Рубрики:
  • Технологии
  • Персоны
  • 4

Как защитить корпоративный сайт от кибератак

Прочтёте за 3 мин.
02 августа 2017

Против взлома есть приёмы: рекомендации от Евгения Курта

IT-инструменты, которые использует Евгений Курт

  • uKit
  • Trello
  • Facebook
  • WhatsApp

Активизировавшаяся киберпреступность не только атакует корпоративные информационные системы и вскрывает частные банковские счета, но и всерьёз нацелилась на веб-сайты. Страшный сон любой компании - если её сайт вдруг «ляжет». Для многих компаний малого бизнеса даже временное прекращение работы сайта может стать в буквальном смысле катастрофой – например, в том случае, если это единственный канал продаж. О том, как защитить корпоративный интернет-портал, в своей авторской колонке рассказал управляющий партнёр uKit Group Евгений Курт.

Досье

Евгений Курт, 36 лет, управляющий партнёр компании uKit Group, развивающей популярный конструктор сайтов uKit. Родился и живёт в Москве, окончил МГЮА по специальности «международное частное право». В 2005 году стал сооснователем сервиса uCoz, в 2014-м инициировал создание нового флагманского продукта компании – конструктора сайтов, лендингов и магазинов для малого бизнеса uKit. К настоящему времени проект привлек 1 млн. пользователей и, по данным компании, является самым быстрорастущим в своём сегменте на российском рынке.

Евгений Курт

Полной безопасности не бывает

Начнем с грустного. Увы, полной безопасной технологии создания веб-сайтов сейчас нет. Любой сайт сегодня - набор из множества связанных технологий: это так называемая CMS, SSL-сертификат, интеграции с CRM (система взаимодействия с клиентами) и так далее. И каждая технология, в принципе, уязвима. Например, один из предыдущих громких взломов - Heartbleed, коснувшийся полумиллиона сайтов, был вызван уязвимостью в OpenSSL - библиотеке с открытым исходным кодом, использовавшейся многими для защиты соединения между сервером и клиентом.

Массовое – значит уязвимое

Что каждому предпринимателю сегодня особенно важно знать в связи с кибератаками на веб-порталы? Во-первых, нужно принять тот факт, что ни одну технологию нельзя сделать неуязвимой, как нельзя никогда не болеть. Во-вторых, стоит чётко понимать, что чем популярнее технология - тем выше риск атак.

Массовость - вот первое, что привлекает злоумышленников. Использование «старого-доброго» комплекса технологий - это второй «звоночек». Открытый код - ещё один риск, который нужно учитывать. Закрытость - не панацея, как показывает пример того же вируса WannaCry, но в целом это осложняет поиск уязвимостей злоумышленниками, а разработчикам проще контролировать систему.

Приведу пример. Наибольшее число успешных атак на так называемый CMS-сертификат для сайтов производится на популярные движки вроде WordPress и Joomla, написанные на PHP. Это так называемые «опенсорс» - движки с открытым кодом. Они привлекают пользователей огромным числом дополнительных модулей, которые создаются сторонними разработчиками и расширяют возможности базовой CMS. Зачастую именно различные дополнения несут в себе уязвимости - в «голом» базовом виде такие CMS используются крайне редко, а расширений и их авторов столько, что их сложно контролировать.

Не забывать про обновление

При такой децентрализации владелец или администратор сайта должны сами уделять особое внимание своевременной установке обновлений, закрывающих свежие уязвимости, или поиску и установке версий модулей и библиотек, которые не подвержены данному типу атаки.

К сожалению, когда это лежит на плечах конечного пользователя, как правило, обновление происходит с заметной задержкой. В момент, когда что-то попало в новости, «спасать имущество из пожара» может быть поздно.

Например, вот несколько практик на уровне разработчиков, к которым мы пришли, чтобы защитить сайты своих пользователей. Первое: мы используем более современный технологический коплекс в своём конструкторе сайтов - это Node.js и HTML5. Второе: мы придерживаемся консервативного подхода к обслуживанию сайтов клиентов - на них практически нет запросов к базам данных, а все страницы и загружаемый контент отдаются в заранее подготовленном виде. Это сводит риск атаки к минимуму. Третье - это система с закрытым кодом. Мы сами контролируем выход дополнений к ней.

Наконец, мы используем другую модель обновлений - пользователю ничего не нужно скачивать и устанавливать, мы сами доставим обновление. Это в принципе преимущество «облачных», так называемых SaaS-решений для сайтов. То есть, даже если владелец сайта сейчас в отпуске без интернета, мы можем гарантированно устранить угрозу для его ресурса.

Человеческий фактор

Что же касается общих советов по развитию стратегии информационной безопасности для компаний, то базовые правила «гигиены» всегда одни и те же. Главное, что нужно помнить: атаки часто не обходятся без человеческого фактора. Помимо поиска уязвимостей, взлом сайтов и всего остального часто производится через социальную инженерию. То есть, вы открываете некий незнакомый файл или ссылку, будучи параллельно авторизованным где-то с правами администратора – всё, вы попались. Совсем плохо, если на том же сервере, где лежит ваш сайт, хранятся иные информационные ресурсы компании - например, CRM или почтовый сервер.

Разносите эту инфраструктуру, регулярно создавайте резервные копии на изолированных носителях, не давайте доступа тем, в чьи обязанности это на самом деле не входит (например, секретарю), вовремя лишайте доступов уволенных сотрудников. Ну и нанимайте тех, кто будет следить за вашими системами и своевременно устанавливать обновления на всех узлах. А если по каким-то причинам не можете это сделать - лучше доверить это платформе, выбрав решение с историей и, желательно, российское: поддержав отечественного разработчика рублём, вы получите техподдержку на русском.

