TutmeeМоскваДмитровское шоссе д. 50 оф.240

Безопасность и Аудит сайтов, ежедневно страдает более 2.5 тысяч сайтов...

Любите попкорн-истории о том, как кого-то взломали и что из этого вышло? Все еще считаете, что именно ваш сайт - не того масштаба для таких проблем? А ведь времена немного изменились – и именно об этом, с цифрами и практическими рекомендациями, мы и поговорим.

На связи Михаил TutMee, и сегодня у нас весьма трепетные темы: безопасность веб-ресурсов, актуальные проблемы и средства их решения. У всех и так на слуху? Да. Но до сих пор в малом бизнесе царит практически тотальная уверенность, что все это их никак не коснется.

Баннер

Как это происходит в реальной жизни

Для начала просто немного статистики от Центра информационной безопасности ФСБ. Каждый день фиксируется более 2.5 тысяч инцидентов, причем порядка 170 из них приходятся на крупные ресурсы с посещаемостью от пятисот человек - вполне живые площадки, завязанные на чувствительные для своих владельцев бизнес-процессы

Отдельная история - государственные и информационные порталы. Да, за их безопасностью следят больше, но и абсолютная защита невозможна просто из-за человеческого фактора.

Есть несколько основных типов:

Есть несколько основных типов:

 

  • Появление вредоносного баннера - в последние полтора года тренды задают политические мотивы, но и старая добрая реклама площадок с запрещенными веществами тоже никуда не исчезла.
  • Драматическое изменение контента - начиная от заглушки с требованием денег и заканчивая более изощренными махинациями, когда одна из страниц сайта начинает использоваться для мошеннических схем под прикрытием общего "доверия" к домену.
  • Нарушение целостности кода - последствия вандализма после взлома сайта или результат неудачной интеграции чего-то более злонамеренного.
  • Ошибки 500, 502, 503, 504 - выход сайта из строя в результате атаки на серверную часть.
  • Заражение сайта - аналог привычных вирусов, интегрированных в код веб-ресурса. Помимо прочего, сайт быстро отправляется в черный список поисковых машин, и каждый посетитель получает соответствующее уведомление.
  • Полное удаление контента - крайний и весьма неприятный случай, если долгое время никто не заботился о бэкапах.

Мины замедленного действия

Атака на сайт или, в общем случае, веб-ресурс в массовом сознании воспринимается как некий единичный акт с явным конечным результатом. Это не всегда так. В некоторых случаях злоумышленник может получить необходимые доступы и намеренно скрывать свой успех, не предпринимая явных действий. Зачем? Например, так можно мониторить или даже корректировать работу организации, связанной с данным веб-ресурсом. Можно эксплуатировать доступ к постоянно обновляющейся клиентской базе (особенно если речь идет о сотнях тысяч записей). А можно не спеша, с толком и расстановкой организовывать саботаж, который произойдет в точно заданное время.

Еще один неприятный момент в том, что многие CMS, вполне популярные и массовые, сами по себе имеют уязвимости.

Все это, на самом деле, тоже весьма обширный пласт проблем, и мы затронули только вершину айсберга. Бороться с ними можно, но для этого либо необходимы отдельные специалисты, постоянно мониторящие работу сайта, либо, как программа минимум - регулярный профильный аудит.

Мины замедленного действия

Как действуют "хакеры"

По уровню творческого разнообразия атаки на сайты вполне могут претендовать на отдельное направление искусства. Но наиболее распространенные подходы, опять же, вполне поддаются систематизации:

  • DDOS - перегрузка сайта посредством лавины ложных запросов. Обычно длится лишь ограниченный промежуток времени, т.к. банально требует денег на поддержание активности.
  • Brute Force Attack - попытка получить доступ к админке сайта посредством софта для грубого перебора паролей. К слову, пароль из 6 символов (цифры + латиница) брутфорсится за 3 (!) секунды.
  • SQL-инъекция - внедрение злонамеренного кода в запрос к БД сайта в попытке их изменения или просто получения полного доступа.
  • XSS-attack - внедрение злонамеренного кода для последующего его исполнения в браузере посетителя. Как правило, используется для воровства данных пользователя.

Особняком стоит человеческий фактор, и тут уже количество возможных сценариев социальной инженерии поражает воображение. Просто для понимания: в практике был случай, когда доступ к админке крупного проекта был получен посредством имитации с помощью нейросети голосового сообщения от одного из топ-менеджеров.

Баннер
Как бороться?

Как бороться?

Прежде всего, действовать нужно превентивно. Как гром грянет - поздно будет. При этом правило 20/80 прекрасно работает и здесь, поэтому для относительно небольшого коммерческого проекта соблюдение ряда простых правил позволит избежать значительной части угроз:

  • Логин к админке - не cтоковый.
  • Пароль - минимум 10 символов, не использовался ранее и, если это возможно, содержит спецсимволы.
  • Резервное копирование сайта и его БД хотя бы раз в месяц.
  • Сторонние модули (плагины, библиотеки, CMS и т.п.) - проверенные и всегда последней версии.
  • SSL-сертификат
  • Подключение к админке - только со 100% безопасных устройств.

Банально, но важно не просто все это знать, а соблюдать на практике. Сейчас, когда к чисто коммерческим мотивам прибавились и политические, причем зачастую крайне неочевидные - тем более.

Профессиональная защита сайтов

Особняком стоит безопасность крупных или просто более важных в социальном/финансовом плане ресурсов. Здесь уже важна направленная работа специалистов, и абсолютно универсального алгоритма, к сожалению, нет. Мы в TutMee в общем случае выполняем следующее:

  • Устраняем баги CMS и других установленных пакетов. Зачастую они известны специалистам годами, но так и остаются висеть "на горизонте",
  • Проводим комплексный стресс-тест для поиска неочевидных уязвимостей и устраняем найденное.
  • Налаживаем систему "моментального реагирования", когда в случае любых происшествий на сайте ответные меры начинают приниматься уже буквально через минуту.
  • Обеспечиваем серверную безопасность и при необходимости организовываем миграцию в подходящий дата-центр.

В остальном же поиск подводных камней – процесс творческий и очень индивидуальный, и если интересна конкретика именно по вашему сайту - напишите нам, проверим проект на устойчивость и дадим конкретный перечень уязвимостей. А еще будет крайне интересно узнать ваш опыт в сфере безопасности сайтов, делитесь в комментариях!

Профессиональная защита сайтов