Я — Владислав Чернов — специалист по кибербезопасности компании Creative Motion Development. Обеспечение контроля за безопасностью сайтов — наша ежедневная рутина и мы порой забываем, что очевидные для нас вещи для многих не очевидны. В этой статье, я расскажу о мерах, которые стоит предпринять, для повышения безопасности вашего сайта.


Хакеры атакуют не менее 50 000 веб-сайтов каждый день. Это тревожные цифры, учитывая, что почти каждый бизнес присутствует в Интернете. Атаки нацелены на все предприятия, включая малые и средние предприятия — около 43% атак нацелены на малые предприятия. Веб-сайты содержат много конфиденциальной информации, в том числе личные данные, такие как адреса электронной почты, имена, дата рождения, номера кредитных карт и т. Д. Сегодня защита конфиденциальности информации закреплена в большинстве нормативных актов о соответствии информации. Принятие передовых методов обеспечения безопасности веб-сайтов — это шаг к соблюдению этих правил. Таким образом, компаниям необходимо понимать основные методы повышения безопасности своих веб-сайтов. Перед этим важно сначала понять угрозы и риски для доступности, целостности и конфиденциальности веб-сайта.


Общие риски безопасности веб-сайтов


DDoS-атаки


DDoS-атаки — одна из самых распространенных угроз безопасности веб-сайтов. В ходе атак хакеры перегружают трафик целевого веб-сайта поддельными IP-адресами. Атаки не позволяют обычным пользователям получить доступ к ресурсам веб-сайта, отказывая им в доступе. Например, Банк Испании подвергся DDoS-атаке в 2018 году. В результате этого веб-сайт банка был отключен от сети, что не позволило пользователям получить доступ к онлайн-сервисам.


Вредоносные программы и вирусы


Вредоносное ПО — это вредоносная компьютерная программа, а вредоносные приложения представляют собой самую большую угрозу безопасности веб-сайта. Кибер-злоумышленники ежедневно создают и выпускают не менее 230 000 образцов вредоносного ПО. Вредоносное ПО может быть доставлено различными способами, например с помощью рекламы с вредоносным ПО и скрытых загрузок. Вредоносное ПО может использоваться для удаленного мониторинга всех действий на веб-сайте и сбора пользовательских данных, например паролей. Вредоносное ПО представляет опасность как для владельца веб-сайта, так и для пользователя. Вредоносное ПО может распространяться на веб-серверы или отдельные компьютеры пользователей.


Спам


Мошенники размещают на сайте спам-сообщения, чтобы заманить пользователей. Хотя спам не обязательно наносит вред сайту, он может раздражать и вызывать проблемы с безопасностью для пользователя. Например, хакеры нацелены на пользователей со спам-сообщениями, замаскированными под рекламные акции или предложения. Любопытные пользователи, которые нажимают на сообщения, будут перенаправлены на внешние ссылки. Спам также может содержать вредоносные программы, которые пользователь скачивает сразу после нажатия. Кроме того, ботов можно использовать для постоянного обновления спам-сообщений в загруженной части веб-сайта. Это не только раздражает клиентов, пытающихся получить доступ к ресурсам или услугам веб-сайта, но также может оттолкнуть их.


Регистрация домена WHOIS


Все владельцы веб-сайтов должны зарегистрировать свои веб-сайты в определенном домене. Домены требуют от владельцев предоставить некоторую личную информацию для идентификации. Информация регистрируется в базах данных WHOIS. В дополнение к личной информации владельцы веб-сайтов должны предоставить другие типы информации, такие как серверы имен URL-адресов, связанные с веб-сайтом. Хакеры или инсайдеры могут использовать предоставленную информацию для отслеживания местоположения сервера, используемого для хранения информации веб-сайта. После обнаружения сервер можно использовать в качестве шлюза для доступа к веб-серверу и его взлома.


