Многие предприятия и отрасли прочно внедрили в свою деятельность программное обеспечение на базе Web-технологий для осуществления деловых операций, проведения сделок и оказания услуг заказчикам. Когда сроки поджимают, организации порой впадают в панику и готовы пожертвовать функциями безопасности, только чтобы ввести приложение в эксплуатацию. Это быстрое (и реактивное) решение, в результате которого организации обычно получают неполноценные приложения. Более рациональным и упреждающим решением является внедрение политики уменьшения уязвимости Web-приложений, ориентированной на модель "программное обеспечение как сервис" (SaaS) (и использование сканера уязвимостей на основе модели SaaS), которая предвосхищает наличие уязвимых мест в приложениях и имеет ряд решений для устранения таких уязвимостей с целью обеспечения полной готовности приложений к работе. Автор представляет план создания такой политики и иллюстрирует использование сканирующего инструментария на примере продуктов IBM Rational AppScan.
Уязвимость Web-приложения - это слабое место или недоработка приложения, которые злоумышленники могут использовать в следующих целях:
- кража конфиденциальной личной или корпоративной информации;
- удаление миллионов таблиц в тысячах баз данных;
- отслеживание нажатий клавиш по радиоканалу;
- выполнение функций прокси для сокрытия идентификационных данных злоумышленника.
Предприятия и отрасли промышленности применяют для выявления уязвимостей Web-приложений популярные сканеры уязвимостей (бесплатные и платные). Очень часто случается так, что в одной компании на разных клиентских рабочих станциях работают разные сканеры.
Более рациональным подходом является применение сканера уязвимостей, работающего по модели "программное обеспечение как сервис" (SaaS), для обеспечения единообразия оценки и устранения уязвимостей.
Одним из примеров такого подхода является QualysGuard, решение для борьбы с уязвимостями и соблюдения политик по требованию, построенное по модели SaaS. Оно предлагает обнаружение и картирование сетей, установку приоритетов ресурсов, формирование отчетности по оценке уязвимостей и отслеживание устранения уязвимостей согласно приоритетности деловых рисков. Слабой стороной решения Qualys является то, что оно лучше всего работает с Web-сайтами, которые содержат небольшое количество сценариев JavaScript или вообще не содержат таких сценариев.
Напротив, решение IBM Rational AppScan OnDemand Production Site Monitoring, основанное на модели "программное обеспечение как сервис", хорошо адаптировано для сканирования уязвимости Web-сайтов, на которых сценарии JavaScript используются в значительном объеме. Оно представляет собой узкоспециализированную усовершенствованную версию продукта IBM Rational AppScan OnDemand. Оба решения являются частью линейки продуктов Rational AppScan, разработанной для обеспечения всестороннего управления уязвимостями приложений на всем протяжении жизненного цикла, от определения требований до проектирования, написания программного кода и производственной эксплуатации.
Поскольку количество и содержание тестируемых на наличие уязвимостей приложений у разных пользователей модели SaaS разное, требуется разработка политики борьбы с уязвимостями Web-приложений, ориентированной на модель SaaS. Пользователям может требоваться тестирование на предмет выявления уязвимостей:
- одного конкретного приложения (отчетов о состоянии пациентов), для которого было установлено исправление;
- комплекса приложений (отслеживание состояния пациентов, больничное снабжение), разработанных для одного Web-сайта (в индустрии здравоохранения);
- приложений на нескольких Web-сайтах (здравоохранение, химическое машиностроение, закупки).
В этой статье приводится обзор теоретических и практических аспектов модели "программное обеспечение как сервис" (SaaS), а также показано, как можно создать политику преодоления уязвимости Web-приложений, ориентированную на модель SaaS.
Обзор модели "программное обеспечение как сервис" (SaaS)
При использовании модели "программное обеспечение как сервис" единственным средством управления для конечного пользователя SaaS является доступ к продуктам AppScan OnDemand или AppScan OnDemand Production Site Monitoring с настольного или портативного компьютера. Одним из недостатков данной модели является тот факт, что конечный пользователь не может контролировать приложения, операционные системы, системы хранения и компьютерные сети. Их контролирует только IBM как поставщик услуг SaaS.
