Страницы

четверг, 14 сентября 2017 г.

Статистика атак на веб-приложения: II квартал 2017 года

В данном исследовании представлена статистика атак на веб-приложения за II квартал 2017 года. Исходные данные были получены в ходе пилотных проектов по внедрению межсетевого экрана уровня приложений PT Application Firewall, а также по итогам работы PT AF для защиты веб-приложений компании Positive Technologies.

В отчете рассмотрены наиболее распространенные типы атак, цели атак, их источники, а также интенсивность и распределение во времени. Кроме того, приводится статистика по отдельным отраслям экономики. Исследование атак позволяет оценить текущие тенденции в области безопасности веб-приложений, выявить актуальные угрозы и выделить те факторы, на которые прежде всего следует обратить внимание при разработке веб-приложения и построении системы защиты.

Автоматизированный поиск уязвимостей с помощью специализированного ПО для сканирования веб-приложений (например, Acunetix) был исключен из исходных данных. Приведенные в отчете примеры атак были проверены вручную на предмет ложных срабатываний и являются достоверными.

Ресурсы Positive Technologies рассматриваются в совокупности с ресурсами компаний из сферы информационных технологий.

Основные результаты


Статистика атак на веб-приложения

Типы атак

Наиболее часто во II квартале 2017 года встречались атаки на пользователей веб-приложений «Межсайтовое выполнение сценариев». Атаки «Внедрение SQL-кода», направленные на получение доступа к чувствительной информации или выполнение команд ОС и проникновение в систему, составили, как в I квартале, примерно четверть от общего числа зафиксированных атак. Мы ожидаем, что два этих типа атак будут и впредь совместно составлять по меньшей мере половину всех атак на веб-приложения. Кроме того, в рейтинг вошли атаки «Утечка информации» и «Внедрение конструкций XML», также позволяющие получить доступ к информации.


Рисунок 1. Топ-10 атак на веб-приложения

Возросло число атак на пользователей веб-приложений

Более детальную картину можно получить разделив компании, в отношении которых проводились атаки, по отраслям. Во II квартале в исследовании участвовали государственные организации, IT-компании, образовательные и здравоохранительные учреждения, компании из сферы энергетики и промышленности.

Как и в I квартале, значительная доля атак на государственные учреждения нацелена непосредственно на доступ к данным. В государственных организациях персональные данные — наиболее важный ресурс, поэтому атаки направлены либо на получение доступа к базам данных, либо на пользователей приложений. С одной стороны, сайты государственных организаций имеют достаточно высокий уровень доверия среди пользователей, а с другой — среди их посетителей высока доля людей, не обладающих какими-либо знаниями о безопасности в интернете. В связи с этим они являются популярной целью для атаки «Межсайтовое выполнение сценариев», которая может привести к заражению компьютера пользователя вредоносным ПО. В пятерку атак во II квартале вошла атака «Утечка информации», эксплуатирующая различные уязвимости веб-приложения, которые могут раскрыть дополнительные сведения о пользователях, о самой системе и другую чувствительную информацию.


Рисунок 2. Топ-5 атак на веб-приложения госучреждений

Кража конфиденциальной информации является основным мотивом нарушителей и в сфере здравоохранения: более половины атак были направлены на получение доступа к данным. В сфере здравоохранения за последнее время произошло несколько крупных утечек данных, например в мае хакерская группировка The Dark Overlord опубликовала около 180 000 записей пациентов из трех медицинских центров. Затем произошел инцидент в литовской клинике пластической хирургии: хакеры опубликовали более 25 000 интимных фото пациентов до и после операций. Предварительно хакеры требовали выкуп как у самой клиники (в размере 344 000 евро), так и у пациентов (сумма выкупа за удаление данных достигала 2000 евро). Кроме того, в мае из-за уязвимости в веб-приложении пострадала компания Molina Healthcare, инцидент затронул почти 5 миллионов пациентов, чьи персональные данные оказались в открытом доступе.

Приблизительно четверть общего числа атак составили попытки вызвать отказ в обслуживании. Веб-приложения современных медицинских учреждений часто предоставляют пациенту возможность подробно ознакомиться с возможностями клиники, записаться на прием к специалисту, вызвать врача на дом, приобрести страховку или пакет медицинских услуг, получить онлайн-консультацию. Отказ в обслуживании такого приложения может нанести не только ущерб репутации организации и доставить определенные неудобства пациентам, но и повлечь финансовые потери компании.


