Ну, вам не следует. Возможно, она уже скрывает уязвимости.
Модульная природа современных веб-приложений сделала их такими эффективными. Они могут использовать десятки сторонних веб-компонентов, фреймворков JS и инструментов с открытым исходным кодом для предоставления всех различных функциональных возможностей, которые делают их клиентов счастливыми, но эта цепочка зависимостей также делает их такими уязвимыми.
Многие из этих компонентов в цепочке поставок веб-приложений контролируются третьей стороной — компанией, которая их создала. Это означает, что независимо от того, насколько тщательно вы проводили собственный статический анализ кода, обзоры кода, тестирование на проникновение и другие процессы SSDLC, большая часть безопасности вашей цепочки поставок находится в руках тех, кто создавал ее сторонние компоненты.
Благодаря огромному потенциалу слабых мест и широкому использованию в прибыльной электронной коммерции, финансовой и медицинской отраслях цепочки поставок веб-приложений представляют собой привлекательную мишень для кибератакующих. Они могут использовать любой из десятков компонентов, которым доверяют их пользователи, для проникновения в их организации и компрометации их продуктов. Программное обеспечение, библиотеки сторонних производителей и даже устройства Интернета Вещей регулярно подвергаются атакам, поскольку они предлагают способ получения привилегированного доступа к системам, оставаясь при этом незамеченными. Оттуда злоумышленники могут выпускать Magecart и веб-скимминг-атаки, программы-вымогатели, осуществлять коммерческий и политический шпионаж, использовать свои системы для криптодобычи или даже просто вандализировать их.
Атака SolarWinds
В декабре 2020 года была обнаружена атака на цепочку поставок, которая затмевает многие другие по своему масштабу и сложности. Она была нацелена на платформу мониторинга сети и приложений под названием Orion, созданную компанией SolarWinds. Злоумышленники скрытно проникли в ее инфраструктуру и использовали свои права доступа для создания и распространения заминированных обновлений среди 18 000 пользователей Orion.
Когда эти клиенты устанавливали скомпрометированные обновления от SolarWinds, злоумышленники получали доступ к их системам и имели полную свободу действий в течение нескольких недель. Правительственные учреждения США были скомпрометированы, что привело к расследованию, которое указало пальцем на российскую государственную операцию.
Эта разрушительная атака по цепочке поставок может произойти и в веб-средах, и это подчеркивает необходимость комплексного и упреждающего решения для обеспечения веб-безопасности, которое будет постоянно отслеживать ваши веб-ресурсы.
Стандартные средства безопасности перехитрили
Стандартные процессы безопасности не помогли SolarWinds, и они не могут отслеживать всю вашу цепочку поставок. Существует множество областей потенциального риска, которые они просто пропустят, например:
В этих и многих других ситуациях стандартные средства безопасности не оправдают ожиданий.
Уязвимость Log4j
Еще одна из таких ситуаций возникла, когда была обнаружена уязвимость нулевого дня в широко используемой утилите ведения журнала Log4j на базе Java. Миллионы компьютеров, принадлежащих предприятиям, организациям и частным лицам по всему миру, используют Log4j в своих онлайн-сервисах. Исправление было выпущено через три дня после обнаружения уязвимости в 2021 году, но, по словам старшего исследователя угроз Sophos Шона Галлахера:
Уязвимость позволяет хакерам получить контроль над устройствами, которые подвержены эксплойту через Java. Опять же, затем они могут использовать эти устройства для незаконной деятельности, такой как добыча криптовалюты, создание ботнетов, рассылка спама, установка бэкдоров, Magecart и запуск атак программ-вымогателей.
После того, как это было раскрыто, Check Point сообщила о миллионах атак, инициированных хакерами, и некоторые исследователи наблюдали скорость более 100 атак в минуту и попытки атак на более чем 40% бизнес-сетей по всему миру.