Черные списки сайтов поисковой системы


Некоторые поисковые системы, такие как Google, Bing и другие, заносят в черный список веб-сайты, на которых отсутствуют надлежащие меры безопасности. Таким образом, попадание в черный список не означает угрозы безопасности. Вместо этого сайт работает хуже при оптимизации поисковых систем и может даже не отображаться в результатах поиска. Это серьезно влияет на услуги, предоставляемые через веб-сайт. Например, бизнес, полагающийся на свой веб-сайт для продажи товаров и услуг через электронную коммерцию, может столкнуться с более низкими продажами и сокращением трафика, если он находится в черном списке. Недавний опрос показал, что рейтинг SEO по крайней мере 74% атакованных веб-сайтов подвергается негативному воздействию. Таким образом, предприятиям необходимо внедрять передовые методы обеспечения безопасности веб-сайтов, чтобы защитить их рейтинг в поисковых системах.


Лучшие методы повышения безопасности веб-сайтов


Угрозы безопасности веб-сайтов могут затронуть любой бизнес. С ростом сложности, скорости и интенсивности кибератак компаниям необходимо руководствоваться тезисом — "когда атака может поставить под угрозу их веб-сайты", а не, "если атака случится". Незащищенный веб-сайт уязвим для множественных атак, угрожающих безопасность организации, а также конфиденциальности и безопасности пользователей. Ниже приведены наиболее эффективные методы, которые следует соблюдать сегодня.


Использование протоколов HTTPS


Протокол HTTPS должен быть приоритетом для всех владельцев сайтов. Это не только жизненно важно для обеспечения безопасной связи между веб-сервером и клиентом, но также улучшает базовый стандарт безопасности для всех веб-сайтов. Во-первых, он убеждает пользователей, что все коммуникации, осуществляемые через веб-сайт, безопасны. Протокол HTTPS по сути сообщает посетителям веб-сайта, что информация, которую они запрашивают или просматривают с веб-сервера, не может быть перехвачена или изменена третьими лицами. Во-вторых, веб-браузеры, такие как Google Chrome, идентифицируют и отмечают все веб-сайты, на которых отсутствуют протоколы безопасности HTTPS. Каждый раз, когда посетитель заходит на сайт, он получает уведомление о том, что он небезопасен. Некоторые посетители не захотят продолжать пользоваться услугами веб-сайта, помеченного как небезопасный. Это может оттолкнуть новых посетителей от посещения сайта, что приведет к снижению интерактивного взаимодействия с клиентами.


Кроме того, безопасность HTTPS не позволяет хакерам получить доступ к любому из кодов, используемых для разработки веб-сайта. Злоумышленники иногда изменяют код веб-сайта без защиты HTTP, чтобы отслеживать и получать доступ ко всей информации, которую посетители предоставляют при взаимодействии с веб-сайтом. Информация может включать личные данные, такие как данные кредитной карты, пароли и имена пользователей, а также дату рождения. Что еще более важно, протокол HTTPS позволяет веб-сайту повысить свой рейтинг SEO. Поисковая система, такая как Google, использует меры безопасности HTTP, чтобы вознаграждать веб-сайты более высоким ранжированием в результатах поиска.


Организация может дополнить меры безопасности HTTPS, использовав сертификат Secure Socket Layer (SSL). Безопасность SSL шифрует все коммуникации между сервером и пользователем веб-сайта. Таким образом, он не мешает хакерам распространять вредоносное ПО или проводить атаки. Вместо этого он шифрует информацию, чтобы гарантировать ее недоступность в случае успешной атаки. Благодаря реализации безопасности SSL пользовательские данные остаются защищенными от атак, таких как атаки типа «человек посередине» (MITM). Сертификаты SSL особенно необходимы для веб-сайтов, обрабатывающих большое количество личных данных, таких как платформы электронной коммерции. Однако все компании должны защищать свои веб-сайты с помощью сертификатов HTTPS и SSL, независимо от услуг, которые они предоставляют через сайты.


Частые обновления программного обеспечения


Для эффективной работы веб-сайтов необходимо использовать различные программные инструменты. Они включают в себя системы управления контентом плагины для веб-сайтов, программное обеспечение WordPress и другие. Обновление программных инструментов жизненно важно для обеспечения безопасности веб-сайта. Помимо исправления сбоев и ошибок, снижающих производительность веб-сайта, обновления программного обеспечения также устанавливают новейшие меры безопасности и исправления. Кибер-злоумышленники могут использовать устаревшие программные инструменты для эксплуатации своих уязвимостей, получая таким образом точку входа для выполнения атак на веб-сайт.