Рисунок 3. Топ-5 атак на веб-приложения сферы здравоохранения

Среди атак на IT-компании, как и ранее, выделяются «Межсайтовое выполнение сценариев» и «Внедрение SQL-кода». Возможность реализации подобных атак несет существенные репутационные риски для IT-компании. Помимо доступа к информации атака «Внедрение SQL-кода» может использоваться и в других целях, в частности для дефейса сайта; а атака «Межсайтовое выполнение сценариев» может применяться для заражения рабочих станций пользователей вредоносным ПО.


Рисунок 4. Топ-5 атак на веб-приложения IT-компаний

Нарушители, которые проводят атаки на образовательные учреждения, стремятся либо получить доступ к данным, например экзаменационным материалам, либо изменить текущую информацию, например результаты экзаменов. Во II квартале более половины атак были направлены на получение доступа к информации, среди них преобладает «Выход за пределы назначенного каталога», с помощью которого нарушитель может прочитать файлы на сервере. Приблизительно каждая шестая атака нарушителей нацелена на выполнение команд ОС.


Рисунок 5. Топ-5 атак на веб-приложения сферы образования

При атаке на энергетические и промышленные компании злоумышленники ставят своей целью получение контроля над инфраструктурой компании, поэтому среди самых популярных атак присутствуют те, которые позволяют выполнить команды ОС и захватить контроль над сервером или получить информацию о системе, в то время как атаки на пользователей практически отсутствуют. Развивая атаку во внутреннюю сеть компании, злоумышленник может получить доступ к критически важным компонентам системы и повлиять на технологические процессы.


Рисунок 6. Топ-5 атак на веб-приложения энергетических и промышленных компаний

На рисунке ниже приведен пример обнаружения удаленного выполнения команд — эксплуатации уязвимости CVE-2017-5638 в Apache Struts. Это бесплатный фреймворк с открытым исходным кодом, который используется для создания веб-приложений на Java. Уязвимость позволяет атакующему выполнять произвольный код на сервере, изменив содержимое HTTP-заголовка Content-Type. Информация об уязвимости появилась в марте этого года, а первые попытки эксплуатации в рассматриваемых системах были зафиксированы 3 апреля.


Рисунок 7. Пример обнаружения атаки «Удаленное выполнение кода и команд ОС»

Еще один пример атаки «Удаленное выполнение кода и команд ОС» демонстрирует, как злоумышленники пытаются эксплуатировать не только уязвимости веб-приложений, но и уязвимости прошивок сетевых устройств. Уязвимость CVE-2017-8220 была опубликована 25 апреля, а 28 апреля злоумышленники уже начали атаковать устройства.


Рисунок 8. Пример обнаружения атаки «Удаленное выполнение кода и команд ОС»

Таким образом, между публикацией уязвимости и практическим ее применением может пройти всего несколько дней. (Этот срок может варьироваться в зависимости от сложности эксплуатации уязвимости.) При атаке на веб-приложение нарушитель прежде всего будет пробовать эксплуатировать те уязвимости, которые были обнаружены сравнительно недавно и для которых, скорее всего, еще не были установлены обновления.

Использование устаревшего ПО значительно облегчает работу злоумышленников, ведь в открытом доступе можно найти не только информацию обо всех известных уязвимостях, но готовые эксплойты к ним. Нарушитель может узнать версию используемых компонентов как вследствие раскрытия информации из-за недостатков конфигурации приложения, так и по результатам эксплуатации уязвимостей, специфичных для определенных версий. В одной из компаний, где проводились пилотные проекты, использовалась устаревшая версия Joomla, чем и намеревался воспользоваться злоумышленник, пытаясь эксплуатировать уязвимость, известную еще с 2015 года, которая позволяет выполнить произвольный код (CVE-2015-8562).


Рисунок 9. Пример обнаружения атаки «Удаленное выполнение кода и команд ОС»

Таковы основные типы отдельно взятых атак на веб-приложения, но существуют также цепочки, состоящие из нескольких целенаправленных атак, и при расследовании инцидентов крайне важно вовремя выявлять их и останавливать их развитие. Межсетевой экран при этом должен в реальном времени выявлять корреляции среди всех зафиксированных событий. Необходимо учитывать, что злоумышленники в целях маскировки могут прибегать к различным приемам для сокрытия своих действий: применять различные методы взлома, делать перерывы между отдельными атаками или изменять IP-адрес. Пример выявленной цепочки атак «Внедрение SQL-кода» в интерфейсе PT AF представлен на рисунках ниже. В цепочку вошло 38 атак, каждой из которых был присвоен высокий уровень риска.


