Как защитить корпоративный сайт от кибератак

Прочтёте за 3 мин.
02 августа 2017

Против взлома есть приёмы: рекомендации от Евгения Курта

IT-инструменты, которые использует Евгений Курт

  • uKit
  • Trello
  • Facebook
  • WhatsApp

Активизировавшаяся киберпреступность не только атакует корпоративные информационные системы и вскрывает частные банковские счета, но и всерьёз нацелилась на веб-сайты. Страшный сон любой компании - если её сайт вдруг «ляжет». Для многих компаний малого бизнеса даже временное прекращение работы сайта может стать в буквальном смысле катастрофой – например, в том случае, если это единственный канал продаж. О том, как защитить корпоративный интернет-портал, в своей авторской колонке рассказал управляющий партнёр uKit Group Евгений Курт.

Досье

Евгений Курт, 36 лет, управляющий партнёр компании uKit Group, развивающей популярный конструктор сайтов uKit. Родился и живёт в Москве, окончил МГЮА по специальности «международное частное право». В 2005 году стал сооснователем сервиса uCoz, в 2014-м инициировал создание нового флагманского продукта компании – конструктора сайтов, лендингов и магазинов для малого бизнеса uKit. К настоящему времени проект привлек 1 млн. пользователей и, по данным компании, является самым быстрорастущим в своём сегменте на российском рынке.

Евгений Курт

Полной безопасности не бывает

Начнем с грустного. Увы, полной безопасной технологии создания веб-сайтов сейчас нет. Любой сайт сегодня - набор из множества связанных технологий: это так называемая CMS, SSL-сертификат, интеграции с CRM (система взаимодействия с клиентами) и так далее. И каждая технология, в принципе, уязвима. Например, один из предыдущих громких взломов - Heartbleed, коснувшийся полумиллиона сайтов, был вызван уязвимостью в OpenSSL - библиотеке с открытым исходным кодом, использовавшейся многими для защиты соединения между сервером и клиентом.

Массовое – значит уязвимое

Что каждому предпринимателю сегодня особенно важно знать в связи с кибератаками на веб-порталы? Во-первых, нужно принять тот факт, что ни одну технологию нельзя сделать неуязвимой, как нельзя никогда не болеть. Во-вторых, стоит чётко понимать, что чем популярнее технология - тем выше риск атак.

Массовость - вот первое, что привлекает злоумышленников. Использование «старого-доброго» комплекса технологий - это второй «звоночек». Открытый код - ещё один риск, который нужно учитывать. Закрытость - не панацея, как показывает пример того же вируса WannaCry, но в целом это осложняет поиск уязвимостей злоумышленниками, а разработчикам проще контролировать систему.

Приведу пример. Наибольшее число успешных атак на так называемый CMS-сертификат для сайтов производится на популярные движки вроде WordPress и Joomla, написанные на PHP. Это так называемые «опенсорс» - движки с открытым кодом. Они привлекают пользователей огромным числом дополнительных модулей, которые создаются сторонними разработчиками и расширяют возможности базовой CMS. Зачастую именно различные дополнения несут в себе уязвимости - в «голом» базовом виде такие CMS используются крайне редко, а расширений и их авторов столько, что их сложно контролировать.

Не забывать про обновление

При такой децентрализации владелец или администратор сайта должны сами уделять особое внимание своевременной установке обновлений, закрывающих свежие уязвимости, или поиску и установке версий модулей и библиотек, которые не подвержены данному типу атаки.

К сожалению, когда это лежит на плечах конечного пользователя, как правило, обновление происходит с заметной задержкой. В момент, когда что-то попало в новости, «спасать имущество из пожара» может быть поздно.

Например, вот несколько практик на уровне разработчиков, к которым мы пришли, чтобы защитить сайты своих пользователей. Первое: мы используем более современный технологический коплекс в своём конструкторе сайтов - это Node.js и HTML5. Второе: мы придерживаемся консервативного подхода к обслуживанию сайтов клиентов - на них практически нет запросов к базам данных, а все страницы и загружаемый контент отдаются в заранее подготовленном виде. Это сводит риск атаки к минимуму. Третье - это система с закрытым кодом. Мы сами контролируем выход дополнений к ней.

Наконец, мы используем другую модель обновлений - пользователю ничего не нужно скачивать и устанавливать, мы сами доставим обновление. Это в принципе преимущество «облачных», так называемых SaaS-решений для сайтов. То есть, даже если владелец сайта сейчас в отпуске без интернета, мы можем гарантированно устранить угрозу для его ресурса.

Человеческий фактор

Что же касается общих советов по развитию стратегии информационной безопасности для компаний, то базовые правила «гигиены» всегда одни и те же. Главное, что нужно помнить: атаки часто не обходятся без человеческого фактора. Помимо поиска уязвимостей, взлом сайтов и всего остального часто производится через социальную инженерию. То есть, вы открываете некий незнакомый файл или ссылку, будучи параллельно авторизованным где-то с правами администратора – всё, вы попались. Совсем плохо, если на том же сервере, где лежит ваш сайт, хранятся иные информационные ресурсы компании - например, CRM или почтовый сервер.

Разносите эту инфраструктуру, регулярно создавайте резервные копии на изолированных носителях, не давайте доступа тем, в чьи обязанности это на самом деле не входит (например, секретарю), вовремя лишайте доступов уволенных сотрудников. Ну и нанимайте тех, кто будет следить за вашими системами и своевременно устанавливать обновления на всех узлах. А если по каким-то причинам не можете это сделать - лучше доверить это платформе, выбрав решение с историей и, желательно, российское: поддержав отечественного разработчика рублём, вы получите техподдержку на русском.

P.S.

Помните, по статистике, тот же WannaCry произвёл наименьший урон как раз наиболее зрелым в плане развития информационной безопасности компаниям. Информационная безопасность - не та сфера, в которой можно что-то сделать один раз и на многие годы. Это направление, которое нужно развивать поступательно - в свете новых возможных угроз. 

Cyber Attack

Читайте также:

Как защитить сайт компании от взлома.
Как устроен сервис по защите сделок в интернете.
Реальная автоматизация: что это такое и зачем она нужна малому бизнесу.



Комментарии

0
Войдите через аккаунт социальной сети:
  • Прокомментируйте первым.

Это ответ на комментарий (отмена - x)
Все материалы