Активизировавшаяся киберпреступность не только атакует корпоративные информационные системы и вскрывает частные банковские счета, но и всерьёз нацелилась на веб-сайты. Страшный сон любой компании - если её сайт вдруг «ляжет». Для многих компаний малого бизнеса даже временное прекращение работы сайта может стать в буквальном смысле катастрофой – например, в том случае, если это единственный канал продаж. О том, как защитить корпоративный интернет-портал, в своей авторской колонке рассказал управляющий партнёр uKit Group Евгений Курт.
Евгений Курт, 36 лет, управляющий партнёр компании uKit Group, развивающей популярный конструктор сайтов uKit. Родился и живёт в Москве, окончил МГЮА по специальности «международное частное право». В 2005 году стал сооснователем сервиса uCoz, в 2014-м инициировал создание нового флагманского продукта компании – конструктора сайтов, лендингов и магазинов для малого бизнеса uKit. К настоящему времени проект привлек 1 млн. пользователей и, по данным компании, является самым быстрорастущим в своём сегменте на российском рынке.
Полной безопасности не бывает
Начнем с грустного. Увы, полной безопасной технологии создания веб-сайтов сейчас нет. Любой сайт сегодня - набор из множества связанных технологий: это так называемая CMS, SSL-сертификат, интеграции с CRM (система взаимодействия с клиентами) и так далее. И каждая технология, в принципе, уязвима. Например, один из предыдущих громких взломов - Heartbleed, коснувшийся полумиллиона сайтов, был вызван уязвимостью в OpenSSL - библиотеке с открытым исходным кодом, использовавшейся многими для защиты соединения между сервером и клиентом.
Что каждому предпринимателю сегодня особенно важно знать в связи с кибератаками на веб-порталы? Во-первых, нужно принять тот факт, что ни одну технологию нельзя сделать неуязвимой, как нельзя никогда не болеть. Во-вторых, стоит чётко понимать, что чем популярнее технология - тем выше риск атак.
Массовость - вот первое, что привлекает злоумышленников. Использование «старого-доброго» комплекса технологий - это второй «звоночек». Открытый код - ещё один риск, который нужно учитывать. Закрытость - не панацея, как показывает пример того же вируса WannaCry, но в целом это осложняет поиск уязвимостей злоумышленниками, а разработчикам проще контролировать систему.
Приведу пример. Наибольшее число успешных атак на так называемый CMS-сертификат для сайтов производится на популярные движки вроде WordPress и Joomla, написанные на PHP. Это так называемые «опенсорс» - движки с открытым кодом. Они привлекают пользователей огромным числом дополнительных модулей, которые создаются сторонними разработчиками и расширяют возможности базовой CMS. Зачастую именно различные дополнения несут в себе уязвимости - в «голом» базовом виде такие CMS используются крайне редко, а расширений и их авторов столько, что их сложно контролировать.
При такой децентрализации владелец или администратор сайта должны сами уделять особое внимание своевременной установке обновлений, закрывающих свежие уязвимости, или поиску и установке версий модулей и библиотек, которые не подвержены данному типу атаки.
К сожалению, когда это лежит на плечах конечного пользователя, как правило, обновление происходит с заметной задержкой. В момент, когда что-то попало в новости, «спасать имущество из пожара» может быть поздно.
Например, вот несколько практик на уровне разработчиков, к которым мы пришли, чтобы защитить сайты своих пользователей. Первое: мы используем более современный технологический коплекс в своём конструкторе сайтов - это Node.js и HTML5. Второе: мы придерживаемся консервативного подхода к обслуживанию сайтов клиентов - на них практически нет запросов к базам данных, а все страницы и загружаемый контент отдаются в заранее подготовленном виде. Это сводит риск атаки к минимуму. Третье - это система с закрытым кодом. Мы сами контролируем выход дополнений к ней.
Наконец, мы используем другую модель обновлений - пользователю ничего не нужно скачивать и устанавливать, мы сами доставим обновление. Это в принципе преимущество «облачных», так называемых SaaS-решений для сайтов. То есть, даже если владелец сайта сейчас в отпуске без интернета, мы можем гарантированно устранить угрозу для его ресурса.
Что же касается общих советов по развитию стратегии информационной безопасности для компаний, то базовые правила «гигиены» всегда одни и те же. Главное, что нужно помнить: атаки часто не обходятся без человеческого фактора. Помимо поиска уязвимостей, взлом сайтов и всего остального часто производится через социальную инженерию. То есть, вы открываете некий незнакомый файл или ссылку, будучи параллельно авторизованным где-то с правами администратора – всё, вы попались. Совсем плохо, если на том же сервере, где лежит ваш сайт, хранятся иные информационные ресурсы компании - например, CRM или почтовый сервер.
Разносите эту инфраструктуру, регулярно создавайте резервные копии на изолированных носителях, не давайте доступа тем, в чьи обязанности это на самом деле не входит (например, секретарю), вовремя лишайте доступов уволенных сотрудников. Ну и нанимайте тех, кто будет следить за вашими системами и своевременно устанавливать обновления на всех узлах. А если по каким-то причинам не можете это сделать - лучше доверить это платформе, выбрав решение с историей и, желательно, российское: поддержав отечественного разработчика рублём, вы получите техподдержку на русском.
Помните, по статистике, тот же WannaCry произвёл наименьший урон как раз наиболее зрелым в плане развития информационной безопасности компаниям. Информационная безопасность - не та сфера, в которой можно что-то сделать один раз и на многие годы. Это направление, которое нужно развивать поступательно - в свете новых возможных угроз.
Читайте также:
Как защитить сайт компании от взлома.
Как устроен сервис по защите сделок в интернете.
Реальная автоматизация: что это такое и зачем она нужна малому бизнесу.