Учитывая, что ваша цепочка поставок веб-приложений, возможно, уже была скомпрометирована из-за уязвимости Log4J, потребность в проактивном решении для непрерывного мониторинга становится еще более актуальной.
Одним из таких решений является компания по веб-безопасности Reflectiz. Ее платформа на ранней стадии обнаружила уязвимость Log4J в домене Microsoft Bing, которую они быстро исправили. Затем Reflectiz активно просканировал тысячи веб-сайтов и служб для выявления других уязвимостей Log4J. Одна значительная уязвимость была обнаружена в компоненте UET Microsoft, затрагивающем миллионы пользователей на различных платформах. Reflectiz уведомляла клиентов и потенциальных клиентов и сотрудничала с ними, чтобы снизить риски, соблюдая ответственные процедуры раскрытия информации, информируя Корпорацию Майкрософт и делясь своими выводами. Они подчеркивают постоянный характер события Log4J и призывают организации защищать свои веб-сайты путем устранения уязвимостей сторонних производителей.
Защита цепочки поставок вашего веб-приложения
Взаимодействие ваших собственных и сторонних веб-компонентов в цепочке поставок веб-приложений создает динамичную среду, которая постоянно меняется. Постоянно меняющаяся среда требует решения для непрерывного мониторинга, которое предупреждает вас о подозрительном поведении в каждом элементе цепочки поставок веб-приложений. Благодаря тщательному непрерывному мониторингу группы безопасности могут:
Модульная природа современных веб-приложений сделала их такими эффективными. Они могут использовать десятки сторонних веб-компонентов, фреймворков JS и инструментов с открытым исходным кодом для предоставления всех различных функциональных возможностей, которые делают их клиентов счастливыми, но эта цепочка зависимостей также делает их такими уязвимыми.
Многие из этих компонентов в цепочке поставок веб-приложений контролируются третьей стороной — компанией, которая их создала. Это означает, что независимо от того, насколько тщательно вы проводили собственный статический анализ кода, обзоры кода, тестирование на проникновение и другие процессы SSDLC, большая часть безопасности вашей цепочки поставок находится в руках тех, кто создавал ее сторонние компоненты.
Благодаря огромному потенциалу слабых мест и широкому использованию в прибыльной электронной коммерции, финансовой и медицинской отраслях цепочки поставок веб-приложений представляют собой привлекательную мишень для кибератакующих. Они могут использовать любой из десятков компонентов, которым доверяют их пользователи, для проникновения в их организации и компрометации их продуктов. Программное обеспечение, библиотеки сторонних производителей и даже устройства Интернета Вещей регулярно подвергаются атакам, поскольку они предлагают способ получения привилегированного доступа к системам, оставаясь при этом незамеченными. Оттуда злоумышленники могут выпускать Magecart и веб-скимминг-атаки, программы-вымогатели, осуществлять коммерческий и политический шпионаж, использовать свои системы для криптодобычи или даже просто вандализировать их.
Атака SolarWinds
В декабре 2020 года была обнаружена атака на цепочку поставок, которая затмевает многие другие по своему масштабу и сложности. Она была нацелена на платформу мониторинга сети и приложений под названием Orion, созданную компанией SolarWinds. Злоумышленники скрытно проникли в ее инфраструктуру и использовали свои права доступа для создания и распространения заминированных обновлений среди 18 000 пользователей Orion.
Когда эти клиенты устанавливали скомпрометированные обновления от SolarWinds, злоумышленники получали доступ к их системам и имели полную свободу действий в течение нескольких недель. Правительственные учреждения США были скомпрометированы, что привело к расследованию, которое указало пальцем на российскую государственную операцию.
Эта разрушительная атака по цепочке поставок может произойти и в веб-средах, и это подчеркивает необходимость комплексного и упреждающего решения для обеспечения веб-безопасности, которое будет постоянно отслеживать ваши веб-ресурсы.
