Любая информационная система имеет архитектурные единицы, обеспечивающие ее функционирование. Злоумышленники имеют широкий набор инструментов для получения доступа к веб-ресурсам и конфиденциальной информации.
Web-ресурс – не исключение. Логика работы любого «зловреда» заключается в поиске «слабого звена» в логике организации системы. Здесь мы можем говорить об атаках на каналы связи, инфраструктуру и приложение. Каждый из блоков экосистемы имеет свои потенциальные уязвимости и требует тщательной проработки и контроля.
Говоря о каналах связи, понимаем разного рода DDoS-атаки, порою полностью обезоруживающие самые качественные приложения. Когда речь идет об инфраструктуре, понимаем возможные нюансы с операционной системой и программным обеспечением, используемым в контексте web-окружения. «Дыры» на этом уровне находятся часто, что приводит к необходимости регулярного обновления серверного софта.
При работе с приложениями, мы имеет целый набор потенциальных «узких мест». Начиная от логики обработки запросов к Базе данных, продолжая «бэкдорами» и «кривыми» пользовательскими правами и привилегиями, заканчивая «странной» логикой организации бизнес-процессов.
Каждое веб-приложение может содержать сотни потенциальных критичных уязвимостей, которые могут эксплуатировать хакеры. Используя ошибки в коде, хакеры получают контроль над ресурсом, доступ к базам данных, финансовым транзакциям, платежной, клиентской и другой конфиденциальной информации.
Каждое изменение ресурса несет потенциальную угрозу: новые строки кода – со случайной ошибкой или специально оставленной закладкой, созданная учётная запись – со слабым паролем и чрезмерными пользовательскими привилегиями, новый бизнес-процесс – с новой схемой мошенничества.
Как известно, защита начинается на стадии разработки. При этом, постоянные обновления программного обеспечения – единственный путь развития продукта и закрытия старых «дыр» – зачастую добавляют ошибок — новых преимуществ вашим противникам в кибервойне.
Так, по статистике:
Ежедневно новостные заголовки пестрят сообщениями о взломах, хакерах, украденных данных или DDoS-атаках.
Это неудивительно: многие сайты содержат стандартные ошибки, заложенные в веб-платформах, пользователи используют слабые пароли, технологии взлома развиваются со стремительной скоростью и становятся дешевле и доступнее.
Логично предположить, что человечество не «сидит сложа руки». Ряд ресурсов имеют достаточно крупные отделы безопасности, жесткие регламенты выпуска обновлений, требований к исходному коду приложений и обновления серверного программного обеспечения. Казалось бы, вот она – «серебряная пуля», но, как в том анекдоте про Василия Ивановича: «… есть один нюанс».
Может ли человек постоянно быть в курсе всех опубликованных уязвимостей, безупречно контролировать настройки веб-инструментов, следить за пользовательским контентом, проверять все возможные векторы атак, моментально реагировать на аномальный трафик?
Вопрос, скорее всего, риторический…
Любые изменения объекта защиты влекут обязательную перенастройку систем безопасности.
Три года назад это не было проблемой: обновления информационных систем проходили раз в месяц или квартал. Было время на тестирование системы в лаборатории, на заказ стороннего аудита безопасности. Сегодня изменения происходят гораздо чаще.
Реагировать на уже свершившиеся события неэффективно, неудобно и дорого. Необходимо комплексное решение, которое охватывает все этапы жизненного цикла веб-ресурса.
Самое «узкое» место в корпоративной безопасности там, где присутствует человеческий фактор.
В таких условиях процесс исследования безопасности должен быть автоматизирован и встроен непосредственно в веб-разработку.
Данный подход к обеспечению безопасности критичной веб-инфраструктуры должен базироваться на «3 китах»:
Важно обеспечить непрерывность доступности веб-ресурса для клиентов и надежность защиты чувствительной информации:
При этом, для сотрудников отделов безопасности важно иметь максимально автоматизированный, единый центр управления различными инструментами безопасности веб-ресурсов.
Такие системы должные позволять:
Сегодня нужно говорить о необходимости «непрерывной» безопасности web-ресурсов:
Атаки уже автоматизированы, и это основная причина, по которой сегодня защита вручную не является допустимым решением.