Бизнес

Информационная безопасность: эффект синергии

Для каких компаний важнее всего защита веб-ресурсов? Какие бывают уязвимости у веб-приложений? Как же обеспечить безопасность сайтов? На эти и другие вопросы по безопасности отвечают специалисты компании Softline.

С чего все начиналось

10–15 лет назад большинство сайтов компаний в Интернете выполняли функцию «визитных карточек». Они были написаны на языке HTML и содержали статичную информацию для посетителей. Никаких возможностей интерактивного взаимодействия не предусматривалось, и угроз для безопасности не возникало. Однако с появлением новых языков программирования ресурсы стали содержать меньше статического и больше динамического контента.

Пользователи стали вносить данные на веб-ресурсы, и в них начали появляться уязвимости, которые можно эксплуатировать. Благодаря ним можно либо загрузить нежелательный контент, либо получить к данным других пользователей. Все это стало стимулом развития инструментов обеспечения веб-безопасности.

Для каких компаний важнее всего защита веб-ресурсов?

Раньше всех попали в зону риска банки: они создавали системы ДБО (дистанционного банковского обслуживания), с помощью который пользователи могли авторизоваться и выполнять платежи и денежные переводы. Такие возможности не могли не заинтересовать злоумышленников – они начали искать уязвимости в этих ресурсах, стремясь выполнять неавторизованные платежи от лица других людей. Поэтому первыми защитой веб-ресурсов стали заниматься банки, и сейчас они в большинстве своем уже имеют несколько уровней защиты. Затем к ним присоединились телекоммуникационные операторы и прочие организации, которым требуется защищать свои личные кабинеты.

Новая тенденция – защита электронных торговых площадок и бирж. Там тоже велики риски мошеннических операций. Возникает спрос на защиту систем дистанционного обучения, которые широко внедряются в вузах. В них пользователи могут получать контент, сдавать тесты, и подмена информации может привести к искажению результатов.

Кроме того, у государственных организаций, особенно коммунальных служб и энергетических компаний, возникает потребность в обеспечении безопасности систем личных кабинетов. Они позволяют оплачивать услуги и штрафы, а там, где есть денежные переводы, возникает угроза взлома.

Какие бывают уязвимости у веб-приложений

Некоторые уязвимости могут привести к так называемому дефейсу сайта — на нем размещается информация, порочащая владельца.

Другой тип уязвимостей приводит к загрузке на ресурс вредоносного контента. Пользователи, которые посещают этот ресурс, заражаются вирусами. Injection-атаки ставят своей целью похитить информацию с веб-ресурса. Данные о пользователях, их учетные записи, электронные адреса и телефоны могут применяться для целевых атак или для рассылки спама, вирусов и т.д.

Веб-порталы, опубликованные в Интернете, могут послужить для хакеров точкой входа в корпоративную сеть. На веб-портале они создают исходную точку атаки, а с нее уже ведется атака на внутреннюю инфраструктуру.

Человеческий фактор

Зрелость конечных пользователей в вопросах информационной безопасности отстает и от методологии атак, и от средств защиты, применяемых крупными организациями. Многие компании заинтересованы в повышении осведомленности пользователей и размещают на своих ресурсах информацию о том, как обезопасить себя при работе с веб-ресурсами и куда обращаться, если что-то случилось. Также очень важно, чтобы в компании был утвержден и соблюдался регламент расследования инцидентов.

Основный метод защиты для пользователей — это проверка SSL-сертификатов безопасности, которая позволяет шифровать траффик от пользователя до конкретного ресурса, чтобы его нельзя было подменить в процессе передачи. Его дополняет многофакторная аутентификации с использованием пароля и смс-сообщений для подтверждения.

Пользователям нужно опасаться фишинга и следить за подлинностью посещаемых сайтов. Часто создаются поддельные сайты, в заголовке которых изменена одна буква или цифра. Человек видит знакомый экран, вводит логин и пароль, а после этого его авторизационные данные утекают к злоумышленникам.

Как же обеспечить безопасность сайтов?

Многие интеграторы предлагают WAF (Web Application Firewall) как основное средство решения проблем с веб-безопасностью. WAF — это продукт, который анализирует данные, передаваемые на ресурс, выявляет атаки на него и несанкционированные действия.

WAF действительно может функционировать в режиме «по умолчанию», предотвращая основные атаки. Веб-файервол сокращает время реакции на инцидент: он сигнализирует о любом простейшем сканировании портов или переборе известных уязвимостей и заблокирует его.

Со временем содержимое и функционал сайтов меняется, поэтому нужно следить за правильностью функционирования WAF и регулярно проверять безопасность веб-ресурсов.

Анализ уязвимостей и пентесты

Два основных вида услуг по обеспечению безопасности веб-сайтов — это тесты на проникновение (пентесты) и услуги по проверке на уязвимости. Результаты проверки позволяют наиболее точным образом настроить WAF для защиты веб-ресурса.

Уязвимости нулевого дня: что делать?

Исследователи и хакеры постоянно находят новые вектора атак, уязвимости «нулевого дня». Их обнаруживают в ходе специальных конкурсов, и хакер, который вас атакует, может знать их. В такой ситуации средства веб-защиты позволяют выиграть время. Вы будете видеть, что кто-то вас целенаправленно атакует, сможете оцените периодичность и вектор атак, и служба безопасности и ИТ-отдел смогут заблаговременно принять меры.

Не все виды аудита одинаково полезны

Некоторые компании предлагают автоматизированное сканирование вместо анализа уязвимости, но такая проверка может рассматриваться лишь как дополнение к ИБ-аудиту. Другие выполняют пентест по следующему сценарию: находят одну уязвимость и из нее расширяют свой вектор атаки, выдавая потом клиенту пугающий список возможных несанкционированных действий, основанный всего лишь на одной лазейке.

Разумеется, такая проверка не исчерпывающая. Наиболее высокого уровня безопасности позволяют добиться комплексные проекты, когда мы одновременно внедряется WAF, проводится аудит и пентесты.