Кроме того, хакеры также используют такие технологии, как искусственный интеллект, для автоматизации кибератак. Это достигается за счет создания интеллектуальных ботов, которые непрерывно сканируют уязвимые веб-сайты и проводят атаки для их использования. Отсутствие последних обновлений предоставляет хакерам больше уязвимостей для выполнения. Это подвергает веб-сайт большему количеству рисков безопасности, ставя под угрозу безопасность и конфиденциальность всех услуг и информации. Владельцы веб-сайтов должны рассмотреть возможность использования автоматизированных решений, которые проверяют и устанавливают обновления программного обеспечения сразу после их выпуска. Таким образом, компании могут гарантировать, что все программные инструменты их веб-сайтов обновлены и не содержат уязвимостей, которые можно использовать.


Достаточное управление паролями


Невозможно переоценить необходимость принятия эффективных решений для управления паролями. Несмотря на то, что пароли являются самым простым способом обеспечения безопасности веб-сайта, они также представляют наибольший риск для безопасности, если ими не управлять должным образом. Исследование, которое показало, что 25% созданных паролей можно взломать менее чем за три секунды, открывает глаза на то, почему владельцы веб-сайтов должны серьезно относиться к своей практике управления паролями. Любой человек с базовыми навыками может использовать хакерские инструменты, такие как John the Ripper, для взлома пароля. Имея это в виду, какие рекомендуемые методы защиты паролей могут позволить компании повысить безопасность своего веб-сайта?


Во-первых, частая смена паролей — это главный метод защиты паролей. Например, администраторам веб-сайтов следует периодически менять свои пароли, чтобы снизить риски взлома пароля злоумышленником. Кроме того, пароли должны быть достаточно сложными, чтобы их нельзя было взломать, но достаточно простыми для запоминания. Однако создание сложных паролей, состоящих из множества букв, таких как буквы, цифры и специальные символы, может быть непросто для запоминания.


Что еще более важно, бизнес должен использовать только услуги веб-хостинговой компании, которая использует двухфакторную или многофакторную аутентификацию. Такие схемы аутентификации обеспечивают дополнительный уровень безопасности. Кто угодно может предоставить действительное имя пользователя и пароль, но только законный пользователь может предоставить необходимые аутентификаторы. Например, перед получением доступа от пользователя может потребоваться предоставить уникальный код, доступный только законному пользователю. Это не позволяет инсайдерам, имеющим доступ к паролям своих коллег, использовать их для несанкционированных действий, которые могут поставить под угрозу безопасность веб-сайта.


Безопасные личные устройства


Многие организации концентрируются на внедрении рекомендованных методов обеспечения безопасности веб-сайтов, забывая, что их личные устройства могут угрожать безопасности их сайтов. Хакеры часто нацелены на персональные компьютеры, чтобы закрепиться на защищенном веб-сайте. Например, кража логинов FTP кибер-злоумышленники могут использовать вредоносное ПО для внедрения вредоносных данных и файлов на веб-сайт. Более того, хакеры считают, что легче выполнять атаки на веб-сайты, используя персональные компьютеры в качестве шлюза. Следовательно, защита персонального компьютера должна быть приоритетной практикой безопасности веб-сайта.


Есть несколько способов, с помощью которых компании могут защитить любые персональные компьютеры. Они включают использование антивирусных и антивредоносных продуктов. Хотя некоторые могут усомниться в жизнеспособности таких продуктов в противодействии текущим угрозам, они необходимы. Они защищают пользователя в онлайн-сообществе, предотвращая загрузку или установку вредоносных файлов. Кроме того, они могут быстро идентифицировать вредоносное ПО, присутствующее на вставленном USB-накопителе или жестком диске, тем самым блокируя им доступ к компьютеру. Кроме того, использование брандмауэров с строгими правилами брандмауэра может блокировать входящие вредоносные соединения, которые хакеры используют для доставки вредоносных программ. Безопасность веб-сайта во многом зависит от защищенных личных устройств, и поэтому владельцы и администраторы веб-сайтов должны обеспечить максимальную защиту.


