Любите попкорн-истории о том, как кого-то взломали и что из этого вышло? Все еще считаете, что именно ваш сайт - не того масштаба для таких проблем? А ведь времена немного изменились – и именно об этом, с цифрами и практическими рекомендациями, мы и поговорим.

На связи Михаил TutMee, и сегодня у нас весьма трепетные темы: безопасность веб-ресурсов, актуальные проблемы и средства их решения. У всех и так на слуху? Да. Но до сих пор в малом бизнесе царит практически тотальная уверенность, что все это их никак не коснется.

Как это происходит в реальной жизни

Для начала просто немного статистики от Центра информационной безопасности ФСБ. Каждый день фиксируется более 2.5 тысяч инцидентов, причем порядка 170 из них приходятся на крупные ресурсы с посещаемостью от пятисот человек - вполне живые площадки, завязанные на чувствительные для своих владельцев бизнес-процессы.

Отдельная история - государственные и информационные порталы. Да, за их безопасностью следят больше, но и абсолютная защита невозможна просто из-за человеческого фактора. Сами же проблемы вообще не зависят от тематики сайта и при всем своем разнообразии сводятся к нескольким основным типам:

●     Появление вредоносного баннера - в последние полтора года тренды задают политические мотивы, но и старая добрая реклама площадок с запрещенными веществами тоже никуда не исчезла.

●     Драматическое изменение контента - начиная от заглушки с требованием денег и заканчивая более изощренными махинациями, когда одна из страниц сайта начинает использоваться для мошеннических схем под прикрытием общего "доверия" к домену.

●     Нарушение целостности кода - последствия вандализма после взлома сайта или результат неудачной интеграции чего-то более злонамеренного.

●     Ошибки 500, 502, 503, 504 - выход сайта из строя в результате атаки на серверную часть.

●     Заражение сайта - аналог привычных вирусов, интегрированных в код веб-ресурса. Помимо прочего, сайт быстро отправляется в черный список поисковых машин, и каждый посетитель получает соответствующее уведомление.

●     Полное удаление контента - крайний и весьма неприятный случай, если долгое время никто не заботился о бэкапах.

Мины замедленного действия

Атака на сайт или, в общем случае, веб-ресурс в массовом сознании воспринимается как некий единичный акт с явным конечным результатом. Это не всегда так. В некоторых случаях злоумышленник может получить необходимые доступы и намеренно скрывать свой успех, не предпринимая явных действий. Зачем? Например, так можно мониторить или даже корректировать работу организации, связанной с данным веб-ресурсом. Можно эксплуатировать доступ к постоянно обновляющейся клиентской базе (особенно если речь идет о сотнях тысяч записей). А можно не спеша, с толком и расстановкой организовывать саботаж, который произойдет в точно заданное время.

Еще один неприятный момент в том, что многие CMS, вполне популярные и массовые, сами по себе имеют уязвимости. Они регулярно вскрываются, а затем латаются в обновлениях, но этих обновлений может просто не стоять, и вся система защиты превращается буквально в решето.

Все это, на самом деле, тоже весьма обширный пласт проблем, и мы затронули только вершину айсберга. Бороться с ними можно, но для этого либо необходимы отдельные специалисты, постоянно мониторящие работу сайта, либо, как программа минимум - регулярный профильный аудит.

Как действуют "хакеры"

По уровню творческого разнообразия атаки на сайты вполне могут претендовать на отдельное направление искусства. Но наиболее распространенные подходы, опять же, вполне поддаются систематизации:

●     DDOS - перегрузка сайта посредством лавины ложных запросов. Обычно длится лишь ограниченный промежуток времени, т.к. банально требует денег на поддержание активности.

●     Brute Force Attack - попытка получить доступ к админке сайта посредством софта для грубого перебора паролей. К слову, пароль из 6 символов (цифры + латиница) брутфорсится за 3 (!) секунды.

●     SQL-инъекция - внедрение злонамеренного кода в запрос к БД сайта в попытке их изменения или просто получения полного доступа.

●     XSS-attack - внедрение злонамеренного кода для последующего его исполнения в браузере посетителя. Как правило, используется для воровства данных пользователя.

Особняком стоит человеческий фактор, и тут уже количество возможных сценариев социальной инженерии поражает воображение. Просто для понимания: в практике был случай, когда доступ к админке крупного проекта был получен посредством имитации с помощью нейросети голосового сообщения от одного из топ-менеджеров.

Как бороться?

Прежде всего, действовать нужно превентивно. Как гром грянет - поздно будет. При этом правило 20/80 прекрасно работает и здесь, поэтому для относительно небольшого коммерческого проекта соблюдение ряда простых правил позволит избежать значительной части угроз:

●     Логин к админке - не cтоковый.

●     Пароль - минимум 10 символов, не использовался ранее и, если это возможно, содержит спецсимволы.

●     Резервное копирование сайта и его БД хотя бы раз в месяц.

●     Сторонние модули (плагины, библиотеки, CMS и т.п.) - проверенные и всегда последней версии.

●     SSL-сертификат - должен быть.

●     Подключение к админке - только со 100% безопасных устройств.

Банально, но важно не просто все это знать, а соблюдать на практике. Сейчас, когда к чисто коммерческим мотивам прибавились и политические, причем зачастую крайне неочевидные - тем более.

Профессиональная защита сайтов

Особняком стоит безопасность крупных или просто более важных в социальном/финансовом плане ресурсов. Здесь уже важна направленная работа специалистов, и абсолютно универсального алгоритма, к сожалению, нет. Мы в TutMee в общем случае выполняем следующее:

●     Устраняем баги CMS и других установленных пакетов. Зачастую они известны специалистам годами, но так и остаются висеть "на горизонте",

●     Проводим комплексный стресс-тест для поиска неочевидных уязвимостей и устраняем найденное.

●     Налаживаем систему "моментального реагирования", когда в случае любых происшествий на сайте ответные меры начинают приниматься уже буквально через минуту.

●     Обеспечиваем серверную безопасность и при необходимости организовываем миграцию в подходящий дата-центр.

В остальном же поиск подводных камней – процесс творческий и очень индивидуальный, и если интересна конкретика именно по вашему сайту - напишите нам, проверим проект на устойчивость и дадим конкретный перечень уязвимостей. А еще будет крайне интересно узнать ваш опыт в сфере безопасности сайтов, делитесь в комментариях! Заказать услугу