ефект синергії

Фото:
ефект синергії
Тип статті:
Переклад

З чого все починалося

  10-15 років тому більшість сайтів компаній в Інтернеті виконували функцію «візитних карток». Вони були написані на мові HTML і містили статичну інформацію для відвідувачів. Ніяких можливостей інтерактивної взаємодії не передбачалося, і загроз для безпеки не виникало. Однак з появою нових мов програмування ресурси стали містити менше статичного і більше динамічного контенту.

    Користувачі стали вносити дані на веб-ресурси, і в них почали з'являтися уразливості, які можна експлуатувати. Завдяки ним можна або завантажити небажаний контент, або отримати доступ до даних інших користувачів. Все це стало стимулом розвитку інструментів забезпечення веб-безпеки.

Для яких компаній найважливіше захист веб-ресурсів?

   Раніше всіх потрапили в зону ризику банки: вони створювали системи ДБО (дистанційного банківського обслуговування), за допомогою який користувачі могли авторизуватися і виконувати платежі і грошові перекази. Такі можливості не могли не зацікавити зловмисників — вони почали шукати уразливості в цих ресурсах, прагнучи виконувати неавторизовані платежі від імені інших людей. Тому першими захистом веб-ресурсів стали займатися банки, і зараз вони в більшості своїй вже мають кілька рівнів захисту. Потім до них приєдналися телекомунікаційні оператори та інші організації, яким потрібно захищати свої особисті кабінети.

    Нова тенденція — захист електронних торговельних майданчиків і бірж. Там теж великі ризики шахрайських операцій. Виникає попит на захист систем дистанційного навчання, які широко впроваджуються в російських вузах. У них користувачі можуть отримувати контент, здавати тести, підміна інформації може призвести до спотворення результатів. Крім того, у державних організацій, особливо комунальних служб і енергетичних компаній, виникає потреба в забезпеченні безпеки систем особистих кабінетів. Вони працюють за принципом «єдиного вікна», активно розвиваються в багатьох містах і регіонах. Вони дозволяють оплачувати послуги і штрафи, а там, де є грошові перекази, виникає загроза злому.

Які бувають уразливості у веб-додатків

Деякі уразливості можуть привести до так званого дефейсу сайту — на ньому розміщується інформація, що порочить власника.

Інший тип вразливостей призводить до завантаження на ресурс шкідливого контенту. Користувачі, які відвідують цей ресурс, заражаються вірусами. Injection-атаки ставлять собі за мету викрасти інформацію з веб-ресурсу. Дані про користувачів, їх облікові записи, електронні адреси та телефони можуть застосовуватися для цільових атак або для розсилки спаму, вірусів і т. Д.

Веб-портали, опубліковані в Інтернеті, можуть послужити для хакерів точкою входу в корпоративну мережу. На веб-порталі вони створюють вихідну точку атаки, а з неї вже ведеться атака на внутрішню інфраструктуру.

Людський фактор

Зрілість кінцевих користувачів в питаннях ІБ відстає і від методології атак, і від засобів захисту, застосовуваних великими організаціями. Багато компаній зацікавлені в підвищенні обізнаності користувачів і розміщують на своїх ресурсах інформацію про те, як убезпечити себе при роботі з веб-ресурсами та куди звертатися, якщо щось трапилося. Також дуже важливо, щоб в компанії був затверджений і дотримувався регламент розслідування інцидентів.

Основний метод захисту для користувачів — це перевірка SSL-сертифікатів безпеки, яка дозволяє шифрувати трафік від користувача до конкретного ресурсу, щоб його не можна було підмінити в процесі передачі. Його доповнює багатофакторна аутентифікація з використанням пароля і смс-повідомлень для підтвердження.

Користувачам потрібно побоюватися фішингу та стежити за достовірністю відвідуваних сайтів. Часто створюються підроблені сайти, в заголовку яких змінена одна буква або цифра. Людина бачить знайомий екран, вводить логін і пароль, а після цього його авторизовані дані витікають до зловмисників.

Як же забезпечити безпеку сайтів?

Багато інтегратори пропонують WAF (Web Application Firewall) як основний засіб вирішення проблем з веб-безпекою. WAF — це продукт, який аналізує дані, що передаються на ресурс, виявляє атаки на нього і несанкціоновані дії.

WAF дійсно може функціонувати в режимі «за замовчуванням», запобігаючи основним атакам. Веб-фаєрвол скорочує час реакції на інцидент: він сигналізує про будь-яке просте сканування портів або перебор відомих вразливостей і заблокує його.

  Згодом вміст і функціонал сайтів змінюється, тому потрібно стежити за правильним функціонуванням WAF і регулярно перевіряти безпеку веб-ресурсів.

Аналіз вразливостей і пентести

 Два основних види послуг по забезпеченню безпеки веб-сайтів — це тести на проникнення (пентести) і послуги з перевірки на уразливості. Небагато компаній надають дві ці послуги без «перекосу» в бік однієї з них. 

Zero-day: що робити?

  Дослідники і хакери постійно знаходять нові вектора атак, уразливості «нульового дня». Їх виявляють у ході спеціальних конкурсів, і хакер, який вас атакує, може знати їх. У такій ситуації кошти веб-захисту дозволяють виграти час. Ви будете бачити, що хтось вас цілеспрямовано атакує, зможете оцінити періодичність і вектор атак, і служба безпеки та ІТ-відділ зможуть завчасно вжити заходів.

Не всі види аудиту однаково корисні

   Деякі компанії пропонують автоматизоване сканування замість аналізу уразливості, але така перевірка може розглядатися лише як доповнення до ІБ-аудиту. Інші виконують пентест за наступним сценарієм: знаходять одну уразливість і з неї розширюють свій вектор атаки, видаючи потім клієнту лякаючий список можливих несанкціонованих дій, заснований всього лише на одній лазівці. Зрозуміло, така перевірка не є вичерпною.

Природно, найбільш високого рівня безпеки дозволяють домогтися комплексні проекти, коли ми одночасно впроваджуємо WAF, проводимо аудит і пентести. 

RSS
Немає коментарів. Ваш буде першим!
Завантаження...
|