P.S.

Помните, по статистике, тот же WannaCry произвёл наименьший урон как раз наиболее зрелым в плане развития информационной безопасности компаниям. Информационная безопасность - не та сфера, в которой можно что-то сделать один раз и на многие годы. Это направление, которое нужно развивать поступательно - в свете новых возможных угроз. 

Cyber Attack

Читайте также:

Как защитить сайт компании от взлома.
Как устроен сервис по защите сделок в интернете.
Реальная автоматизация: что это такое и зачем она нужна малому бизнесу.



Комментарии

0
Войдите через аккаунт социальной сети:
  • Прокомментируйте первым.

Это ответ на комментарий (отмена - x)
  • Задайте вопрос
    профи

    Наши эксперты ответят на любой вопрос

    Задать вопрос
    Ваш вопрос отправлен

    Ваш вопрос

    Введите Имя
    Введите E-mail
    Отправить Очистить
Возможно, вас заинтересуют другие наши материалы
  • Идеи для бизнеса 22 июня
    Задать перцу: как заработать на поставках необычных специй из Камбоджи
    Прочтёте за 7 мин. Задать перцу: как заработать на поставках необычных специй из Камбоджи
  • Менеджмент Пора по барам: пять сложностей барного бизнеса 22 июня
    Пора по барам: пять сложностей барного бизнеса
    Прочтёте за 4 мин.
  • Идеи для бизнеса Автомоделирование рулит: как заработать на школе радиоуправляемых машин 21 июня
    Автомоделирование рулит: как заработать на радиоуправляемых машинах
    Прочтёте за 6 мин.
  • Идеи для бизнеса Хеллоу, Америка: как открыть компанию в США за месяц 21 июня
    Хеллоу, Америка: как открыть компанию в США за месяц
    Прочтёте за 5 мин.
  • Маркетинг Химчистка в стиле ЗОЖ: как с помощью маркетинга выделиться среди конкурентов 20 июня
    Химчистка в стиле ЗОЖ: как с помощью маркетинга выделиться среди конкурентов
    Прочтёте за 3 мин.
  • Идеи для бизнеса Волшебные миры Саши Крю: как построить бизнес на стыке творчества и IT-технологий 20 июня
    Волшебные миры Саши Крю: как построить бизнес на стыке творчества и IT
    Прочтёте за 7 мин.
  • Финансы «Как навести порядок в финансах компании» 19 июня
    «Как навести порядок в финансах компании»
    Прочтёте за 7 мин.
  • Идеи для бизнеса Finch-стратегия: как небольшая digital-студия разрабатывает проекты для крупных брендов 19 июня
    Finch-стратегия: как небольшая digital-студия разрабатывает проекты для крупных брендов
    Прочтёте за 6 мин.
  • Технологии Витаем в «облаках»: как не терять деньги на пропущенных звонках 18 июня
    Витаем в «облаках»: как не терять деньги на пропущенных звонках
    Прочтёте за 3 мин.
  • Идеи для бизнеса Облачные юристы: как устроен сервис удалённого юридического аутсорсинга 18 июня
    Облачные юристы: как устроен сервис удалённого аутсорсинга
    Прочтёте за 6 мин.
  • Технологии Дорогу молодым: как продвигать новый интернет-ресурс 15 июня
    Дорогу молодым: как продвигать новый интернет-ресурс
    Прочтёте за 3 мин.
  • Идеи для бизнеса Наука без границ: как сеть детских научных клубов работает с партнёрами-франчайзи 15 июня
    Наука без границ: как сеть детских научных клубов работает с партнёрами-франчайзи
    Прочтёте за 5 мин.
  • Идеи для бизнеса С лёгким паром: как заработать на стильных банях-хотбоксах 14 июня
    С лёгким паром: как заработать на стильных банях-хотбоксах
    Прочтёте за 4 мин.
  • Идеи для бизнеса Золотой домкрат для развития: чем премия «Бизнес-успех» может быть полезна малому бизнесу 14 июня
    Золотой домкрат для развития: чем премия «Бизнес-успех» полезна малому бизнесу
    Прочтёте за 3 мин.
  • Финансы Что такое банковские гарантии и чем они могут быть полезны малому бизнесу 13 июня
    Что такое банковские гарантии и чем они могут быть полезны малому бизнесу
    Прочтёте за 3 мин.
  • Идеи для бизнеса В мире животных: как заработать на производстве корма для собак и кошек 13 июня
    В мире животных: как заработать на производстве корма для собак и кошек
    Прочтёте за 5 мин.
  • Менеджмент Как бороться с сезонным спадом продаж: опыт 15 компаний из разных сфер 09 июня
    Как бороться с сезонным спадом продаж: опыт 15 компаний из разных сфер
    Прочтёте за 11 мин.
  • Маркетинг Блог в помощь: зачем компании нужен корпоративный онлайн-журнал 08 июня
    Блог в помощь: зачем компании нужен корпоративный онлайн-журнал
    Прочтёте за 4 мин.
  • Финансы Уже не торт: как меняется краудфандинг и может ли он ещё помочь стартапу 08 июня
    Уже не торт: как меняется краудфандинг и может ли он ещё помочь стартапу
    Прочтёте за 7 мин.
  • Менеджмент Место встречи изменить нельзя: что нужно учесть при запуске кафе или ресторана 07 июня
    Место встречи изменить нельзя: что нужно учесть при запуске кафе или ресторана
    Прочтёте за 3 мин.
Идёт загрузка материалов