Рисунок 10. Пример выявленной цепочки атак «Внедрение SQL-кода»


Рисунок 11. Атаки «Внедрение SQL-кода», входящие в одну корреляционную цепочку

По среднему числу зарегистрированных событий в день на первых местах находятся IT-компании и государственные учреждения, за ними следуют организации из сфер здравоохранения, образования, энергетики и промышленности. По сравнению с предыдущими исследованиями наблюдается снижение числа атак на веб-приложения госучреждений. Это связано со спецификой веб-приложений, которые вошли в выборку во II квартале: большая часть сайтов носила информационный характер и не обладала функциональностью, которая могла бы представлять интерес для нарушителей. Атаки на сайты промышленных компаний, как правило, носят целевой характер и осуществляются опытными хакерами: злоумышленники действуют максимально аккуратно, чтобы не быть замеченными, поэтому, несмотря на небольшое количество, именно эти атаки максимально опасны.


Рисунок 12. Среднее число атак в день по отраслям

Во II квартале повысился интерес нарушителей к атакам на пользователей приложений. В то же время целью значительной части атак является доступ к чувствительной информации.

Как и в I квартале, наибольшее число атак приходится на веб-приложения государственных учреждений и IT-компаний.

Источники атак

Рассмотрим источники атак на веб-приложения. На диаграмме выделяются Россия, Китай, Индия и США. Такое распределение атакующих связано с тем, что большая часть пилотных проектов проводилась для российских компаний.


Рисунок 13. Источники атак по числу уникальных IP-адресов

Также можно разбить исследуемые системы по отраслям. Страны-источники атак представлены для каждой отрасли на рисунках ниже. Диаграммы распространения источников атак были автоматически созданы в веб-интерфейсе межсетевого экрана PT AF. Анализ проводился по количеству заблокированных запросов.

Атаки на государственные организации в первую очередь осуществлялись с IP-адресов, принадлежащих провайдерам из России (61% атак), Великобритании (8%), Франции (20%), США (4%) и Украины (2%).

Как и в первом квартале, среди источников атак на IT-компании выделяются IP-адреса США (27% атак), России (22%), Китая (9%), Франции (9%) и Нидерландов (5%).

В сфере образования IP-адреса нарушителей в основном относились к США (22% атак), России (30%), Индонезии (7%), Франции (5%) и Китаю (4%).

В связи с тем, что большинство «пилотов» в сфере здравоохранения проводились для российских компаний, почти три четверти IP-адресов нарушителей принадлежали российским провайдерам (74% атак), следом идут Украина (5%), Франция (4%) и США (4%).

Для источников атак на энергетические и промышленные компании также характерно преобладание российских (72% атак), китайских (13%) и украинских (13%) IP-адресов, что связано со спецификой исследуемых компаний.

Динамика атак

Можно более подробно рассмотреть распределение атак во времени. Подсчитаем, сколько атак каждого типа в среднем регистрируется в сутки для одной компании. Эти данные показывают, как часто и с какой интенсивностью нарушители используют различные методы взлома веб-приложений. Также мы увидим, какие атаки выделяются из общего потока по количеству отправленных нарушителями запросов. Проведем такое исследование для самых распространенных атак.


Рисунок 19. Количество атак в сутки по типам

Существенную часть атак составляет «Межсайтовое выполнение сценариев», причем средние значения находятся в диапазоне от 100 до 250, число таких атак являлось высоким на протяжении всего квартала.

На диаграмме выделяются и атаки «Внедрение SQL-кода». Средние значения лежат в промежутке от 40 до 200 атак в день. Поиски уязвимостей, связанных с недостаточной фильтрацией входящих данных перед использованием в SQL-запросах, характеризуются высокой интенсивностью в рамках отдельной атаки. Самая мощная атака на веб-приложение во II квартале года представляла собой поиск такой уязвимости с помощью перебора всевозможных параметров, всего нарушитель отправил более 35 000 запросов.

Выше в рейтинге поднялась атака «Утечка информации», что также связано с большим количеством злонамеренных запросов в отдельные дни, которые сильно превышали средние значения по кварталу.