Стандартные средства безопасности перехитрили
Стандартные процессы безопасности не помогли SolarWinds, и они не могут отслеживать всю вашу цепочку поставок. Существует множество областей потенциального риска, которые они просто пропустят, например:
- Правила конфиденциальности и безопасности: Если один из ваших сторонних поставщиков выпустит новую версию, которая не соответствует правилам безопасности и приватности, традиционные средства безопасности не воспримут это изменение.
- Трекеры и пиксели: Аналогичным образом, если ваш менеджер тегов каким-то образом неправильно настроен, он может непреднамеренно собирать личную информацию, подвергая вас возможному (огромному!) штрафы и судебные иски.
- Внешние серверы: Если внешний сервер, на котором размещен ваш JS framework, будет взломан, вы не будете предупреждены.
- Предпроизводственные уязвимости: Если после запуска в производство появится новая уязвимость, вы, возможно, не сможете ее устранить.
В этих и многих других ситуациях стандартные средства безопасности не оправдают ожиданий.
Уязвимость Log4j
Еще одна из таких ситуаций возникла, когда была обнаружена уязвимость нулевого дня в широко используемой утилите ведения журнала Log4j на базе Java. Миллионы компьютеров, принадлежащих предприятиям, организациям и частным лицам по всему миру, используют Log4j в своих онлайн-сервисах. Исправление было выпущено через три дня после обнаружения уязвимости в 2021 году, но, по словам старшего исследователя угроз Sophos Шона Галлахера:
Уязвимость позволяет хакерам получить контроль над устройствами, которые подвержены эксплойту через Java. Опять же, затем они могут использовать эти устройства для незаконной деятельности, такой как добыча криптовалюты, создание ботнетов, рассылка спама, установка бэкдоров, Magecart и запуск атак программ-вымогателей.
После того, как это было раскрыто, Check Point сообщила о миллионах атак, инициированных хакерами, и некоторые исследователи наблюдали скорость более 100 атак в минуту и попытки атак на более чем 40% бизнес-сетей по всему миру.
Учитывая, что ваша цепочка поставок веб-приложений, возможно, уже была скомпрометирована из-за уязвимости Log4J, потребность в проактивном решении для непрерывного мониторинга становится еще более актуальной.
Одним из таких решений является компания по веб-безопасности Reflectiz. Ее платформа на ранней стадии обнаружила уязвимость Log4J в домене Microsoft Bing, которую они быстро исправили. Затем Reflectiz активно просканировал тысячи веб-сайтов и служб для выявления других уязвимостей Log4J. Одна значительная уязвимость была обнаружена в компоненте UET Microsoft, затрагивающем миллионы пользователей на различных платформах. Reflectiz уведомляла клиентов и потенциальных клиентов и сотрудничала с ними, чтобы снизить риски, соблюдая ответственные процедуры раскрытия информации, информируя Корпорацию Майкрософт и делясь своими выводами. Они подчеркивают постоянный характер события Log4J и призывают организации защищать свои веб-сайты путем устранения уязвимостей сторонних производителей.
Защита цепочки поставок вашего веб-приложения
Взаимодействие ваших собственных и сторонних веб-компонентов в цепочке поставок веб-приложений создает динамичную среду, которая постоянно меняется. Постоянно меняющаяся среда требует решения для непрерывного мониторинга, которое предупреждает вас о подозрительном поведении в каждом элементе цепочки поставок веб-приложений. Благодаря тщательному непрерывному мониторингу группы безопасности могут:
- определите все существующие веб-ресурсы и обнаружьте уязвимости в цепочке поставок веб-приложений и компонентах с открытым исходным кодом
- Отслеживайте конфигурации веб-приложений и настройки кода сторонних производителей
- Смотрите полную информацию о рисках, связанных с уязвимостями и проблемами соответствия требованиям
- Контролируйте доступ веб-компонентов к конфиденциальным данным
- Проверяйте поведение сторонних разработчиков