Кто является пользователями SaaS?
В широком смысле пользователи SaaS делятся на три группы: нетехнические пользователи, разработчики приложений и персонал сопровождения Web-сайтов. Каждой группе свойственны разные потребности в модели SaaS:
- Нетехнические пользователи используют модель "программное обеспечение как сервис" для проверки отдельных Web-приложений. Например, это может быть приложение, для которого было недавно установлено исправление или обновление.
- Группы разработчиков приложений используют модель "программное обеспечение как сервис" для проверки приложений при переходе с этапа разработки на этап тестирования в процессе управления жизненным циклом. Такие разработчики могут находиться в разных географических регионах.
- Обслуживающий персонал Web-сайтов использует модель "программное обеспечение как сервис" для мониторинга уязвимостей производственных Web-сайтов, охватывающих несколько приложений и доменов. Специалисты ищут уязвимости, появившиеся после ввода приложений в эксплуатацию разработчиками.
Нетехнические пользователи могут использовать продукт Rational AppScan OnDemand для предупреждения и профилактики уязвимостей после определения и установки приоритетов уязвимостей отдельных приложений. Разработчики приложений могут использовать данное решение для проверки комплекса разработанных ими приложений на предмет уязвимостей перед их размещением на производственных Web-сайтах.
Rational AppScan OnDemand Production Site Monitoring
Обслуживающий персонал Web-сайтов использует модель "программное обеспечение как сервис" в целях предупреждения уязвимостей путем постоянного выявления и определения приоритетов рисков безопасности, свойственных динамическому Web-контенту, охватывающему несколько приложений и доменов. Продукт Rational AppScan OnDemand Production Site Monitoring предоставляет доступ к отчетам и разрешения на сканирование на основе ролей, а также применяет неинтрузивное подмножество политики тестирования AppScan без входа в систему для обеспечения безопасного сканирования производственных сайтов.
При использовании в сочетании с другим решением Rational AppScan для тестирования программного кода или сканирования Web-приложений перед вводом в производственную эксплуатацию продукт Rational AppScan OnDemand Production Site Monitoring дополняет стратегию проверки безопасности на всем протяжении жизненного цикла приложения.
Модель "программное обеспечение как сервис" на практике
При изменении бизнес-требований также изменяются требования пользователей и пороговые значения в отношении модели "программное обеспечение как сервис". Какой бы браузер (Internet Explorer® или Firefox) вы ни использовали для доступа к модели SaaS, у каждого из них есть свои недостатки.
Изменение требований пользователей
Единственным средством контроля, которым располагают пользователи модели SaaS, является доступ к приложению SaaS; при этом число нетехнических пользователей, которые могут одновременно использовать приложение, ограничено пользовательской лицензией. Абонент услуги SaaS может договориться с провайдером об изменении требований пользователей путем увеличения максимального количества одновременных пользователей в новой лицензии. Нетехнические пользователи не могут изменять приложения, подлежащие тестированию на уязвимости.
Поскольку разработчики приложений имеют контроль над коммерческим жизненным циклом разработки приложения, они могут изменять или добавлять задачи, которые пользователи SaaS хотели бы иметь в своем распоряжении в приложении или на Web-сайте. Для внесения любого изменения в приложение или функциональность Web-сайта разработчикам необходимо осуществлять выявление, сканирование и устранение уязвимостей по мере возникновения такой потребности.
Обслуживающий персонал Web-сайтов располагает функциями контроля над Web-сайтами. Эти специалисты должны реагировать на изменение требований нетехнических пользователей и разработчиков приложений после ввода разработчиками новых или обновленных приложений в производственную эксплуатацию. Обслуживающий персонал Web-сайта должен изменять конфигурации сайтов для обеспечения возможности расширения ресурсов, объем которых может динамически увеличиваться или сокращаться. Нетехнические пользователи и разработчики приложений не могут вносить изменения в конфигурации Web-сайтов.
Изменение требований к пороговым значениям
Абоненты услуг SaaS должны иметь контроль над требованиями к пороговому количеству пользователей, которые определяют число одновременных пользователей, работающих с приложением, с учетом лимита, указанного в пользовательской лицензии провайдера, ниже или на уровне порогового значения. Им необходимо договариваться с провайдером об увеличении максимального числа одновременных пользователей в лицензии.