Адекватные меры контроля доступа


Контроль доступа является неотъемлемой частью успеха любой программы безопасности. То же самое касается защиты веб-сайтов. Компании, управляющие веб-сайтом, должны определить права доступа для разных пользователей, которые могут получить доступ к сайту. Необходимость в строгом контроле доступа возникает из-за того, что человеческая деятельность является основной причиной кибератак. Недавнее исследование показало, что 95% кибератак происходят по вине человека, что подтверждает это утверждение. Сотрудники с разрешениями на доступ к определенным областям веб-сайта могут совершать ошибки, которые приводят к разрушительным атакам. Чтобы устранить риски, владельцам веб-сайтов необходимо развернуть надежные механизмы контроля доступа.


Средства контроля доступа повышают безопасность веб-сайта, ограничивая количество лиц, действия которых могут привести к ошибкам. Определив, что не все сотрудники должны иметь доступ к веб-сайту, компания может создавать политики контроля доступа на основе ролей. Это гарантирует, что доступ к веб-сайту будет ограничен пользователями с определенными ролями. Например, не было бы необходимости разрешать создателю контента доступ к закодированной части веб-сайта. Доступ к нему должен иметь только разработчик или администратор сайта. То же самое относится ко всем ролям, включая внешних разработчиков, приглашенных блоггеров, консультантов или дизайнеров.


Минимальная привилегия доступа, обычно называемая принципом минимальных привилегий или минимальных полномочий, является важным элементом контроля. Это позволяет сотрудникам или сторонним работникам получить доступ только к той части, которая им необходима для выполнения работы. Для человека, которому требуется особый доступ, применение этого принципа гарантирует, что человек получает доступ только к части в течение указанного времени и с определенной целью. Это исключает вероятность ошибочной ошибки, которая может привести к нежелательным нарушениям безопасности веб-сайта.


Изменение настроек конфигурации по умолчанию


Изменение настроек безопасности по умолчанию — это метод обеспечения безопасности, который многие компании обычно игнорируют. Как упоминалось ранее, кибер-злоумышленники стали создавать ботов, предназначенных для автоматического сканирования уязвимых веб-сайтов. Боты также используются для сканирования веб-сайтов, использующих программные инструменты, содержащие параметры безопасности конфигурации по умолчанию. Дело в том, что настройки по умолчанию могут не обеспечивать безопасность и защиту, необходимые для удовлетворения уникальных потребностей данной среды. В результате программы, использующие настройки по умолчанию, очень уязвимы для атак. Злоумышленники могут использовать ботов для идентификации веб-сайтов с одинаковыми настройками по умолчанию, чтобы их можно было использовать с помощью одного и того же вируса или вредоносного ПО. После развертывания веб-сайта компании должны изменить настройки по умолчанию, например, для управления контентом. Некоторые из параметров, которые следует изменить, включают, помимо прочего:


  • Пользовательские элементы управления
  • Права доступа к файлам
  • Настройки комментариев
  • Информационная видимость

Частые резервные копии веб-сайтов


Основная предпосылка всех процедур безопасности — быть готовым к худшему. Компании всегда должны быть готовы стать жертвой атаки. Атака на веб-сайт может привести к его компрометации и последующей недоступности, и, очевидно, ни одна компания не захочет оказаться в такой ситуации. Регулярное резервное копирование веб-сайта — важная мера для сохранения конфиденциальности и безопасности любой связанной информации. Резервная копия веб-сайта состоит из регулярных копий всех основных компонентов сайта. Он позволяет владельцу веб-сайта сохранять и восстанавливать важные данные, когда веб-сайт разрушается в результате атаки. Основные компоненты, которые необходимо включить в резервную копию веб-сайта, включают темы, плагины, базы данных и важные файлы.


Кроме того, резервные копии жизненно важны для безопасности веб-сайта, поскольку они позволяют восстановить чистую версию веб-сайта, если взлом приводит к потере и разрушению, или если обновление программного обеспечения приводит к сбою веб-сайта. Резервное копирование должно быть главной практикой безопасности веб-сайтов, поскольку они просты и необходимы для поддержания целостности, доступности и конфиденциальности. Большинство хостов веб-сайтов предоставляют организациям простые способы создания резервных копий и управления ими. Они могут использовать панели, предназначенные для управления клиентом, для поддержки резервного копирования или использовать плагины резервного копирования, расположенные в таких инструментах, как WordPress.


