Статистика уязвимостей Web приложений за 2008 год cards-shopcc, cardshopcc

Данная публикация содержит обзорную статистику уязвимостей Web-приложений, полученную в ходе работ по тестированию на проникновение и по итогам повышения безопасности сайтов клиентов компании Positive Technologies.
1.   Введение
2.   Методика
3.   Портрет участников  
4.   Статистика уязвимостей
4.1.   Автоматическое сканирование
4.2.   Детальный анализ
4.3.   Обобщенные данные
5.   Выводы
6.   Ссылки
ОБ АВТОРЕ
Как показывает многолетний опыт компании Positive Technologies по проведению работ по тестированию на проникновение и аудитов информационной безопасности – уязвимости в Web-приложениях по-прежнему остаются одним из наиболее распространенных недостатков обеспечения защиты информации. Другие часто встречающиеся проблемы – это низкая осведомленность сотрудников в вопросах ИБ, слабая парольная политика или повсеместное ее несоблюдение, недостатки в процессах управления обновлениями ПО, использование небезопасных конфигураций, и как это может показаться парадоксальным, не эффективное межсетевое разграничение доступа.
Несмотря на то, что уязвимости Web-приложений неоднократно описаны в «научно-популярной» и специализированной литературе,  достаточно редко встречаются превентивные защитные механизмы, снижающие риски эксплуатации различных уязвимостей в них.
Проблема защищенности Web-приложений усугубляется еще и тем, что при разработке Web-приложений, зачастую не учитываются вопросы, связанные с защищенностью этих систем от внутренних и внешних угроз, либо не достаточно внимания уделяется данному процессу. Это в свою очередь порождает ситуацию, в которой проблемы ИБ попадают в поле зрения владельца системы уже после завершения проекта. А устранить уязвимости в уже созданном Web-приложении является более расходной статьей бюджета, чем при его разработке и внедрении.
Недооценка серьезности риска реализации угроз ИБ с использованием Web-приложений, доступных со стороны сети Интернет, возможно, является основным фактором текущего низкого состояния защищенности большинства из них.
Данная публикация содержит обзорную статистику уязвимостей Web-приложений, полученную из двух источников:
Всего в статистике участвуют данные о 10459 Web-приложениях. Данные основываются на проведении 16121 автоматических сканирований, детальном анализе 59 Web-приложений, в том числе с проведением анализа исходного кода более 10-ти из них.
В зависимости от типа выполняемых работ были задействованы различные методики проведения обследования Web-приложений, от автоматизированного инструментального обследования методом «черного ящика» (black-box, blind) с использованием сканеров безопасности XSpider и MaxPatrol, до проведения всех проверок вручную методом «белого ящика» (white-box), включая частичный и полный анализ исходного кода. В статистику вошли данные только по внешним Web-приложениям, доступным из глобальной сети Интернет.
Обнаруженные уязвимости классифицировались согласно Web Application Security Consortium Web Security Threat Classification (WASC WSTCv2 [1]). Данная классификация представляет собой попытку собрать воедино угрозы безопасности Web-приложений. Члены Web Application Security Consortium создали этот проект для разработки и популяризации стандартной терминологии описания проблем безопасности Web-приложений. Наличие этого документа дает возможность разработчикам приложений, специалистам в области безопасности, производителям программных продуктов и аудиторам использовать единый язык для взаимодействия.
Распространенные уязвимости Web-приложений организованны в структурированный список, состоящий из девяти классов (WSTCv2):
Для каждого из классов приведено подробное описание входящих в него разновидностей атак. Описания содержат примеры уязвимостей, приводящих к возможности реализации атаки, а так же ссылки на дополнительные материалы.
В приводимой статистике учитываются только уязвимости Web-приложений. Такие распространенные проблемы ИБ, как недостатки процесса управления обновлениями ПО не рассматриваются.
Критичность уязвимости, оцениваемая согласно CVSSv2 (Common Vulnerability Scoring System version 2 [2, 3]), приводилась к классической «светофорной» оценке путем деления на 3.
Распределение приложений, исследуемых методом «белого ящика», в зависимости от сферы деятельности владельца приведено в Табл. 1 и на Рис. 1.