Провайдер располагает средствами контроля политики в отношении максимального количества ресурсов, которые гарантируют динамическую балансировку использования ресурсов для приложений, подлежащих тестированию на уязвимости. Абоненту услуг SaaS необходимо договариваться с провайдером о количестве динамических ресурсов, доступных каждому пользователю в зависимости от его роли (нетехнические пользователи, разработчики приложений, обслуживающий персонал Web-сайта).
Провайдер имеет контроль над запрашиваемыми пороговыми значениями данных, что гарантирует возможность немедленной обработки информационных запросов к приложениям при условии, что они не превышают пороговых значений. Абонент услуг SaaS должен договариваться с провайдером об изменении максимального количества запросов данных. Максимальное значение зависит от роли каждого пользователя и выделения ресурсов пользователям услуг SaaS.
Предотвращение возникновения ошибок при использовании браузеров IE и Firefox
Internet Explorer и Firefox являются двумя наиболее популярными браузерами, используемыми для доступа к продуктам Rational AppScan OnDemand и Rational AppScan OnDemand Production Site Monitoring. Выбор браузера - это прерогатива пользователя.
Хотя Firefox быстрее загружает страницы при запуске, чем Internet Explorer, одним из его недостатков является возможность большого расхода оперативной памяти. Браузер Firefox может расходовать ресурсы памяти быстрее, чем Internet Explorer. При нахождении Firefox в режиме ожидания увеличение потребления ресурсов памяти не прекращается.
Объем используемых браузером Firefox ресурсов памяти зависит от следующих факторов:
- Какие дополнительные модули и расширения включены в Firefox.
- Как долго вы используете Rational AppScan для тестирования Web-приложений и мониторинга Web-сайтов на предмет уязвимостей.
- Как долго Firefox находится в режиме ожидания, когда вы его не используете.
- Какие другие приложения вы используете на своем настольном или портативном компьютере.
- Сколько используется центральных процессоров и каков максимальный объем памяти для каждого из них.
- Общее время, в течение которого пользователь SaaS использует Rational AppScan для тестирования приложений на предмет уязвимостей.
Когда объем памяти достигает максимального лимита ЦП, работа браузера замедляется.
Чтобы избежать высокого потребления оперативной памяти браузером Firefox, выполните семь предложенных действий:
- Немедленно выйдите из Rational AppScan OnDemand и Rational AppScan OnDemand Production Site Monitoring после завершения тестирования на уязвимости.
- Вызовите Диспетчер задач Windows.
- Перейдите на вкладку Processes (Процессы).
- Найдите процессы firefox.exe (и iexplore.exe) (и проследите увеличение расхода памяти для каждого из них).
- Выделите процессы Firefox.
- Нажмите кнопку End Process (Завершить процесс) в нижней части окна Диспетчера задач.
- Нажмите кнопку End Process (Завершить процесс) еще раз, когда вам будет предложено подтвердить завершение процесса.
Затем перезапустите браузер. Для установки плагинов Firefox или элементов управления Active X требуются соответствующие полномочия.
Как создать политику в данной ситуации?
Поскольку Web-приложения, предназначенные для тестирования на уязвимости, могут варьироваться в зависимости от группы, к которой принадлежат пользователи (нетехнические пользователи, разработчики приложений и обслуживающий персонал Web-сайтов), необходимо создать политику уменьшения уязвимости Web-приложений, ориентированную на модель SaaS, которая может быть применена ко всем пользователям SaaS.
В данном упрощенном сценарии создания политики приводятся некоторые рекомендации в отношении каждой позиции контрольного списка, которую необходимо включить в политику:
- Цель: для чего?
- Охват: определите границы политики.
- Исходные данные: хотите узнать больше?
- Действия: закатайте рукава.
- Ограничения: работайте с ними.
