Новости

Как защитить web-ресурс от злоумышленников?

06 Июнь, 2018

2102

Иван Монахов, технический директор «Атак Киллер»

Любая информационная система имеет архитектурные единицы, обеспечивающие ее функционирование. Злоумышленники имеют широкий набор инструментов для получения доступа к веб-ресурсам и конфиденциальной информации.

Web-ресурс – не исключение. Логика работы любого «зловреда» заключается в поиске «слабого звена» в логике организации системы. Здесь мы можем говорить об атаках на каналы связи, инфраструктуру и приложение. Каждый из блоков экосистемы имеет свои потенциальные уязвимости и требует тщательной проработки и контроля.

Говоря о каналах связи, понимаем разного рода DDoS-атаки, порою полностью обезоруживающие самые качественные приложения. Когда речь идет об инфраструктуре, понимаем возможные нюансы с операционной системой и программным обеспечением, используемым в контексте web-окружения. «Дыры» на этом уровне находятся часто, что приводит к необходимости регулярного обновления серверного софта.

При работе с приложениями, мы имеет целый набор потенциальных «узких мест». Начиная от логики обработки запросов к Базе данных, продолжая «бэкдорами» и «кривыми» пользовательскими правами и привилегиями, заканчивая «странной» логикой организации бизнес-процессов.

Каждое веб-приложение может содержать сотни потенциальных критичных уязвимостей, которые могут эксплуатировать хакеры. Используя ошибки в коде, хакеры получают контроль над ресурсом, доступ к базам данных, финансовым транзакциям, платежной, клиентской и другой конфиденциальной информации.

Каждое изменение ресурса несет потенциальную угрозу: новые строки кода – со случайной ошибкой или специально оставленной закладкой, созданная учётная запись – со слабым паролем и чрезмерными пользовательскими привилегиями, новый бизнес-процесс – с новой схемой мошенничества.

Как известно, защита начинается на стадии разработки. При этом, постоянные обновления программного обеспечения – единственный путь развития продукта и закрытия старых «дыр» – зачастую добавляют ошибок — новых преимуществ вашим противникам в кибервойне.

Так, по статистике:

Каждый третий сайт содержит известные уязвимости.
Минимальная стоимость DDoS атаки снизилась в 10 раз за последние 4 года.
В 43% случаев DDoS-атака является маскировкой при проведении других вредоносных операций.

Ежедневно новостные заголовки пестрят сообщениями о взломах, хакерах, украденных данных или DDoS-атаках.

Это неудивительно: многие сайты содержат стандартные ошибки, заложенные в веб-платформах, пользователи используют слабые пароли, технологии взлома развиваются со стремительной скоростью и становятся дешевле и доступнее.

Логично предположить, что человечество не «сидит сложа руки». Ряд ресурсов имеют достаточно крупные отделы безопасности, жесткие регламенты выпуска обновлений, требований к исходному коду приложений и обновления серверного программного обеспечения. Казалось бы, вот она – «серебряная пуля», но, как в том анекдоте про Василия Ивановича: «… есть один нюанс».

Может ли человек постоянно быть в курсе всех опубликованных уязвимостей, безупречно контролировать настройки веб-инструментов, следить за пользовательским контентом, проверять все возможные векторы атак, моментально реагировать на аномальный трафик?

Вопрос, скорее всего, риторический…

Любые изменения объекта защиты влекут обязательную перенастройку систем безопасности.

Три года назад это не было проблемой: обновления информационных систем проходили раз в месяц или квартал. Было время на тестирование системы в лаборатории, на заказ стороннего аудита безопасности. Сегодня изменения происходят гораздо чаще.

Реагировать на уже свершившиеся события неэффективно, неудобно и дорого. Необходимо комплексное решение, которое охватывает все этапы жизненного цикла веб-ресурса.

Самое «узкое» место в корпоративной безопасности там, где присутствует человеческий фактор.

В таких условиях процесс исследования безопасности должен быть автоматизирован и встроен непосредственно в веб-разработку.

Данный подход к обеспечению безопасности критичной веб-инфраструктуры должен базироваться на «3 китах»:

непрерывная защита в активном режиме;
адаптация к специфике бизнеса;
максимальное исключение человеческого фактора.

Важно обеспечить непрерывность доступности веб-ресурса для клиентов и надежность защиты чувствительной информации:

безопасность коммерческих секретов или персональных данных пользователей;
безопасность проведения финансовых транзакций, осуществляемых через ресурс организации;
защиту от подмены информации или размещения противоправного контента;
сохранение позиций ресурса в поисковой выдаче даже при попытках злоумышленников совершить манипуляции с кодом;
защиту от атак, направленных на посетителей сайта, и реализованных путем размещения вредоносного кода на страницах ресурса.

При этом, для сотрудников отделов безопасности важно иметь максимально автоматизированный, единый центр управления различными инструментами безопасности веб-ресурсов.

Такие системы должные позволять:

распознавать атаку и осуществлять защиту в автоматическом режиме;
оказывать постоянное непрерывное противостояние злоумышленнику;
обеспечивать минимальное время реакции на атаки – секунды.

Сегодня нужно говорить о необходимости «непрерывной» безопасности web-ресурсов:

обеспечения доступности ресурсов: автоматическом обнаружении и гарантированном предотвращении масштабных и комплексных DDoS-атак;
обеспечения целостности и конфиденциальности данных: предотвращения хакерских атак на веб-приложение и обнаружения уязвимостей веб-инфраструктуры;
обеспечения безопасного обновления приложений: автоматизированного контроля качества исходного кода программ на соответствие требованиям по безопасности разработки.

Атаки уже автоматизированы, и это основная причина, по которой сегодня защита вручную не является допустимым решением.