Сектор  экономики
Телекоммуникации
Финансовый сектор
Нефтегазовый комплекс
Другие
Подобное распределение респондентов связано с тем, что наибольший интерес в 2008 г. к работам по анализу защищенности своих Web-ресурсов проявил сектор Телекоммуникации (48%) и Нефтегазовый комплекс (39%). В меньшей степени, востребованность в подобных услугах за 2008 г., была у Финансового сектора (8%) и компаний в различных отраслях (5%). Однако это обусловлено, прежде всего тем, что для данного сектора экономики проводились более детальные исследования Web-приложений путем анализа исходного кода.
Представленные данные справедливы только для участников исследования, ресурсы которых обследовались экспертами Positive Technologies в рамках аудитов и работ по тестированию на проникновение.
Всего в представленную статистику вошли данные по 10459 Web-приложениям, 7861 из которых содержали одну и более уязвимостей. Суммарно во всех приложениях было обнаружено 33931 ошибок различной степени риска. В Табл. 2 представлены данные по распределению уязвимостей, выявленные в ходе аудитов и путем автоматизированного сканирования.
Метод поиска
Ручной метод поиска и анализ исходного кода
Автоматизированный метод поиска
Таким образом, вероятность обнаружения уязвимостей в одном Web-приложении (т.е. эффективность оценки защищенности) при его детальном анализе выше этого показателя при автоматическом сканировании на 26% (см. Рис. 2). Такое соотношение обусловлено, прежде всего тем, что анализ исходного кода и выполнение ручных проверок позволяет добиться лучших результатов, чем при автоматизированном сканировании. Кроме того, в работах по исследованию Web-приложений ручным способом применялись методы проверки приложений на основе системных журналов, исходных кодов, что увеличивает охват API системы, и как следствие, позволяет получить более объективную оценку защищенности исследуемых систем. При автоматизированном сканировании настройка профилей сканирования под конкретное Web-приложение не выполнялась, и сканирования производились методом «черного ящика».
Распределение обнаруженных уязвимостей по различным типам с помощью автоматизированных средств представлено в Табл. 3 и на Рис. 3. Данные указаны с учетом систем, для которых были обнаружены от одной до нескольких уязвимостей. При расчете процента уязвимых сайтов были исключены web-приложения, у которых не было обнаружено уязвимостей.
Стоит отметить, что в статистику не вошла распространенная уязвимость Web-приложений – «Подделка HTTP-запросов» (Cross-Site Request Forgery, CSRF) [4]. Эта ошибка в том или ином виде встречалась во всех проанализированных приложениях.
Таблица 3. Статистика уязвимостей Web-приложений (автоматическое сканирование)
Тип уязвимости
Cross-Site Scripting
Information Leakage
Insufficient Transport Layer Protection
Fingerprinting
SQL Injection
Malware detect
Improper Parsing
HTTP Response Splitting
SSI Injection
Remote File Inclusion
Path Traversal
OS Commanding
Content Spoofing
Denial of Service
Insufficient Authorization
Brute Force
Directory Indexing
 
Если рассматривать уязвимости с точки зрения распространенности, то будут получены результаты, представленные на Рис. 4.
Наиболее распространенной уязвимостью является «Межсайтовое выполнение сценариев» (Cross-Site Scripting, XSS), на долю которой приходится приблизительно 30% всех ошибок. Данная уязвимость встречалась в 50% всех проанализированных приложений. То есть каждый второй сайт содержит подобную уязвимость.
Другая распространенная уязвимость, вплотную приблизившаяся к «Межсайтовому выполнению сценариев», связана с различными вариантами утечки информации. Уязвимость данного типа собрала в себе такие распространенные ошибки, как доступ к исходному коду серверных сценариев, раскрытие пути каталога Web-сервера, получение различной чувствительной информации и прочее. Ошибки, связанные с данной уязвимостью, встречались практически на каждом обследуемом сайте.
Таким образом, лидирующую позицию по вероятности обнаружения уязвимости в Web-приложении при автоматическом сканировании, занимает уязвимость – «Утечка информации» (Information Leakage). Стоит отметить, что степень возможного риска данной уязвимости может варьироваться от низкой до критической. Ошибки в разграничении доступа к Web-ресурсам, хранение в общедоступных, но «скрытых» папках конфиденциальных данных, резервных копий сценариев являются наиболее типичными примерами подобных недостатков. В некоторых случаях аудиторам удавалось получить доступ к критичной системной или бизнес информации (например, базам учетных записей, журналам транзакций), используя только механизм «Forced Browsing», т.е. подбор имен файлов, доступных со стороны сети Интернет.