В целом среднее количество атак других типов редко превышает 100 в день.

На следующем рисунке приведена общая интенсивность атак за II квартал по всем отраслям — среднее количество запросов в сутки для одной компании.


Рисунок 20. Распределение атак по дням недели

Во II квартале уровень активности нарушителей снизился незначительно по сравнению с предыдущим периодом. В среднем число атак в сутки варьировалось от 300 до 800 и не опускалось ниже 140. Максимальное количество зафиксированных атак на одну компанию в день составило 35 135, что почти в два раза превысило рекордное значение прошлого квартала. Практически все эти атаки были совершены с одного IP-адреса. Злоумышленник пытался найти уязвимость «Внедрение SQL-кода», по всей видимости используя специальные сценарии. На следующих рисунках продемонстрирована динамика атак на эту компанию за три дня и за час, в который сайт подвергался мощной атаке.


Рисунок 21. Интенсивная атака «Внедрение SQL-кода» 3 мая (интерфейс PT AF)


Рисунок 22. Интенсивная атака «Внедрение SQL-кода» в течение часа (интерфейс PT AF)

Подсчитаем усредненное распределение зафиксированных атак в течение суток для одной компании. На рисунке ниже представлены средние значения по всем отраслям (учитывалось местное время атакуемой организации).


Рисунок 23. Распределение атак по времени суток

Разброс атак схож с картиной, которую мы получили в I квартале, число атак снова стабильно в любое время суток, с увеличением интенсивности в дневные и вечерние часы. Для наглядности приведем график за 17 апреля, построенный в интерфейсе PT AF для одной из компаний. На рисунке также видно, что значительная часть атак пришлась на вторую половину дня: на графике присутствуют пики, соответствующие повышенной частоте запросов.


Рисунок 24. Динамика атак 17 апреля (интерфейс PT AF)

Такие результаты, как и в предыдущем квартале, в большой степени связаны с тем фактом, что более трети всех атак составляют атаки на пользователей сайтов, которые обычно активны именно в это время. Мы снова можем убедиться, что интенсивность атак остается достаточно высокой на протяжении 24 часов в сутки.

Атаки злоумышленников в ночное время могут быть вызваны тем, что в это время вероятность обнаружения атаки и реагирования на нее со стороны службы безопасности компании значительно ниже. Это относится именно к целевым атакам. В случае же с массовыми атаками, например когда злоумышленники отрабатывают технику или проверяют работоспособность эксплойта на случайных сайтах или целом списке IP-адресов, данная закономерность не прослеживается. Исследование показало, что атаки совершаются из разных частей земного шара, поэтому — в связи с разницей в часовых поясах — сложно предсказать наиболее вероятное время их реализации в отношении конкретной системы.

Пики активности злоумышленников могут различаться в зависимости от специфики деятельности компании, и этот фактор стоит учитывать при организации системы защиты. По итогам II квартала число атак на веб-приложения является стабильно высоким независимо от дня и времени суток, но в отдельные промежутки времени можно наблюдать возрастание интенсивности. При этом своевременно отреагировать на атаки злоумышленников и предотвратить их развитие можно лишь с помощью специальных средств защиты веб-приложений, а также высококвалифицированной службы реагирования на инциденты информационной безопасности.

Выводы

Результаты исследования свидетельствуют о стабильно высоком уровне активности злоумышленников, хотя, как и в I квартале, отмечается некоторое снижение общего числа атак на веб-приложения по сравнению с прошедшим годом. Среди зафиксированных событий преобладают попытки получить доступ к чувствительной информации и атаки на пользователей веб-приложений. Независимо от исследуемых систем сохраняется интерес злоумышленников к сайтам госучреждений и IT-компаний, и мы можем прогнозировать, что он будет сохраняться и в следующем квартале. Более того, стоит ожидать увеличения числа атак в связи с публикацией информации о новых уязвимостях в популярных CMS (например, Joomla).

После выявления уязвимостей в ПО может понадобиться время на обновление системы или установку патчей. В этот период приложения остаются уязвимыми. Мы продемонстрировали, что злоумышленники в считанные дни после публикаций о новых уязвимостях готовы атаковать, поэтому для эффективной защиты важно не только вовремя обновлять программное обеспечение, но и использовать превентивные средства защиты, такие как межсетевой экран уровня приложений, для обнаружения и предотвращения атак на веб-ресурсы.

Комментариев нет:

Отправить комментарий