Как взламывают корпоративные сайты и что сделать в компании, чтобы это предотвратить

Безопасный сайт — какой он?

Что представляет собой безопасный сайт? Это ресурс, защита которого обеспечена сразу на нескольких уровнях:

• серверном,
• приложения,
• бизнес-логики,
• пользовательском.

Это означает, что он неизменно функционирует без сбоев, что все его сервисы, настройки и хранящаяся на нем информация доступны, что связь с пользователями осуществляется бесперебойно, что угроза несанкционированного доступа исключена, а инфраструктура адаптируется к меняющимся в течение времени угрозам.

Необходимо регулярно проводить обновления, периодический анализ защищенности — например, посредством тестирования на проникновение, когда команда экспертов имитирует сценарии и техники потенциального внешнего нарушителя («хакера»), чтобы проверить эффективность реализованных механизмов защиты, выявить векторы атак, слабости и уязвимости сетевого ресурса.

Читайте по теме: Что такое Red Team и зачем бизнес взламывает сам себя

Кроме того, время от времени нужно осуществлять проверки файлов сайта и веб-страниц на наличие вредоносного кода, который может там оказаться в том числе из-за использования сторонних библиотек и уязвимых модулей.

Иногда утечки и взломы могут провоцировать и действия пользователей. Опасность представляют собой слабые пароли, которые, по нашим данным, продолжают использовать большинство россиян. При этом веб-ресурсы, регистрирующие личный кабинет пользователя с неким стандартным паролем (12345), который пользователь обязан сменить после успешной авторизации, не проверяют реальность выполнения этого требования.

Читайте по теме: Менеджеры паролей, которые лучше всего защитят ваши данные

Большой процент пользователей ничего менять не будет, а это значит, злоумышленнику удастся весьма быстро получить доступ к их личным данным.

Почему атакуют сайты и зачем их защищать?

Существует множество причин для осуществления компьютерной атаки на веб-ресурс:

• тут и цифровой терроризм,
• и заинтересованность в краже конфиденциальной информации,
• и финансовое мошенничество, шантаж, порча имиджа организации, потребность в признании,
• и простое любопытство со стороны «начинающих хакеров».

Но наиболее распространенной причиной для кибератак все же будет получение финансовой выгоды через хищение коммерческой информации.

Читайте по теме: Бизнес и киберсквоттинг: как защитить свой домен и товарный знак

Почему даже ресурсы хорошо защищенных организаций, обладающих полным набором внедренных технологий и штатом специалистов по ИБ, не могут устоять перед натиском злоумышленников?

Причина — нередко в отсутствии понимания структуры и процессов управления (менеджмента) уязвимостей.

В сочетании с:

• изъянами в многоуровневой модели защиты,
• использованием устаревшего ПО,
• отсутствием анализа защищенности кода веб-приложений.

Все это открывает широкие возможности злоумышленникам. Только в этом году произошло несколько волн взломов веб-ресурсов на базе CMS «1С-Битрикс», использующих устаревшие версии ПО, для которых существовали известные уязвимости с доступным эксплоитом. Хакеры перехватывали управление сайтом, зашифровывая базы данных и удаляя резервные копии, внедряли вредоносный код и атаковали легитимных пользователей.

Зачем защищать сайты?

Помимо потерь, которые несет непосредственно бизнес, необходимо задуматься и об ущербе пользователям. Утечек данных из-за недостаточной защищенности веб-ресурсов становится все больше.

Так, Роскомнадзор зафиксировал 27 утечек персональных данных с начала этого года, что привело к распространению в сети данных более, чем о 165 миллионах жителей РФ, а это в 2,5 раз больше, чем в прошлом году.

Читайте по теме: «Средний размер выкупа — $247 000». Киберкриминалист — о мотивации хакеров и атаках на российские компании

Еще одна причина — необходимость соблюдать закон и избегать штрафов. Сейчас КоАП предусматривает штрафы за утечку данных для юрлиц от 60 тыс. до 100 тыс. руб., а при повторном правонарушении — до 500 тыс. руб. Возможно, планируемые поправки (введение оборотных штрафов за утечку ПДн, когда суммы взысканий вырастут в тысячи раз) исправят ситуацию с безразличием в отношении мер защиты веб-приложений.

Главные проблемы с безопасностью сайтов

Один из основных недостатков в безопасности веб-ресурсов — наличие уязвимостей. Сегодня даже ИТ-сайты в России содержат различные проблемы безопасности.

• одни могут быть обнаружены в программном коде,
• другие — на сервере,
• третьи — в используемых библиотеках и сторонних модулях.

Уязвимости позволяют хакеру получить несанкционированный доступ к информационным активам, включая конфиденциальные данные или коммерческую тайну, выполнить вредоносный код или провести атаку на «отказ в обслуживании».

Читайте по теме: Защита от кибератак: как действовать компаниям?