Интересную позицию в статистике занимает уязвимость «Malware detect», на долю которой приходится приблизительно 6% всех выявленных уязвимостей при автоматическом сканировании (см. Рис. 3). Присутствие данной уязвимости свидетельствует о том, что Web-приложение содержит инфицированный код (Trojan-Spy backdoor, Code.JS, Code.I и т.д.), вследствие чего на компьютеры посетителей такого сайта может быть установлено злонамеренное программное обеспечение. Статистика уязвимостей с высоким уровнем опасности, обнаруженных на сайтах, содержащих инфицированный код (см. Рис. 5), показывает, что наиболее вероятные пути распространения инфицированного кода в этих приложениях – это использование следующих уязвимостей:
Процесс эксплуатации подобных уязвимостей может быть достаточно легко автоматизирован, а распространненость подобных ошибок в Web-приложениях позволяет проводить массовые «дефейсы», добавлять инфицированный код на страницы уязвимых Web-узлов.
Если посмотреть на статистику распределения критических уязвимостей по инфицированным сайтам (см. Рис. 6), то можно сделать вывод, что основным вектором заражения Web-приложения автоматизированным способом, является эксплуатация уязвимости «Внедрение операторов SQL».
Сравнивая аналогичные показатели по сайтам, на которых не было обнаружено инфицированных страниц (см. Рис. 7), можно сделать вывод, что приблизительно 15-20% Web-приложений может быть заражено автоматизированным способом, при условии настроек среды Web-сервера, позволяющих провести подобную атаку.
Распределение обнаруженных уязвимостей по различным типам, выявленных с помощью детального анализа Web-приложений представлено в Табл. 4 и на Рис. 8.
Тип уязвимости
Cross-Site Scripting
SQL Injection
Information Leakage
Path Traversal
Brute Force
Predictable Resource Location
HTTP Response Splitting
Insufficient Authentication
Fingerprinting
Abuse of Functionality
Insufficient Process Validation
Weak Password Recovery Validation
Insufficient Transport Layer Protection
Denial of Service
Insufficient Session Expiration
Remote File Inclusion
Credential/Session Prediction
Directory Indexing
Insufficient Anti-automation
OS Commanding
Session Fixation
Mail Command Injection
Если рассматривать наиболее часто встречаемые уязвимости при детальном анализе Web-приложения с точки зрения распространенности, то будут получены результаты, представленные на Рис. 9.
Также как и при автоматическом сканировании Web-приложений, при проведении детального анализа, наиболее распространенной уязвимостью по-прежнему является «Межсайтовое выполнение сценариев» (Cross-Site Scripting, XSS), на долю которой приходится приблизительно 43% всех ошибок. Данная уязвимость встретилась в 61% всех проанализированных приложений.
На втором месте, при детализированном анализе защищенности Web-приложений, оказалась уязвимость «Внедрение операторов SQL» (SQL Injection). Данная уязвимость встретилась в 18% случаев, приблизительно на 68% всех исследуемых приложений.
Таким образом, лидирующие позиции по вероятности обнаружения уязвимости в Web-приложении при его детальном анализе, занимает уязвимость на стороне Web-сервера (server-side) – «Внедрение операторов SQL» (SQL Injection) и уязвимость, эксплуатируемая на стороне клиента (client-side) – «Межсайтовое выполнение сценариев» (Cross-Site Scripting, XSS).
Небольшой процент распределения уязвимости типа «Утечка информации» (Information Leakage) по сравнению с автоматическим сканированием обусловлено используемой методикой при проведении детального анализа защищенности Web-приложений. Так, многие недостатки, которые сканер безопасности относит к данному типу уязвимости и суммирует их, при экспертном анализе, группировались в одну уязвимость или оказывались признаками других, более серьезных проблем (например, ошибками разграничения доступа).
Обобщенные результаты по распределению обнаруженных уязвимостей по различным типам и классам WSTCv2, выявленных с помощью детального анализа Web-приложений и при автоматическом  сканировании представлено в Табл. 5 и на Рис. 10.
