострадать, даже не представляя интереса для злоумышленника, в процессе тестирования эксплойта и подготовки к атаке на совершенно другой ресурс.

На рисунках ниже представлено усредненное распределение зафиксированных атак в течение суток. Приведены средние значения по всем отраслям, при этом учитывалось местное время атакуемой организации.



Рисунок 21. Распределение атак по времени суток

Как показывают результаты, число атак является достаточно стабильным в любое время суток, с увеличением интенсивности в дневные и вечерние часы. Для наглядности приведем график за 1 марта, построенный в интерфейсе PT AF для одной из компаний. На рисунке также видно, что значительная часть атак пришлась на дневное и вечернее время. В этом промежутке на графике присутствуют пики, соответствующие повышенной частоте запросов.


Рисунок 22. Динамика атак 1 марта в интерфейсе PT AF

Такое поведение и повышенная активность нарушителей в дневные, в частности в рабочие, часы вполне предсказуемы. На результаты влияет и тот факт, что около трети атак составляют атаки на пользователей сайтов, которые обычно активны именно в это время. Кроме того, важное наблюдение состоит в том, что интенсивность атак остается достаточно высокой на протяжении 24 часов в сутки. Атаки злоумышленников в ночное время могут иметь разные причины. Если смотреть с точки зрения цели атаки, то главной причиной является тот факт, что в это время вероятность обнаружения атаки и реагирования на нее со стороны службы безопасности компании значительно ниже. Если исходить из анализа источников атак, то причина будет состоять в расхождении часовых поясов.

При организации системы защиты следует учитывать, в какое время наблюдаются пики активности злоумышленников, эти промежутки могут быть специфичными для каждой отдельной компании в зависимости от рода ее деятельности. В целом по итогам первого квартала число атак на веб-приложения является стабильно высоким независимо от дня и времени суток, но в отдельные промежутки времени можно наблюдать возрастание интенсивности. Каждая из этих атак может нести угрозу для веб-приложения и всей инфраструктуры компании. При этом своевременная реакция на успешно осуществленную атаку и предотвращение ее развития в нерабочее время могут оказаться невозможными без соответствующих средств защиты веб-приложений, службы безопасности и реагирования на инциденты.

Выводы

Результаты исследования свидетельствуют об устойчивом высоком уровне активности злоумышленников на протяжении всего периода наблюдения. В то же время в первом квартале отмечается некоторое снижение общего числа атак на веб-приложения по сравнению с результатами прошедшего года. Как и в 2016 году, привлекательными мишенями для злоумышленников являются государственные и финансовые организации. Среди зафиксированных событий преобладают попытки получить доступ к чувствительной информации и атаки на пользователей веб-приложений.

Для успешного обнаружения и предотвращения атак рекомендуется использовать межсетевой экран уровня приложений, который позволяет эффективно выявлять и останавливать даже длительные цепочки целевых атак и защищает не только владельцев, но и пользователей веб-приложения.

Комментариев нет:

Отправить комментарий