Для достижения цели внедрения политики безопасности кратко сформулируйте, для чего вам нужна такая политика. В качестве примера постановки цели можно использовать приведенный ниже образец:
|
Целью политики является поддержка внедрения политики безопасности для использования основанных на модели SaaS продуктов Rational AppScan OnDemand и Rational AppScan OnDemand Production Site Monitoring конечными пользователями - нетехническими пользователями, разработчиками приложений и обслуживающим персоналом Web-сайтов. Политика фокусируется на пороговых уровнях, требованиях пользователей и определении уязвимостей, а также на мониторинге как составной части политики. |
Охват: определите границы политики
Определите охват путем "обрисовывания" рамок политики безопасности. В этих рамках укажите конечных пользователей, на которых распространяется действие данной политики, и их принадлежность к коммерческим предприятиям или государственным организациям. Укажите максимальные и оптимальные лимиты в отношении пороговых значений количества пользователей, данных и ресурсов, какие требования пользователей должны быть удовлетворены, и как определяются и отслеживаются уязвимости.
Поставщику услуг необходимо выяснить, собирается ли клиент оставаться в рамках данных границ (соответствовать условиям политики безопасности в отношении средств управления доступом) при доступе к продуктам Rational AppScan OnDemand и Rational AppScan OnDemand Production Site Monitoring. Если клиент выходит за рамки уже согласованной политики, пользователь мобильного устройства рискует нарушить ее условия. В данном случае провайдер должен указать на последствия подобного несоблюдения условий, чтобы клиент старался придерживаться установленных границ.
Вот образец, от которого можно отталкиваться при установлении охвата:
|
Данная политика применима ко всем конечным пользователям SaaS, которые используют продукты Rational AppScan OnDemand и Rational AppScan OnDemand Production Site Monitoring. Пользователи должны выразить свое согласие со всеми положениями данной политики безопасности и согласиться соблюдать все ее положения и условия в отношении контроля доступа. Любой конечный пользователь, разработчики и обслуживающий персонал Web-сайтов, чьи действия являются нарушением данной политики, политики в отношении ИТ и установленных норм, подлежат наложению ограничений или отказе в предоставлении услуг данным провайдером. |
Исходные данные: узнайте, что стоит за политикой
Первое, что желает узнать клиент, - это статус провайдера (внешний или внутренний) и границы управления средствами контроля между провайдером и пользователем SaaS (например, конечный пользователь SaaS имеет наименьшие возможности контроля), как провайдер собирается управлять средствами контроля и виртуальными машинами, обеспечивать защиту данных и реагировать на атаки в отношении информационной безопасности в облаке или на инциденты с мобильными устройствами.
Пользователь SaaS хочет знать, каким образом политика безопасности охватывает вопросы восстановления системы (а также пороговых уровней в отношении пользователей, данных и ресурсов) для портативных компьютеров и как быстро он получит льготы, бесплатное время или право на расторжение договора, оговоренное в соглашении об уровне сервиса (SLA).
Пользователь SaaS хочет знать о порядке доступа к бюллетеню IBM Security Bulletin для получения информации о возможных уязвимостях любого продукта Rational AppScan и об исправлениях, применяющихся для устранения таких уязвимостей.
Для получения представления о том, что именно необходимо включить, воспользуйтесь следующим примером.
|
Продукты Rational AppScan OnDemand и Rational AppScan OnDemand Production Site Monitoring предоставляются работающей в телекоммуникационной индустрии корпорацией IBM только на условиях внешнего хостинга. Если всплески рабочей нагрузки вызывают ухудшение эксплуатационных характеристик системы по сравнению с гарантированными уровнями эксплуатационной готовности в течение 30 дней, провайдер обязан предоставить пользователям SaaS льготы, бесплатное время и право на расторжение договора об обслуживании, как оговорено в Соглашении об уровне сервиса (SLA). Провайдер обязан извещать клиента об исключениях и ограничениях в отношении пороговых величин и политик уменьшения уязвимостей. Пользовательская лицензия содержит три типа максимальных лимитов:
|
Ниже приведены 7 рекомендаций в отношении действий, которые следует предпринять, чтобы сделать клиентов счастливыми:
- Действие №1. Отправляйте клиентам копии политики преодоления уязвимостей Web-приложений, ориентированной на модель SaaS, для изучения и решения вопросов перед тем, как клиент приобретет лицензию на продукты Rational AppScan OnDemand и Rational AppScan OnDemand Production Site Monitoring.
