Анализ защищенности интеграционных шин

Интеграционные шины предприятия (Enterprise Service Bus, ESB) внедрены практически в каждой крупной компании и позволяют реализовать обмен данными как между внутренними системами, такими как ERP или АБС, так и между компаниями-партнерами. 

Особенно они распространены в компаниях, где были многочисленные слияния и поглощения и, как следствие, актуальна необходимость объединения инфраструктур. Практически каждый крупный производитель ПО имеет собственное решение интеграционной шины: это IBM WebSphere MQ , SAP PI/XI , Microsoft Biztalk, Oracle Service Bus и прочие решения.

Данные системы обеспечивают не только обмен данными между различными бизнес-приложениями, но и связывают сеть компании с офисами подрядчиков, партнеров, банков, налоговых и прочих организаций. Это позволяет говорить не только о внутренних угрозах данных систем, но и об атаках из недоверенных сетей, таких как Интернет. Один из векторов атаки – это взлом сети небольшой незащищенной компании, а далее атака на интеграционную шину крупной партнерской компании с целью проникновения в ее защищенную сеть.

В плане оценки защищенности интеграционные шины имеют ряд существенных отличий от типовых информационных систем, поскольку в них огромное количество кода собственной разработки. Фактически шина – это программный каркас, на основе которого разрабатывается интеграционная система. 

В случае недостаточно жестких ограничений или ошибок в разработке, связанных с трансформацией документов, возможны атаки, связанные с подделкой маршрутов, и, как следствие, неавторизованный доступ к доверенным ресурсам, а также различные атаки типа SSRF. Кроме того, сложность интеграции различных систем приводит к тому, что, например, настройка шифрования не реализуется и критичные данные передаются в открытом виде. 

Из-за огромного объема кастомизации и малого количества типовых настроек эффективный аудит данных приложений возможен только вручную, так как продукт сам по себе имеет немного уязвимостей, и патч-менеджмент или сторонние продукты безопасности в лучшем случае защитят платформу, но не код, написанный по индивидуальному заказу.

На данный момент актуальны следующие угрозы, направленные как на получение доступа к данным, контролируемым интеграционной шиной, так и использование шин для атак на связанные системы:

  • Проникновение из сети Интернет к ресурсам компании через уязвимости интеграционных шин;
  • Проникновение в защищенный периметр компании через сети компаний-партнеров, связанные интеграционной шиной;
  • Атаки со стороны недобросовестных подрядчиков;
  • Инсайдерские атаки, направленные на критичные системы, подключенные через небезопасно сконфигурированные интеграционные шины;
  • Неправомерный доступ к интеграционной шине и перехват критичных данных, в том числе финансовых потоков.

Методика и содержание работ

В ходе выполнения работ по аудиту безопасности интеграционных шин применяется методика анализа бизнес-приложений, разработанная Digital Security Research Group – исследовательским центром компании Digital Security. Методика базируется на проекте EAS-SEC, основанном компаний Digital Security и посвященном проблемам безопасности бизнес-приложений и оценке их безопасности на всех уровнях. Проект EAS-SEC собрал лучшие наработки в области безопасности из OWASP, WASC и BIZEC, а также опыт компании по анализу защищенности различных по функциональности и сложности приложений, от промышленных контроллеров до сложных ERP-систем, СУБД, AБС, CRM, SRM и бизнес-приложений уровня Enterprise.

Этапы работы

Процесс анализа безопасности интеграционных шин (рекомендуется проводить методом White-Box):

  • Изучение архитектуры системы;
  • Составление модели угроз для конкретного решения;
  • Проверка настроек интеграционных шин на безопасность;
  • Проверка возможности реализации обнаруженных угроз.

Результат работы

В результате работы будет предоставлен детальный отчет с анализом приложений, включающий:

  • Недостатки, найденные в ходе анализа;
  • Рекомендации по устранению найденных недостатков для разработчиков;
  • Рекомендации по устранению найденных недостатков для администраторов;
  • Рекомендации по улучшению безопасности систем.

Статьи по теме:

Оставить заявку

Оставить заявку