Rate this post

«Серебряная пуля»nnОдна из передовых защитных технологий для клиентской части веб-приложений, которая претендует на роль «серебряной пули», защищающей от всех перечисленных угроз в предыдущих статьях, — веб-изоляция (см. рис. 1). суть которой сводится к тому, чтобы весь клиентский код веб-ресурсов, к которым обращается пользователь, обрабатывать удаленно.защита от веб атакПользователь же получает только визуальный поток запрашиваемого контента. Здесь каждый отдельно взятый веб-сеанс обрабатывается в изолированном виртуальном контейнере. Ничто из этого веб-сеанса не может выйти за пределы контейнера или остаться в контейнере после завершения веб-сеанса. Файлы при веб-изоляции также обрабатываются удаленно, чтобы пользователи могли получать к ним доступ, не загружая их на свою машину. Однако наивным будет полагать, что киберзлоумышленники не смогут обойти эту защиту. Кроме того, она только клиентскую сторону вебприложения защищает, тогда как для серверной части вебприложений такой подход неприменим. Не говоря уже о том, что веб-изоляция очень прожорлива в плане потребления вычислительных ресурсов и поэтому претендовать на роль лаконичного решения вряд ли когда-нибудь сможет.n

Так как же все-таки обеспечить безопасность?

Чем отличаются те веб-ресурсы, которые хорошо защищены — ну или если не хорошо, то хотя бы лучше, чем другие? В чем разница? Оттого ли, что они на каком-то особенно безопасном языке программирования написаны? Или, может быть, они работают в сфере, которая киберзлоумышленникам мало интересна? Может быть, у этой организации не тот размер, который привлекает киберзлоумышленников? Или, может быть, они как-то по особенному программное обеспечение свое разрабатывают? Или что-нибудь еще?nnВсе вышеперечисленное не имеет особого значения. То, что имеет по-настоящему важное значение, лежит за пределами технологий: наглядность и подотчетность. Веб-ресурсы и организации, которые безопаснее своих сверстников:n

    n

  1. имеют четкое представление об эффективности своего жизненного цикла разработки ПО;
  2. у них также есть четкие метрики для корпоративной кибербезопасности; метрики, которые прозрачно показывают, как поддерживать кибербезопасность на протяжении этого жизненного цикла;
  3. и в этих организациях также действует культура подотчетности, в том числе в терминах -когда» и -если».

nПоэтому они могут наглядно измерять производительность. Почему это работает? Потому что все измеренное приобретает тенденцию улучшаться. Когда все проблемы наглядно измерены, решение найти намного проще.nnНо перед тем, чтобы что-то измерять, надо это сначала увидеть. В данном случае увидеть проблемы кибербезопасности веб-приложений.