Рубрики:
  • Технологии
  • Персоны
  • 4

Как защитить корпоративный сайт от кибератак

Прочтёте за 3 мин.
02 августа 2017

Против взлома есть приёмы: рекомендации от Евгения Курта

IT-инструменты, которые использует Евгений Курт

  • uKit
  • Trello
  • Facebook
  • WhatsApp

Активизировавшаяся киберпреступность не только атакует корпоративные информационные системы и вскрывает частные банковские счета, но и всерьёз нацелилась на веб-сайты. Страшный сон любой компании - если её сайт вдруг «ляжет». Для многих компаний малого бизнеса даже временное прекращение работы сайта может стать в буквальном смысле катастрофой – например, в том случае, если это единственный канал продаж. О том, как защитить корпоративный интернет-портал, в своей авторской колонке рассказал управляющий партнёр uKit Group Евгений Курт.

Досье

Евгений Курт, 36 лет, управляющий партнёр компании uKit Group, развивающей популярный конструктор сайтов uKit. Родился и живёт в Москве, окончил МГЮА по специальности «международное частное право». В 2005 году стал сооснователем сервиса uCoz, в 2014-м инициировал создание нового флагманского продукта компании – конструктора сайтов, лендингов и магазинов для малого бизнеса uKit. К настоящему времени проект привлек 1 млн. пользователей и, по данным компании, является самым быстрорастущим в своём сегменте на российском рынке.

Евгений Курт

Полной безопасности не бывает

Начнем с грустного. Увы, полной безопасной технологии создания веб-сайтов сейчас нет. Любой сайт сегодня - набор из множества связанных технологий: это так называемая CMS, SSL-сертификат, интеграции с CRM (система взаимодействия с клиентами) и так далее. И каждая технология, в принципе, уязвима. Например, один из предыдущих громких взломов - Heartbleed, коснувшийся полумиллиона сайтов, был вызван уязвимостью в OpenSSL - библиотеке с открытым исходным кодом, использовавшейся многими для защиты соединения между сервером и клиентом.

Массовое – значит уязвимое

Что каждому предпринимателю сегодня особенно важно знать в связи с кибератаками на веб-порталы? Во-первых, нужно принять тот факт, что ни одну технологию нельзя сделать неуязвимой, как нельзя никогда не болеть. Во-вторых, стоит чётко понимать, что чем популярнее технология - тем выше риск атак.

Массовость - вот первое, что привлекает злоумышленников. Использование «старого-доброго» комплекса технологий - это второй «звоночек». Открытый код - ещё один риск, который нужно учитывать. Закрытость - не панацея, как показывает пример того же вируса WannaCry, но в целом это осложняет поиск уязвимостей злоумышленниками, а разработчикам проще контролировать систему.

Приведу пример. Наибольшее число успешных атак на так называемый CMS-сертификат для сайтов производится на популярные движки вроде WordPress и Joomla, написанные на PHP. Это так называемые «опенсорс» - движки с открытым кодом. Они привлекают пользователей огромным числом дополнительных модулей, которые создаются сторонними разработчиками и расширяют возможности базовой CMS. Зачастую именно различные дополнения несут в себе уязвимости - в «голом» базовом виде такие CMS используются крайне редко, а расширений и их авторов столько, что их сложно контролировать.

Не забывать про обновление

При такой децентрализации владелец или администратор сайта должны сами уделять особое внимание своевременной установке обновлений, закрывающих свежие уязвимости, или поиску и установке версий модулей и библиотек, которые не подвержены данному типу атаки.

К сожалению, когда это лежит на плечах конечного пользователя, как правило, обновление происходит с заметной задержкой. В момент, когда что-то попало в новости, «спасать имущество из пожара» может быть поздно.

Например, вот несколько практик на уровне разработчиков, к которым мы пришли, чтобы защитить сайты своих пользователей. Первое: мы используем более современный технологический коплекс в своём конструкторе сайтов - это Node.js и HTML5. Второе: мы придерживаемся консервативного подхода к обслуживанию сайтов клиентов - на них практически нет запросов к базам данных, а все страницы и загружаемый контент отдаются в заранее подготовленном виде. Это сводит риск атаки к минимуму. Третье - это система с закрытым кодом. Мы сами контролируем выход дополнений к ней.

Наконец, мы используем другую модель обновлений - пользователю ничего не нужно скачивать и устанавливать, мы сами доставим обновление. Это в принципе преимущество «облачных», так называемых SaaS-решений для сайтов. То есть, даже если владелец сайта сейчас в отпуске без интернета, мы можем гарантированно устранить угрозу для его ресурса.

Человеческий фактор

Что же касается общих советов по развитию стратегии информационной безопасности для компаний, то базовые правила «гигиены» всегда одни и те же. Главное, что нужно помнить: атаки часто не обходятся без человеческого фактора. Помимо поиска уязвимостей, взлом сайтов и всего остального часто производится через социальную инженерию. То есть, вы открываете некий незнакомый файл или ссылку, будучи параллельно авторизованным где-то с правами администратора – всё, вы попались. Совсем плохо, если на том же сервере, где лежит ваш сайт, хранятся иные информационные ресурсы компании - например, CRM или почтовый сервер.

Разносите эту инфраструктуру, регулярно создавайте резервные копии на изолированных носителях, не давайте доступа тем, в чьи обязанности это на самом деле не входит (например, секретарю), вовремя лишайте доступов уволенных сотрудников. Ну и нанимайте тех, кто будет следить за вашими системами и своевременно устанавливать обновления на всех узлах. А если по каким-то причинам не можете это сделать - лучше доверить это платформе, выбрав решение с историей и, желательно, российское: поддержав отечественного разработчика рублём, вы получите техподдержку на русском.