- Действие №2. Укажите в пользовательской лицензии SaaS максимальный лимит в отношении количества одновременных пользователей, числа экземпляров ресурсов для таких пользователей и числа запросов данных, которые каждый пользователь может обрабатывать.
- Действие №3. Укажите типы уязвимостей, доступных для сканирования продуктами Rational AppScan OnDemand и Rational AppScan OnDemand Production Site Monitoring.
- Действие №4. Требуйте проведения проверок благонадежности всех предполагаемых пользователей облачной среды перед предоставлением им доступа к облаку. Глубина проверок благонадежности зависит от типа приложения для тестирования на предмет уязвимостей и типа индустрии, которую представляют предполагаемые пользователи.
- Действие №5. Требуйте прохождения учебных программ по вопросам безопасности для утвержденных пользователей облака, а также маркировки и обработки данных после завершения тестов на уязвимость.
- Действие №6. Заранее уведомляйте о запланированном техническом обслуживании или обновлениях инфраструктуры аппаратных средств, программного обеспечения и сетей, лежащих в основе модели SaaS.
- Действие №7. Уведомляйте об использовании фиктивных или тестовых данных при тестировании программного обеспечения на предмет уязвимостей. Использование уязвимых данных запрещено.
Вот несколько примеров, которыми можно руководствоваться:
|
Обучение мерам безопасности: провайдер устанавливает минимальные требования к обучению мерам безопасности в отношении осведомленности об уязвимостях и их уменьшения для одобренных пользователей SaaS. Плановое техническое обслуживание: провайдер устанавливает график технического обслуживания, включая обновления. Проверки благонадежности: провайдер устанавливает требования в отношении проверок благонадежности для предполагаемых пользователей облачной среды. Пользовательская лицензия SaaS: провайдер устанавливает максимальный лимит в отношении:
Тестовые данные: провайдер устанавливает минимальные требования в отношении использования тестовых данных с приложением, которое подлежит тестированию на уязвимость. |
Возможно, на своем пути вы столкнетесь с некоторыми ограничениями, такими как:
- Вопросы приоритета обслуживания различных групп пользователей в зависимости от ролей, которые организация назначила пользователям. Конечный пользователь с правами администратора имеет более высокий приоритет по сравнению с конечным пользователем без прав администратора при доступе к приложениям SaaS.
- Руководящие группы по управлению изменениями. Отражение изменений, обновление политики безопасности, политики в отношении пороговых величин и Соглашение об уровне сервиса (SLA).
- Исключения обслуживания для какого-либо типа облачного сервиса. Возможные ситуации: случайный обрыв оптоволоконного кабеля, неподконтрольного провайдеру напрямую, профилактическое техническое обслуживание (плановое и внеплановое) и плановое упреждающее обновление режима работы приложений.
- Штрафы за несоблюдение положений и условий политики безопасности. Укажите последствия несоблюдения политики безопасности и норм политики в отношении ИТ.
Вот несколько примеров, которыми можно руководствоваться.
|
Конечный пользователь SaaS, имеющий права администратора по пользовательской лицензии, имеет более высокий приоритет по сравнению с другими конечными пользователями при доступе к лицензированному приложению. В результате недавних организационных изменений группа управления политиками переведена из отдела FGH в отдел RST. Это требует обновления политики преодоления уязвимости Web-приложений, ориентированной на модель SaaS. Исключения обслуживания в настоящий момент включают:
|
Создание любой политики безопасности требует предварительного планирования для решения вопросов об определении цели, охвата и исходных данных политики. Поскольку очевидно, что вероятность непреднамеренного раскрытия данных в облачной среде выше, очевидна необходимость создания убедительной политики безопасности Web-приложений.
Разработчики должны обмениваться данными как с пользователями облачных сервисов, так и с провайдером по вопросам о доступной пользователю степени контроля, необходимых действиях провайдера и ограничениях политики. Важнее всего то, что пользователь должен получить у провайдера копию политики безопасности (а также копии политик в отношении пороговых значений) для изучения и решения вопросов до начала проведения переговоров с провайдером.