Тип уязвимости
Cross-Site Scripting
SQL Injection
Information Leakage
Path Traversal
Brute Force
Predictable Resource Location
HTTP Response Splitting
Insufficient Authentication
Fingerprinting
Abuse of Functionality
Insufficient Process Validation
Weak Password Recovery Validation
Insufficient Transport Layer Protection
Denial of Service
Insufficient Session Expiration
Remote File Inclusion
Credential/Session Prediction
Directory Indexing
Insufficient Anti-automation
OS Commanding
Session Fixation
Mail Command Injection
Malware detect
Improper Parsing
SSI Injection
Content Spoofing
Insufficient Authorization
При анализе количества уязвимостей по степени риска (Рис. 11 и 12) видно, что наиболее распространенными являются недочеты низкой степени критичности при автоматическом сканировании (Рис. 11) и средней степени критичности при детальном анализе (Рис. 12).
Если анализировать распространенность уязвимостей высокого степени риска (Рис. 13), то здесь наиболее часто встречаются ошибки типа «Внедрение операторов SQL» (SQL Injection). Возможность несанкционированного доступа к базе данных была обнаружена в 67% случаев при детальном анализе Web-приложения и 16% при автоматическом сканировании. Также широко распространены ошибки «Чтения произвольных файлов» (Path Traversal), «Подбор пароля» (Brute Force) и ошибки в реализации и настройке системы авторизации и аутентификации.
Если рассматривать суммарную вероятность обнаружения уязвимостей различной степени риска при использовании разных подходов к анализу Web-приложений, то получаем картину, приведенную на Рис. 14.
То есть в 83% сайтов были обнаружены критичные уязвимости, и в 78% случаев из ста в программном обеспечении Web-приложения содержатся уязвимости средней степени риска.
На основании полученных данных можно сделать следующие выводы:
[1] Web Application Security Consortium, “Web Security Threat Classification”
http://webappsec.org/projects/threat/
[2] Common Vulnerability Scoring System
http://www.first.org/cvss/
[3] Сергей Гордейчик, “Насколько “дыра” широка?”
http://www.osp.ru/win2000/2006/02/1156304/
[4] Сергей Гордейчик, Cross-Site Request Forgery – много шума из-за ничего
http://www.securitylab.ru/analytics/292473.php
[5] Positive Technologies, “Статистика уязвимостей WEB-приложений в 2007 году”
http://www.ptsecurity.ru/stat2007.asp
[6] Positive Technologies, “Статистика уязвимостей WEB-приложений в 2006 году”
http://www.ptsecurity.ru/webstat2006.asp
В статье мы расскажем о наиболее интересных стартапах в области кибербезопасности, на которые следует обратить внимание.
Хотите узнать, что происходит нового в сфере кибербезопасности, – обращайте внимание на стартапы, относящиеся к данной области. Стартапы начинаются с инновационной идеи и не ограничиваются стандартными решениями и основным подходом. Зачастую стартапы справляются с проблемами, которые больше никто не может решить.
Обратной стороной стартапов, конечно же, нехватка ресурсов и зрелости. Выбор продукта или платформы стартапа – это риск, требующий особых отношений между заказчиком и поставщиком . Однако, в случае успеха компания может получить конкурентное преимущество или снизить нагрузку на ресурсы безопасности.
Ниже приведены наиболее интересные стартапы (компании, основанные или вышедшие из «скрытого режима» за последние два года).
Компания Abnormal Security, основанная в 2019 году, предлагает облачную платформу безопасности электронной почты, которая использует анализ поведенческих данных для выявления и предотвращения атак на электронную почту. Платформа на базе искусственного интеллекта анализирует поведение пользовательских данных, организационную структуру, отношения и бизнес-процессы, чтобы выявить аномальную активность, которая может указывать на кибератаку. Платформа защиты электронной почты Abnormal может предотвратить компрометацию корпоративной электронной почты, атаки на цепочку поставок , мошенничество со счетами, фишинг учетных данных и компрометацию учетной записи электронной почты. Компания также предоставляет инструменты для автоматизации реагирования на инциденты, а платформа дает облачный API для интеграции с корпоративными платформами, такими как Microsoft Office 365, G Suite и Slack.