P.S.

Помните, по статистике, тот же WannaCry произвёл наименьший урон как раз наиболее зрелым в плане развития информационной безопасности компаниям. Информационная безопасность - не та сфера, в которой можно что-то сделать один раз и на многие годы. Это направление, которое нужно развивать поступательно - в свете новых возможных угроз. 

Cyber Attack

Читайте также:

Как защитить сайт компании от взлома.
Как устроен сервис по защите сделок в интернете.
Реальная автоматизация: что это такое и зачем она нужна малому бизнесу.



Комментарии

0
Войдите через аккаунт социальной сети:
  • Прокомментируйте первым.

Это ответ на комментарий (отмена - x)
  • Задайте вопрос
    профи

    Наши эксперты ответят на любой вопрос

    Задать вопрос
    Ваш вопрос отправлен

    Ваш вопрос

    Введите Имя
    Введите E-mail
    Отправить Очистить
Возможно, вас заинтересуют другие наши материалы
  • Маркетинг Контент рулит: как привлечь клиентов из интернета без бюджета и рекламы 07 декабря
    Контент рулит: как привлечь клиентов из интернета без бюджета и рекламы
    Прочтёте за 4 мин.
  • Идеи для бизнеса Погружение в digital: как устроена и на чём зарабатывает школа интернет-маркетинга 07 декабря
    Погружение в digital: как устроена и на чём зарабатывает школа интернет-маркетинга
    Прочтёте за 6 мин.
  • Кейсы Бизнес в стиле халяль: как сломать национальные стереотипы в гастропроекте 06 декабря
    Бизнес в стиле халяль: как сломать стереотипы в гастропроекте
    Прочтёте за 3 мин.
  • Идеи для бизнеса Хоть на мороз, хоть в воду: как заработать на экипировке для активного отдыха и экстрима 06 декабря
    Хоть на мороз, хоть в воду: как заработать на экипировке для активного отдыха
    Прочтёте за 7 мин.
  • Кейсы 05 декабря Алексей Бояршинов:
    Как организовать эффективную работу удалённой команды
    Прочтёте за 4 мин.
  • Идеи для бизнеса Бизнес в эмиграции: как заработать на авторских экскурсиях по Голландии 05 декабря
    Бизнес в эмиграции: как заработать на авторских экскурсиях по Голландии
    Прочтёте за 6 мин.
  • Кейсы От хаоса – к порядку: как автоматизация помогла справиться с растущим числом заказов 04 декабря
    От хаоса – к порядку: как автоматизация помогла справиться с растущим числом заказов
    Прочтёте за 3 мин.
  • Идеи для бизнеса Играют все! Как устроена и на чём зарабатывает детская театральная школа 04 декабря
    Играют все! Как устроена и на чём зарабатывает детская театральная школа
    Прочтёте за 5 мин.
  • Идеи для бизнеса Джентльменский набор: как заработать на брутальных подарках для мужчин 03 декабря
    Джентльменский набор: как заработать на брутальных подарках для мужчин
    Прочтёте за 5 мин.
  • Кейсы 03 декабря
    The Best: 12 лучших статей для малого бизнеса на Biz360.ru в ноябре
    Прочтёте за 5 мин. The Best: 12 лучших статей для малого бизнеса на Biz360.ru в ноябре
  • Менеджмент Продажи без логистики: как дропшиппинг избавляет интернет-магазин от рутины 30 ноября
    Продажи без логистики: как дропшиппинг избавляет интернет-магазин от рутины
    Прочтёте за 3 мин.
  • Идеи для бизнеса Взять в кольцо: как устроено и на чём зарабатывает небольшое агентство свадеб 30 ноября
    Взять в кольцо: как устроено и на чём зарабатывает небольшое агентство свадеб
    Прочтёте за 7 мин.
  • Персоны Семь раз отмерь: как подготовиться к умному запуску гастропроекта 29 ноября
    Семь раз отмерь: как подготовиться к умному запуску гастропроекта
    Прочтёте за 4 мин.
  • Идеи для бизнеса Делай как я: как заработать на бизнес-наставничестве и нетворкинге 29 ноября
    Делай как я: как заработать на бизнес-наставничестве и нетворкинге
    Прочтёте за 6 мин.
  • Маркетинг SEO своими руками: как настроить основные параметры сайта для поисковой оптимизации 28 ноября
    SEO своими руками: как настроить сайт для поисковой оптимизации
    Прочтёте за 3 мин.
  • Идеи для бизнеса Обнимая небо: как заработать на студии авиамоделирования 28 ноября
    Обнимая небо: как заработать на студии авиамоделирования
    Прочтёте за 6 мин.
  • Кейсы Укротить хаос: как автоматизация позволила упорядочить управленческий и финансовый учёт 27 ноября
    Как автоматизация позволила упорядочить управленческий и финансовый учёт
    Прочтёте за 3 мин.
  • Идеи для бизнеса Навестить нельзя передать: как заработать на доставке цветов, еды и подарков в больницы 27 ноября
    Навестить нельзя передать: как заработать на доставке цветов, еды и подарков в больницы
    Прочтёте за 7 мин.
  • Маркетинг Диджитализируйся или умри: каким будет бизнес уже завтра 26 ноября
    Диджитализируйся или умри: каким будет бизнес уже завтра
    Прочтёте за 7 мин.
  • Идеи для бизнеса Автоняня для ребёнка: как заработать на сопровождении детей в школы, кружки и секции 26 ноября
    Автоняня для ребёнка: как заработать на сопровождении детей в школы, кружки и секции
    Прочтёте за 7 мин.
Идёт загрузка материалов