6.4.1
Определенные Требования к Подходу:
Для общедоступных веб-приложений новые угрозы и уязвимости устраняются на постоянной основе, и эти приложения защищены от известных атак следующим образом:
- Проверка общедоступных веб-приложений с помощью ручных или автоматизированных инструментов или методов оценки безопасности уязвимостей приложений следующим образом:
- Не реже одного раза в 12 месяцев и после значительных изменений.
- Организацией, специализирующейся на безопасности приложений.
- Включая, как минимум, все распространенные программные атаки в требовании 6.2.4.
- Все уязвимости ранжируются в соответствии с требованием 6.3.1.
- Все уязвимости исправлены.
- Заявка повторно оценивается после внесения исправлений
ИЛИ
- Установка автоматизированного технического решения (решений), которое постоянно обнаруживает и предотвращает веб-атаки следующим образом:
- Устанавливается перед общедоступными веб-приложениями для обнаружения и предотвращения веб-атак.
- Активно работает и обновляется по мере необходимости.
- Создание журналов аудита.
- Настроен либо на блокировку веб-атак, либо на генерацию предупреждения, которое немедленно проверяется.
Цель Индивидуального подхода:
Общедоступные веб-приложения защищены от вредоносных атак.
Примечания по применению:
Эта оценка отличается от проверки уязвимостей, выполненной для требований 11.3.1 и 11.3.2.
Это требование будет заменено Требованием 6.4.2 после 31 марта 2025 года, когда Требование 6.4.2 вступит в силу.
Определенные Процедуры Тестирования Подхода:
- 6.4.1 Для общедоступных веб-приложений убедитесь, что используется один из требуемых методов следующим образом:
- Если используются ручные или автоматические инструменты или методы оценки безопасности уязвимостей, изучите документированные процессы, опросите персонал и изучите записи оценок безопасности приложений, чтобы убедиться, что общедоступные веб-приложения проверяются в соответствии со всеми элементами этого требования, специфичного для инструмента / метода.
ИЛИ
- Если установлено автоматизированное техническое решение (решения), которое постоянно обнаруживает и предотвращает веб-атаки, изучите параметры конфигурации системы и журналы аудита и опросите ответственный персонал, чтобы убедиться, что автоматизированное техническое решение (решения) установлено в соответствии со всеми элементами этого требования, специфичного для решения (решений).
Цель:
Общедоступные веб-приложения - это те, которые доступны для общественности (не только для внутреннего использования). Эти приложения являются основными целями для злоумышленников, а плохо закодированные веб-приложения обеспечивают злоумышленникам легкий путь для получения доступа к конфиденциальным данным и системам.
Надлежащая практика:
Ручные или автоматические инструменты или методы оценки безопасности уязвимостей проверяют и/или тестируют приложение на наличие уязвимостей.
Распространенные инструменты оценки включают специализированные веб-сканеры, которые выполняют автоматический анализ защиты веб-приложений.
При использовании автоматизированных технических решений важно включить процессы, которые облегчают своевременное реагирование на предупреждения, генерируемые решениями, чтобы можно было смягчить любые обнаруженные атаки.
Примеры:
Брандмауэр веб-приложений (WAF), установленный перед общедоступными веб-приложениями для проверки всего трафика, является примером автоматизированного технического решения, которое обнаруживает и предотвращает веб-атаки (например, атаки, включенные в требование 6.2.4). WAFS фильтруют и блокируют несущественный трафик на прикладном уровне. Правильно настроенный WAF помогает предотвратить атаки прикладного уровня на приложения, которые неправильно закодированы или настроены.
Другим примером автоматизированного технического решения являются технологии самозащиты приложений во время выполнения (RASP). При правильной реализации решения RASP могут обнаруживать и блокировать аномальное поведение программного обеспечения во время выполнения. В то время как WAFs обычно отслеживают периметр приложения, решения RASP отслеживают и блокируют поведение внутри приложения.