Копания Apiiro вышла из «скрытого режима» в 2020 году. Ее платформа devsecops переводит жизненный цикл безопасной разработки «от ручного и периодического подхода «разработчики в последнюю очередь» к автоматическому подходу, основанному на оценке риска, «разработчики в первую очередь», написал в блоге соучредитель и генеральный директор Идан Плотник . Платформа Apiiro работает, соединяя все локальные и облачные системы управления версиями и билетами через API. Платформа также предоставляет настраиваемые предопределенные правила управления кодом. Со временем платформа создает инвентарь, «изучая» все продукты, проекты и репозитории. Эти данные позволяют лучше идентифицировать рискованные изменения кода.
Axis Security Application Access Cloud – облачное решение для доступа к приложениям , построенное на принципе нулевого доверия. Он не полагается на наличие агентов, установленных на пользовательских устройствах. Поэтому организации могут подключать пользователей – локальных и удаленных – на любом устройстве к частным приложениям, не затрагивая сеть или сами приложения. Axis вышла из «скрытого режима» в 2020 году.
BreachQuest, вышедшая из «скрытого режима» 25 августа 2021 года, предлагает платформу реагирования на инциденты под названием Priori. Платформа обеспечивает большую наглядность за счет постоянного отслеживания вредоносной активности. Компания утверждает, что Priori может предоставить мгновенную информацию об атаке и о том, какие конечные точки скомпрометированы после обнаружения угрозы.
Cloudrise предоставляет услуги управляемой защиты данных и автоматизации безопасности в формате SaaS. Несмотря на свое название, Cloudrise защищает как облачные, так и локальные данные. Компания утверждает, что может интегрировать защиту данных в проекты цифровой трансформации. Cloudrise автоматизирует рабочие процессы с помощью решений для защиты данных и конфиденциальности. Компания Cloudrise была запущена в октябре 2019 года.
Cylentium утверждает, что ее технология кибер-невидимости может «скрыть» корпоративную или домашнюю сеть и любое подключенное к ней устройство от обнаружения злоумышленниками. Компания называет эту концепцию «нулевой идентичностью». Компания продает свою продукцию предприятиям, потребителям и государственному сектору. Cylentium была запущена в 2020 году.
Компания Deduce , основанная в 2019 году, предлагает два продукта для так называемого «интеллектуального анализа личности». Служба оповещений клиентов отправляет клиентам уведомления о потенциальной компрометации учетной записи, а оценка риска идентификации использует агрегированные данные для оценки риска компрометации учетной записи. Компания использует когнитивные алгоритмы для анализа конфиденциальных данных с более чем 150 000 сайтов и приложений для выявления возможного мошенничества. Deduce заявляет, что использование ее продуктов снижает ущерб от захвата аккаунта более чем на 90%.
Автоматизированная платформа безопасности и соответствия Drata ориентирована на готовность к аудиту по таким стандартам, как SOC 2 или ISO 27001. Drata отслеживает и собирает данные о мерах безопасности, чтобы предоставить доказательства их наличия и работы. Платформа также помогает оптимизировать рабочие процессы. Drata была основана в 2020 году.
FYEO – это платформа для мониторинга угроз и управления доступом для потребителей, предприятий и малого и среднего бизнеса. Компания утверждает, что ее решения для управления учетными данными снимают бремя управления цифровой идентификацией. FYEO Domain Intelligence («FYEO DI») предоставляет услуги мониторинга домена, учетных данных и угроз. FYEO Identity будет предоставлять услуги управления паролями и идентификацией, начиная с четвертого квартала 2021 года. FYEO вышла из «скрытого режима» в 2021 году.
Kronos – платформа прогнозирующей аналитики уязвимостей (PVA) от компании Hive Pro , основанная на четырех основных принципах: предотвращение, обнаружение, реагирование и прогнозирование. Hive Pro автоматизирует и координирует устранение уязвимостей с помощью единого представления. Продукт компании Artemis представляет собой платформу и услугу для тестирования на проникновение на основе данных. Компания Hive Pro была основана в 2019 году.
