Почему вы должны задуматься о безопасности вашего сервиса заранее?
На просторах интернета то и дело появляются новости о новых взломах того или иного сервиса.
Часть таких атак заканчивается простой утечкой конфиденциальных данных, в более редких случаях хакеры просто уничтожают сервис, и как следствие бизнес.
Последний самый громкий случай – взлом и и последующие уничтожение хостинг-провайдера Code Spaces. Получив доступ к панели управления Amazon EC2, злоумышленник частично или полностью уничтожил все данные, хранящиеся в Elastic Block Store и облачном сервисе Amazon S3. Все началось с обычной DDoS атаки на поставщика услуг и требованием заплатить большую денежную сумму. После того, как хакер заметил, что владельцы Code Spaces самостоятельно пытаются восстановить доступ к панели управления, взломщик начал удалять данные, в том числе бэкапы и виртуальные машины. БОльшая часть данных была потеряна без возможности восстановления.
В связи с этим инцидентом хостинг-провайдер Code Spaces заявил, что не может продолжать дальнейшую деятельность, так как затраты на восстановление и выплаты компенсаций пострадавшим клиентам приведут компанию к банкротству. Про доверие и репутацию данного хостинга уже можно и не говорить, вряд ли кто-то захочет еще раз потерять все свои данные.
И таких случаев огромное количество, лишь часть информации о хакерских атаках просачивается в прессу. Многие компании попросту умалчивают об очередных успешных атаках на свои сервисы по очевидным причинам.
Данный пример можно показывать всем, кто не уделяет должное внимание безопасности своего сервиса. В зоне риска находятся все сервисы, взлом которых приведет или к финансовому или репутационному ущербу. В основном это поставщики услуг с большим количеством пользователей. Именно такие сервисы представляют наибольший интерес для взломщика высокой квалификации.
Мотивация хакера в большинстве случаев очевидна – финансовая выгода. Это может быть вымогательство определенной денежной суммы с угрозами уничтожения данных, продажа данных пользователей сервиса для последующей рассылки спама, фишинга и прочих зловредных действий, а так же продажа найденных уязвимостей в веб-приложениях на форумах.
Как уберечь себя от подобных инцидентов?
1. Заказывая разработку веб-приложения в веб-студиях обязательно уточняйте, есть ли в штате отдельный специалист по информационной безопасности, отвечающий за безопасность вашего будущего сайта. По статистике только у 20% веб-студий в штате есть подобный специалист и лишь в 30% договоров, подписываемых с Заказчиками есть пункт о безопасности сайта и защите данных.
2. Привлекайте периодически внешних аудиторов ИБ, которые смогут провести комплексный анализ защищенности или тест на проникновение на ваше веб-приложение. При проведении таких услуг происходит полное моделирование действий хакера на ваш сайт. Это не дешевые услуги, но безопасность не та вещь, на которой стоит экономить. По статистике при проведении аудитов на 90% сайтов присутствовали уязвимости высокой степени риска, которые в случае взлома привели бы к компроментации ресурса, несанкционированного доступа к серверам/сервисам, манипуляций с данными. И речь идет не о дырявых сайтах на бесплатных CMS, а о крупных сервисах, которыми некоторые из вас пользуются каждый день.
3. Первостепенные меры по защите никто не отменял, наличие Web Application Firewall и Ssl сертификатов обязательно. Автоматизированные сервисы и сканеры по поиску уязвимостей так же необходимы. Но стоит понимать, что такие средства не гарантируют 100% защиту от взлома и не спасают от сложных атак на веб-приложение, но усложнят процесс компроментации вашего ресурса. В аварию лучше попасть на машине с подушкой безопасности, чем без нее.
4. Локальные бэкапы, хотя бы критически важных данных (см. историю с хостингом Code Spaces).
5. Наличие внутри компании парольных политик и регламентов по информационной безопасности. Учетная запись с логин dev и паролем developer к серверу – не самое лучшее решение. При атаках типа bruteforce гораздо сложнее будет подобрать правильную комбинацию, если пароль будет длинный и простой, чем короткий и сложный. Пароль – aSxUh!dX4 – плохо, djmqpd1238as8das751da35 – хорошо, hG^4*!cbSD1&)%d^z1@3 - идеально. Под сложными паролями я подразумеваю использование спецсимволов и верхнего и нижнего регистра, не менее 15 знаков.
6. Социальную инженерию никто не отменял и она до сих остается одной из самых эффективных методов взлома. Сбор информации при атаках такого типа может составлять до 90% всего времени, 10% приходится на атаку. Если у взломщика не получается атаки с внешнего периметра, то он будет пробовать атаку с внутреннего. Специально потерянная флешка с вирусом в офисе может стать причиной взлома. Логины и пароли на стиклистах, так же не самое лучше решение.
7. Постоянный мониторинг серверных изменений, анализ лог файлов, отслеживание новых уязвимостей – это те вещи, которые вы должны делать каждый день.
И напоследок стоить сказать, что обеспечение безопасности – это процесс. Каждый день появляются новые уязвимости, которые помогут взломщику сформировать новый вектор атаки, ранее не доступный на ваш ресурс. Достаточно вспомнить уязвимости Heartbleed или Shellshock, первая из которых оставалась незамеченной целых 3 года.
Все вышеперечисленные меры помогут сократить риски, связанные с безопасностью вашего сервиса, что в свою очередь приведет к благоприятным условиям развития бизнеса и роста компании, а так же к повышению доверия со стороны ваших клиентов и партнеров.