
Эффект синергии
Web-сайт — это лицо любой компании, а web-приложения и web-порталы предоставляют важнейший функционал и конкурентные преимущества. Антон Афанасьев, руководитель направления прикладных решений департамента информационной безопасности управления сервисов компании Softline, рассказывает об основных проблемах web-безопасности и их решениях.
С чего все начиналось
10–15 лет назад большинство сайтов компаний в Интернете выполняли функцию «визитных карточек». Они были написаны на языке HTML и содержали статичную информацию для посетителей. Никаких возможностей интерактивного взаимодействия не предусматривалось, и угроз для безопасности не возникало. Однако с появлением новых языков программирования ресурсы стали содержать меньше статического и больше динамического контента.
Пользователи стали вносить данные на web-ресурсы, и в них начали появляться уязвимости, которые можно эксплуатировать. Благодаря им можно либо загрузить нежелательный контент, либо получить доступ к данным других пользователей. Все это стало стимулом развития инструментов обеспечения web-безопасности.
Для каких компаний важнее всего защита web-ресурсов?
Раньше всех попали в зону риска банки: они создавали системы ДБО (дистанционного банковского обслуживания), с помощью которых пользователи могли авторизоваться и выполнять платежи и денежные переводы. Такие возможности не могли не заинтересовать злоумышленников – они начали искать уязвимости в этих ресурсах, стремясь выполнять неавторизованные платежи от лица других людей. Поэтому первыми защитой web-ресурсов стали заниматься банки, и сейчас они в большинстве своем уже имеют несколько уровней защиты. Затем к ним присоединились телекоммуникационные операторы и прочие организации, которым требуется защищать свои личные кабинеты.
Новая тенденция – защита электронных торговых площадок и бирж. Там тоже велики риски мошеннических операций. Возникает спрос на защиту систем дистанционного обучения, которые широко внедряются в российских вузах. В них пользователи могут получать контент, сдавать тесты, и подмена информации может привести к искажению результатов.
Какие бывают уязвимости у web-приложений
Некоторые уязвимости могут привести к так называемому дефейсу сайта — на нем размещается информация, порочащая владельца. Дефейс приводит к серьезным репутационным рискам — например, на сайте областной Думы одного из субъектов РФ хакеры разместили информацию о том, что он выходит из состава России и становится независимой республикой.
Другой тип уязвимостей приводит к загрузке на ресурс вредоносного контента. Пользователи, которые посещают этот ресурс, заражаются вирусами. Injection-атаки ставят своей целью похитить информацию с web-ресурса. Данные о пользователях, их учетные записи, электронные адреса и телефоны могут применяться для целевых атак или для рассылки спама, вирусов и т.д.
Web-порталы, опубликованные в Интернете, могут послужить для хакеров точкой входа в корпоративную сеть. На web-портале они создают исходную точку атаки, а с нее уже ведется атака на внутреннюю инфраструктуру.
Человеческий фактор
Основный метод защиты для пользователей — это проверка SSL-сертификатов безопасности, которая позволяет шифровать трафик от пользователя до конкретного ресурса, чтобы его нельзя было подменить в процессе передачи. Его дополняет многофакторная аутентификации с использованием пароля и смс-сообщений для подтверждения.
Пользователям нужно опасаться фишинга и следить за подлинностью посещаемых сайтов. Часто создаются поддельные сайты, в заголовке которых изменена одна буква или цифра. Человек видит знакомый экран, вводит логин и пароль, а после этого его авторизационные данные утекают к злоумышленникам.
Анализ уязвимостей и пентесты
Два основных вида услуг по обеспечению безопасности web-сайтов — это тесты на проникновение (пентесты) и услуги по проверке на уязвимости. Немногие компании предоставляют две эти услуги без «перекоса» в сторону одной из них. Softline имеет опыт выполнения комплексных проектов, включающих и тесты на проникновение, и поиск уязвимостей с помощью нашей исследовательской лаборатории. Результаты проверки позволяют наиболее точным образом настроить WAF для защиты web-ресурса.
Преимущества аудита ИБ от Softline
В Softline работает хорошая команда экспертов по тестам на проникновение и аналитиков, разбирающихся в защите не только инфраструктуры, но и web-порталов и приложений. Наши специалисты регулярно участвуют в национальных и международных соревнованиях по ИБ. Когда эксперты Softline находят одну уязвимость, они оповещают о ней клиента и поясняют, какие действия она позволяет осуществить. Но после этого они не расширяют вектор атаки из этой исходной точки, а продолжают поиск новых уязвимостей. Клиенты, которые соглашаются на такой подход, получают больше результатов от аудита и пентеста.
Естественно, наиболее высокого уровня безопасности позволяют добиться комплексные проекты, когда мы одновременно внедряем WAF, проводим аудит и пентесты. Также Softline поставляет решения по многофакторной аутентификации, классические сетевые экраны и системы балансировки нагрузки, системы обеспечения доступности и предотвращения DDoS-атак. Мы сотрудничаем с большим количеством отечественных и зарубежных вендоров, наша высокая квалификация подтверждается партнерскими статусами и отзывами клиентов.