Существует признанный экспертами рейтинг уязвимостей по версии OWASPOpen Web Application Security Project, который обновляется с определенной периодичностью и содержит список наиболее опасных недостатков в веб-приложениях. 

На сегодня наиболее критические недостатки такие:

1. Нарушение контроля доступа — когда доступ к данным со стороны пользователей не разграничен, а непривилегированные клиенты имеют излишние полномочия. Это зачастую приводит к краже, потере и модификации конфиденциальных данных;
2. Сбои криптографии — использование небезопасных криптографических алгоритмов (шифрования) чревато раскрытием защищаемой информации;
3. Внедрение кода — такое происходит, когда данные, получаемые от пользователя веб-приложения, не верифицируются, не фильтруются и не проверяются должным образом, что приводит к исполнению легитимных функций с вредоносным содержимым (например, SQL-инъекции), позволяющих нарушителю захватить управление над ресурсом и существенно нарушить защищенность активов;
4. Небезопасный дизайн — под «дизайном» понимаются процессы определения угроз безопасности и бизнес-рисков, постановки требований к защищенности приложения на этапах разработки и проектирования до его ввода в эксплуатацию — владелец должен понимать, что именно он хочет защитить на своем ресурсе, каким образом, насколько важны те или иные модули (функции), которые имеет их архитектура;
5. Некорректная конфигурация — сайт может быть уязвим, если отсутствуют правильные и безопасные настройки всех компонент: присутствуют ненужные функции (например, лишние сетевые порты, службы, учетные записи или привилегии), не изменены учетные данные по умолчанию, не ведется обработка ошибок, нет оповещения об обновлениях от производителя, не соблюдены рекомендуемые конфигурации от разработчика;
6. Уязвимые и устаревшие компоненты — если веб-приложение использует устаревшие версии ПО, атакующие могут использовать незакрытые уязвимости.

Как защищаться

Защита веб-ресурсов требует комплексного подхода и должна быть реализована по нескольким направлениям.

Для серверной инфраструктуры необходимо

• Обеспечить защиту от несанкционированного доступа извне;
• Внедрить, корректно сконфигурировать и использовать средства защиты информации от DDoS-атак, от вредоносного программного обеспечения и кода;
• Реализовать отказоустойчивое резервное копирование на сторонний защищенный сервер;
• Вести круглосуточный мониторинг событий безопасности и журналирование сетевых запросов.

Для веб-приложения

• Защитить межсетевым экраном (Web Application Firewall, WAF);
• Использовать средства защиты баз данных: DAMDatabase Activity Monitoring и DBFDatabase Firewall;
• Применять стойкие криптографические алгоритмы;
• Удалить неиспользуемые темы и модули (они могут создать дополнительный вектор атаки на сайт);
• Публичный доступ настроить только к общедоступным областям веб-ресурса;
• Предоставлять наименьшее количество привилегий при открытии доступа к чувствительным функциям бизнес-логики;
• Использовать многофакторную аутентификацию (не путать с двухэтапной), особенно если речь идет о веб-ресурсах с транзакциями или обрабатывающих персональные данные пользователей;
• Адреса административных панелей и стандартные учетные данные (логин и пароль) обязательно должны быть изменены;
• Все детали сообщений об ошибках, отображающиеся в приложении, должны быть скрыты от пользователя, как и версии используемого программного обеспечения, CMS и веб-сервера;
• С определенной периодичностью необходимо проверять наличие у пользователей паролей из списка небезопасных (например, стандартных 12345 или qwerty, или сгенерированных по умолчанию веб-ресурсом при регистрации);
• С максимальной периодичностью необходимо проверять наличие новых версий используемого программного обеспечения, библиотек и сторонних модулей, их обновлений безопасности, устраняющих те или иные уязвимости.

Для процесса разработки и модернизации веб-ресурса

• Каждое изменение, затрагивающее бизнес-логику или функции безопасности необходимо фиксировать и проверять на наличие слабостей и уязвимостей посредством статических и динамических анализаторов программного кода;
• Изначально исключить угрозу «небезопасного дизайна»п.4 рейтинга критических недостатков, перечисленных выше (см. рейтинг недостатков).

Кроме этого, необходимо не забывать о непрерывности процесса обеспечения безопасности веб-ресурсов.

Помимо проверок и мер, реализуемых владельцем веб-ресурса, необходимо привлекать сторонних экспертов для объективного контроля эффективности применяемых мер и процедур анализа защищенности:

• Хотя бы раз в год осуществлять тестирование на проникновение с привлечением внешних экспертов;
• Хотя бы раз в год привлекать организации, специализирующиеся на безопасной разработке программного обеспечения для оценки качества и безопасности программного кода веб-приложения, а если разработка находится в активной фазе — хотя бы раз в квартал.

Фото на обложке: Unsplash