Веб-сайт — это лицо любой компании, а веб-приложения и веб-порталы предоставляют важнейший функционал и конкурентные преимущества.
С чего все начиналось
10–15 лет назад большинство сайтов компаний в Интернете выполняли функцию «визитных карточек». Они были написаны на языке HTML и содержали статичную информацию для посетителей. Никаких возможностей интерактивного взаимодействия не предусматривалось, и угроз для безопасности не возникало. Однако с появлением новых языков программирования ресурсы стали содержать меньше статического и больше динамического контента.
Пользователи стали вносить данные на веб-ресурсы, и в них начали появляться уязвимости, которые можно эксплуатировать. Благодаря ним можно либо загрузить нежелательный контент, либо получить к данным других пользователей. Все это стало стимулом развития инструментов обеспечения веб-безопасности.
Для каких компаний важнее всего защита веб-ресурсов?
Раньше всех попали в зону риска банки: они создавали системы ДБО (дистанционного банковского обслуживания), с помощью который пользователи могли авторизоваться и выполнять платежи и денежные переводы. Такие возможности не могли не заинтересовать злоумышленников – они начали искать уязвимости в этих ресурсах, стремясь выполнять неавторизованные платежи от лица других людей. Поэтому первыми защитой веб-ресурсов стали заниматься банки, и сейчас они в большинстве своем уже имеют несколько уровней защиты. Затем к ним присоединились телекоммуникационные операторы и прочие организации, которым требуется защищать свои личные кабинеты.
Новая тенденция – защита электронных торговых площадок и бирж. Там тоже велики риски мошеннических операций. Возникает спрос на защиту систем дистанционного обучения, которые широко внедряются в российских вузах. В них пользователи могут получать контент, сдавать тесты, и подмена информации может привести к искажению результатов. Кроме того, у государственных организаций, особенно коммунальных служб и энергетических компаний, возникает потребность в обеспечении безопасности систем личных кабинетов. Они работают по принципу «единого окна», активно развиваются во многих городах и регионах. Они позволяют оплачивать услуги и штрафы, а там, где есть денежные переводы, возникает угроза взлома.
Какие бывают уязвимости у веб-приложений
Некоторые уязвимости могут привести к так называемому дефейсу сайта — на нем размещается информация, порочащая владельца.
Другой тип уязвимостей приводит к загрузке на ресурс вредоносного контента. Пользователи, которые посещают этот ресурс, заражаются вирусами. Injection-атаки ставят своей целью похитить информацию с веб-ресурса. Данные о пользователях, их учетные записи, электронные адреса и телефоны могут применяться для целевых атак или для рассылки спама, вирусов и т.д.
Веб-порталы, опубликованные в Интернете, могут послужить для хакеров точкой входа в корпоративную сеть. На веб-портале они создают исходную точку атаки, а с нее уже ведется атака на внутреннюю инфраструктуру.
Человеческий фактор
Зрелость конечных пользователей в вопросах ИБ отстает и от методологии атак, и от средств защиты, применяемых крупными организациями. Многие компании заинтересованы в повышении осведомленности пользователей и размещают на своих ресурсах информацию о том, как обезопасить себя при работе с веб-ресурсами и куда обращаться, если что-то случилось. Также очень важно, чтобы в компании был утвержден и соблюдался регламент расследования инцидентов.
Основный метод защиты для пользователей — это проверка SSL-сертификатов безопасности, которая позволяет шифровать траффик от пользователя до конкретного ресурса, чтобы его нельзя было подменить в процессе передачи. Его дополняет многофакторная аутентификации с использованием пароля и смс-сообщений для подтверждения.
Пользователям нужно опасаться фишинга и следить за подлинностью посещаемых сайтов. Часто создаются поддельные сайты, в заголовке которых изменена одна буква или цифра. Человек видит знакомый экран, вводит логин и пароль, а после этого его авторизационные данные утекают к злоумышленникам.
Как же обеспечить безопасность сайтов?
Многие интеграторы предлагают WAF (Web Application Firewall) как основное средство решения проблем с веб-безопасностью. WAF — это продукт, который анализирует данные, передаваемые на ресурс, выявляет атаки на него и несанкционированные действия.
WAF действительно может функционировать в режиме «по умолчанию», предотвращая основные атаки. Веб-файервол сокращает время реакции на инцидент: он сигнализирует о любом простейшем сканировании портов или переборе известных уязвимостей и заблокирует его.
Со временем содержимое и функционал сайтов меняется, поэтому нужно следить за правильностью функционирования WAF и регулярно проверять безопасность веб-ресурсов.
Анализ уязвимостей и пентесты
Два основных вида услуг по обеспечению безопасности веб-сайтов — это тесты на проникновение (пентесты) и услуги по проверке на уязвимости. Немногие компании предоставляют две эти услуги без «перекоса» в сторону одной из них. Softline имеет опыт выполнения комплексных проектов, включающих и тесты на проникновение, и поиск уязвимостей с помощью нашей исследовательской лаборатории. Результаты проверки позволяют наиболее точным образом настроить WAF для защиты веб-ресурса.
Уязвимости нулевого дня: что делать?
Исследователи и хакеры постоянно находят новые вектора атак, уязвимости «нулевого дня». Их обнаруживают в ходе специальных конкурсов, и хакер, который вас атакует, может знать их. В такой ситуации средства веб-защиты позволяют выиграть время. Вы будете видеть, что кто-то вас целенаправленно атакует, сможете оцените периодичность и вектор атак, и служба безопасности и ИТ-отдел смогут заблаговременно принять меры.
Не все виды аудита одинаково полезны
Некоторые компании предлагают автоматизированное сканирование вместо анализа уязвимости, но такая проверка может рассматриваться лишь как дополнение к ИБ-аудиту. Другие выполняют пентест по следующему сценарию: находят одну уязвимость и из нее расширяют свой вектор атаки, выдавая потом клиенту пугающий список возможных несанкционированных действий, основанный всего лишь на одной лазейке. Разумеется, такая проверка не является исчерпывающей.
Преимущества аудита ИБ от Softline
В Softline работает хорошая команда экспертов по тестам на проникновение и аналитиков, разбирающихся не только во защите инфраструктуры, но и веб-порталов и приложений. Наши специалисты регулярно участвуют в национальных и международных соревнованиях по ИБ.
Когда эксперты Softline находят одну уязвимость, они оповещают о ней клиента, и поясняют, какие действия она позволяет осуществить. Но после этого они не расширяют вектор атаки из этой исходной точки, а продолжают поиск новых уязвимостей. Клиенты, которые соглашаются на такой подход, получают больше результатов от аудита и пентеста.
Естественно, наиболее высокого уровня безопасности позволяют добиться комплексные проекты, когда мы одновременно внедряем WAF, проводим аудит и пентесты. Также Softline поставляет решения по многофакторной аутентификации, классические сетевые экраны и системы балансировки нагрузки, системы обеспечения доступности и предотвращения DDoS-атак. Мы сотрудничаем с большим количеством отечественных и зарубежных вендоров, наша высокая квалификация подтверждается партнерскими статусами и отзывами клиентов.