Анализ защищенности веб-приложения для доступа к системе хранения критически важных данных

В работе рассматривается проблема обеспечения защищенного доступа с помощью веб-приложения к существующей базе данных, содержащей критически важную информацию о параметрах жизненного цикла сложных технических изделий. На основе анализа документа международной организации Web Application Security Consortium (WASC) «The WASC Threat Classification v2.0» выделены возможные атаки на веб-приложение, выступающее в качестве однонаправленной прослойки доступа к базе данных, эксплуатирующие потенциальные уязвимости (недостатки аутентификации, недостатки авторизации, атаки на стороне клиента, выполнение вредоносного кода на стороне сервера), разработан комплекс контрмер применительно к архитектуре веб-приложения. Разработана схема, описывающая контрмеры применительно к Model-View-Controller архитектуре web-приложения. Представлена диаграмма первого уровня декомпозиции функциональной модели работы веб-приложения. Для обеспечения безопасности на уровне сети модернизирована базовая архитектура сети предприятия с демилитаризованной зоной и соответствующей конфигурацией межсетевых экранов. Для оценки защищенности использованы внутренние метрики защищенности программного обеспечения, а также использована методика анализа рисков кибербезопасности на основе нечетких серых когнитивных карт, позволившая количественно оценить снижение относительно риска нарушения целостности накапливаемых данных в 3,5 раза. Рассмотрены четыре сценария воздействия злоумышленника: без использования дополнительных контрмер, применение архитектурной организации веб-приложения прослойки, учитывающего основные паттерны обеспечения кибербезопасности, применение Web-application Firewall (WAF), применение архитектурной организации приложения и WAF.

1. Frid A.I. et al. Architecture of the Security Access System for Information on the State of the Automatic Control Systems of Aircraft. Acta Polytechnica Hungarica. 2020;17(8):151–164.

2. Frid A.I. et al. The architecture of the web application for protected access to the informational system of processing critically important information. Proceedings of 19th International Workshop «Computer Science and Information Technologies» (CSIT’2017), Baden-Baden, Germany. 2017;16–22.

3. Гузаиров М.Б. и др. Защищенный доступ к базе данных о состоянии систем автоматического управления (САУ) авиационными ГТД через веб-приложение. Информация и безопасность. 2017;20(3):410–413.

4. Web Application Security Consortium. Доступно по: http://www.webappsec.org/ (дата обращения: 20.10.2021).

5. Huang H.C. et al. Web application security: Threats, countermeasures, and pitfalls. Computer. 2017;50(6):81–85.

6. OWASP Top Ten Project. Доступно по: https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project (дата обращения: 20.10.2021).

7. Wichers D. OWASP TOP-10 2013. OWASP Foundation, February. 2013.

8. Wiradarma A.A.B.A., Sasmita G.M.A. IT Risk Management Based on ISO 31000 and OWASP Framework using OSINT at the Information Gathering Stage (Case Study: X Company). International Journal of Computer Network and Information Security. 2019;11(12):17–29.

9. Recommendations of the National Institute of Standards and Technology. NIST. 2014:128.

10. The WASC Threat Classification v2.0. Доступно по: http://projects.webappsec.org/w/page/13246978/Threat%20Classification (дата обращения: 20.10.2021).

11. Васильев В.И., Вульфин А.М., Гузаиров М.Б., Кириллова А.Д. Интервальное оценивание информационных рисков с помощью нечетких серых когнитивных карт. Информационные технологии. 2018;24(10):657–664.

12. Васильев В.И. и др. Оценка рисков кибербезопасности АСУ ТП промышленных объектов на основе вложенных нечетких когнитивных карт. Информационные технологии. 2020;26(4):213–221.

13. Васильев В.И., Вульфин А.М., Черняховская Л.Р. Анализ рисков инновационных проектов с использованием технологии многослойных нечетких когнитивных карт. Программная инженерия. 2020;11(3):142–151.