Manažer bezpečnosti: Slepí vůči útokům na weby

Probíhá útok na naše weby! Firemní firewall a systém detekce narušení (IDS) přitom poskytovaly mnoha našim lidem falešný pocit bezpečí.

Samozřejmě, že si jako CSO nemohu falešný pocit bezpečí dovolit, takže jsem nedávno podnikl některé kroky ke zjištění, co se děje v rámci přenosů na našich webových serverech. Ukazuje se, že mnoho útoků procházelo přes naše firewally zcela bez povšimnutí. Nikdy se zřejmě nedovíme, jak dlouho to trvalo.

Není vždy snadné zjistit, jak účinná jsou naše bezpečnostní opatření. Vždy odhadujeme potenciální hrozby a jejich zdroj, ale nemůžeme vědět, jak jsou naše odhady přesné a co jsme mohli opominout.

Webové servery tvořící rozhraní naší společnosti jsou přes naše firewally napojeny přímo do internetu a jsou tak v naší síti zcela jistě problematickým místem. Tyto prvky společně se systémy IDS nám umožňují sledovat dění na lince, ale otázkou zůstává, zda skutečně dokážou rozpoznat i útoky založené na aktivním obsahu. Abych to zjistil, nainstaloval jsem zařízení označované jako WAF (Web Application Firewall) v demilitarizované zóně naší sítě, aby nás informovalo o aktivních útocích, které by ostatní ochranné prvky pravděpodobně nezjistila. Nakonfiguroval jsem tento produkt do monitorovacího režimu, i když ho bylo možno nastavit i na blokování útoků -  mým cílem bylo totiž jen zjistit, co se děje. Chtěl jsem se dozvědět něco více o probíhajících připojeních k dotyčným webovým serverům.

A co jsem zjistil? Že naše weby jsou vykrádány jinými společnostmi – tedy konkrétně našimi konkurenty. Některé informace na našich webech jsou samozřejmě důležitým duševním vlastnictvím. Je našim zákazníkům poskytováno on-line, a to omezeným způsobem (hesla apod.). Taková omezení ale není pro webové roboty používané našimi konkurenty složité překonat, protože správci webu toho obvykle o zabezpečení moc nevědí. Symbolicky se pokusí o použití hesel a omezení pro citlivé soubory, ale často svou práci neodvedou úplně dobře.

Co dělat? S důkazy v ruce jsem zašel za ředitelem IT. Naše právní oddělení nyní zvažuje další kroky, zda by vzhledem k současným ekonomickým obtížím nebyl příslušný právní spor příliš komplikovaný a drahý. Je ale zcela jasné, že naši weboví vývojáři budou muset odvést lepší práci v oblasti blokování přístupu k citlivým informacím. Zkoumáme podstatu problému, abychom zjistili, jak bychom to mohli lépe vyřešit. Aby se problém vyřešil, táhnou všichni za jeden provaz, a to mi dává pocit skutečného zadostiučinění.

WAF také zjistil další problémy. Každý den dochází ke stovkám pokusů o útok typu SQL injection. Dosud se žádný nezdařil, ale jsem ohromen jejich množstvím. Nedokážu si představit nikoho, kdo by měl čas sedět a pokoušet se o útoky SQL injection vůči náhodně vybraným webovým serverům, takže musím předpokládat, že tyto útoky pocházejí z automatizovaných skriptů.

Každopádně se jedná o učebnicové příklady útoků SQL injection, kdy každý zkouší různé kombinace kódu SQL obsaženého v HTML. Vypadá to ale, že jsme v tomto směru odvedli poměrně dobrou práci, když jsme naše webové aplikace vůči těmto útokům zabezpečili, ale vždy člověka zneklidní, když slyší útočníky bušit na dveře.

Také dochází k nemnoha dalším útokům založeným na obsahu, ale žádný z nich zřejmě neprošel našimi obrannými liniemi. Přesto mi to umožňuje více si uvědomit nebezpečí příliš velkého spoléhání na pravidla firewallu založená na portech (ta totiž nezohledňují přímo aplikace), a na systémy IDS založené na signaturách, které jsou slepé vůči určitým typům závadných přenosů. Jak tedy ukázal můj nedávný cvičný pokus, je těžké chránit se před problémy, o kterých nevíte.