Непрерывный мониторинг


Владельцы веб-сайтов не могут идентифицировать вредоносные программы и вирусы, так как они способны скрываться и часто неуловимы. Это способствует тому, что вредоносные программы считаются одной из наиболее распространенных угроз безопасности веб-сайтов. Однако при непрерывном и последовательном мониторинге предприятия могут выявлять действия, указывающие на присутствие вредоносного ПО или других незаконных программ.


Ниже приведены некоторые из важнейших признаков, указывающих на проблемы с безопасностью веб-сайтов, которые необходимо решить:


  • Информация для входа в учетные записи пользователей осуществляется без их согласия.
  • Файлы веб-сайта изменяются или удаляются без ведома или согласия владельца.
  • Если сайт неоднократно зависает и вылетает
  • Когда результаты поисковой системы показывают заметные изменения, такие как предупреждения о вредоносном контенте или занесение в черный список
  • Если наблюдается быстрое увеличение или падение посещаемости сайта

Наличие вышеперечисленных признаков может означать, что сайт заражен. Компания может выбрать ручной процесс мониторинга, когда сотрудники службы безопасности берут на себя ответственность за визуальный мониторинг деятельности веб-сайта. Но это может оказаться неэффективным. Операторы-люди могут быть не в состоянии контролировать веб-сайт 24/7, что приводит к тому, что некоторые нарушения безопасности остаются незамеченными. Поэтому настоятельно рекомендуется использовать автоматизированные процессы мониторинга. Автоматические сканеры более эффективны, поскольку они могут непрерывно контролировать веб-сайт и при этом обеспечивать его нормальную работу. Это также устраняет высокие затраты и неэффективность ручного мониторинга. В любом случае некоторые инструменты мониторинга предназначены не только для выявления аномального поведения, но и для принятия корректирующих действий.


Развертывание межсетевых экранов


Использование брандмауэров — одна из наиболее широко применяемых мер безопасности веб-сайтов. Брандмауэр защищает веб-сайт, блокируя вредоносные соединения, которые могут поставить под угрозу его безопасность. Компании создают и поддерживают правила безопасности, которые созданы для удовлетворения потребностей в безопасности в контексте услуг и среды компаний. Например, правила брандмауэра, созданные для платформы электронной коммерции, отличаются от правил, определенных для портала регистрации. Существует два типа межсетевых экранов, используемых для повышения безопасности веб-сайтов. Это брандмауэры сети и веб-приложений.


Сетевые брандмауэры обычно используются организациями, которые управляют своими серверами, и провайдерами веб-хостинга. Брандмауэры обеспечивают безопасность веб-сайтов, выявляя и блокируя вредоносные сценарии между веб-серверами, работающими в сети. С другой стороны, брандмауэры веб-приложений используются для защиты определенного веб-сайта. Брандмауэр веб-приложений предотвращает доступ вредоносных сценариев к веб-серверу, тем самым защищая веб-сайт от взлома. Блокировка вредоносного трафика защищает веб-сайт, а также экономит пропускную способность и время загрузки учетной записи веб-хостинга.


Создание плана сетевой безопасности


Подводя итог основным методам обеспечения безопасности веб-сайтов, необходимо разработать и поддерживать план их реализации. Чаще всего организации придерживаются неорганизованного подхода к управлению процессами безопасности веб-сайтов, что приводит к минимальным результатам. Поэтому, прежде чем даже применять какие-либо меры безопасности, жизненно важно разработать действенный и подробный план безопасности веб-сайта. В плане должны быть изложены цели, которых организация хочет достичь с помощью мер безопасности.


Основной его целью будет повышении безопасности веб-сайта. План безопасности веб-сайта должен дополнительно идентифицировать приложения, безопасность которых требует приоритетного отношения, и процессы, которые будут применяться при тестировании их безопасности. Хотя схемы безопасности веб-сайтов в разных организациях могут отличаться, можно применить следующий контрольный список из шести шагов.


  1. Сбор информации по основным вопросам безопасности
  2. Планирование процесса противодействия
  3. Выполнение плана по обнаружению уязвимостей, если таковые имеются
  4. Документируйте результаты
  5. Устраните выявленные уязвимости, исправив надлежащим образом
  6. Проверить безопасность сайта