Израильская компания Infinipoint была основана в 2019 году. Свой основной облачный продукт она называет «идентификация устройства как услуга» или DIaaS , который представляет собой решение для идентификации и определения положения устройства. Продукт интегрируется с аутентификацией SSO и действует как единая точка принуждения для всех корпоративных сервисов. DIaaS использует анализ рисков для обеспечения соблюдения политик, предоставляет статус безопасности устройства как утверждается, устраняет уязвимости «одним щелчком».
Компания Kameleon , занимающаяся производством полупроводников, не имеет собственных фабрик и занимает особое место среди поставщиков средств кибербезопасности. Компания разработала «Блок обработки проактивной безопасности» (ProSPU). Он предназначен для защиты систем при загрузке и для использования в центрах обработки данных, управляемых компьютерах, серверах и системах облачных вычислений. Компания Kameleon была основана в 2019 году.
Облачная платформа безопасности данных Open Raven предназначена для обеспечения большей прозрачности облачных ресурсов. Платформа отображает все облачные хранилища данных, включая теневые облачные учетные записи, и идентифицирует данные, которые они хранят. Затем Open Raven в режиме реального времени отслеживает утечки данных и нарушения политик и предупреждает команды о необходимости исправлений. Open Raven также может отслеживать файлы журналов на предмет конфиденциальной информации, которую следует удалить. Компания вышла из «скрытого режима» в 2020 году.
Компания Satori, основанная в 2019 году, называет свой сервис доступа к данным “DataSecOps”. Целью сервиса является отделение элементов управления безопасностью и конфиденциальностью от архитектуры. Сервис отслеживает, классифицирует и контролирует доступ к конфиденциальным данным. Имеется возможность настроить политики на основе таких критериев, как группы, пользователи, типы данных или схема, чтобы предотвратить несанкционированный доступ, замаскировать конфиденциальные данные или запустить рабочий процесс. Сервис предлагает предварительно настроенные политики для общих правил, таких как GDPR , CCPA и HIPAA .
Компания Scope Security недавно вышла из «скрытого режима», будучи основана в 2019 году. Ее продукт Scope OmniSight нацелен на отрасль здравоохранения и обнаруживает атаки на ИТ-инфраструктуру, клинические системы и системы электронных медицинских записей . Компонент анализа угроз может собирать индикаторы угроз из множества внутренних и сторонних источников, представляя данные через единый портал.
Основным продуктом Strata является платформа Maverics Identity Orchestration Platform . Это распределенная мультиоблачная платформа управления идентификацией. Заявленная цель Strata – обеспечить согласованность в распределенных облачных средах для идентификации пользователей для приложений, развернутых в нескольких облаках и локально. Функции включают в себя решение безопасного гибридного доступа для расширения доступа с нулевым доверием к локальным приложениям для облачных пользователей, уровень абстракции идентификации для лучшего управления идентификацией в мультиоблачной среде и каталог коннекторов для интеграции систем идентификации из популярных облачных систем и систем управления идентификацией. Strata была основана в 2019 году.
SynSaber , запущенная 22 июля 2021 года, предлагает решение для мониторинга промышленных активов и сети. Компания обещает обеспечить «постоянное понимание и осведомленность о состоянии, уязвимостях и угрозах во всех точках промышленной экосистемы, включая IIoT, облако и локальную среду». SynSaber была основана бывшими лидерами Dragos и Crowdstrike.
Traceable называет свой основной продукт на основе искусственного интеллекта чем-то средним между брандмауэром веб-приложений и самозащитой приложений во время выполнения. Компания утверждает, что предлагает точное обнаружение и блокирование угроз путем мониторинга активности приложений и непрерывного обучения, чтобы отличать обычную активность от вредоносной. Продукт интегрируется со шлюзами API. Traceable была основана в июле 2020 года.
Компания Wiz, основанная командой облачной безопасности Microsoft, предлагает решение для обеспечения безопасности в нескольких облаках, рассчитанное на масштабную работу. Компания утверждает, что ее продукт может анализировать все уровни облачного стека для выявления векторов атак с высоким риском и обеспечивать понимание, позволяющее лучше расставлять приоритеты. Wiz использует безагентный подход и может сканировать все виртуальные машины и контейнеры. Wiz вышла из «скрытого режима» в 2020 году.
Работает на CMS “1С-Битрикс: Управление сайтом”
cards-shopcc cardshopcc