Современный мир переживает новый всплеск киберпреступности, а виртуальные злоумышленники способны нанести существенный урон как крупной компании, так и предприятиям малого бизнеса. О том, существует ли сегодня стопроцентная защита от кибератак, и что для обеспечения безопасности веб-сайтов делают их разработчики, для «ФедралПресс» комментирует управляющий партнер uKit Group Евгений Курт:
«Последние громкие атаки киберпреступников по настоящему ошеломили многих ИТ-специалистов. Ситуация такова, что от взлома не защищен никто. Объяснение тому простое – любой сайт сегодня представляет собой набор из множества связанных технологий: CMS, SSL-сертификат, интеграции с CRM (система взаимодействия с клиентами) и так далее. В данной цепочке технологий любая составляющая сегодня уязвима. В качестве примера можно вспомнить громкий взлом Heartbleed, затронувший более полумиллиона сайтов. Эта атака была вызвана уязвимостью в библиотеке с открытым исходным кодом (OpenSSL), которая используется многими для защиты соединения между сервером и клиентом.
В связи с чем каждый владелец веб-сайта должен уяснить несколько принципиально важных моментов. Во-первых, нужно принять, что ни одну технологию нельзя сделать неуязвимой, как нельзя никогда не болеть. Во-вторых, стоит понимать, что чем популярнее технология, тем выше риск атак. Ведь преступникам выгоднее взламывать распространенные технологии, чтобы число потенциальных жертв было побольше. Еще одним риском являются технологии с открытым кодом, и это тоже нужно учитывать. Получается, что закрытость – не панацея, как показывает пример того же вируса WannaCry, но в целом она осложняет поиск уязвимостей злоумышленниками, а разработчикам проще контролировать систему.
В качестве примеров можно привести ряд возможных уязвимостей с точки зрения разработчиков сайтов. Наибольшее число успешных атак на сайты производится на популярные движки, вроде WordPress и Joomla, написанные на языке PHP. Это так называемые «опенсорс» – движки с открытым кодом. Они привлекают пользователей огромным числом дополнительных модулей, которые создаются сторонними разработчиками и расширяют возможности базовой CMS. Зачастую именно различные дополнения несут в себе уязвимости. В «голом», базовом, виде такие CMS используются крайне редко, а расширений и их авторов столько, что их сложно контролировать.
Что стоит делать в такой ситуации? При такой децентрализации владелец или администратор сайта должен сам уделять особое внимание своевременной установке обновлений, закрывающих свежие уязвимости, или поиску и установке версий модулей и библиотек, которые не подвержены данному типу атаки. К сожалению, когда это лежит на плечах конечного пользователя, обновление происходит, как правило, с заметной задержкой. В момент, когда что-то попало в новости, «спасать имущество из пожара» может быть поздно.
Можно отметить несколько практик на уровне разработчиков веб-сайтов, к которым мы пришли, чтобы защитить сайты своих пользователей. Первое: мы используем более современный технологический комплекс в своем конструкторе сайтов – это Node.js и HTML5. Второе: мы придерживаемся консервативного подхода к обслуживанию сайтов клиентов – на них практически нет запросов к базам данных, а все страницы и загружаемый контент отдаются в заранее подготовленном виде. Это сводит риск атаки к минимуму. Третье – это система с закрытым кодом. Мы сами контролируем выход дополнений к ней. Наконец, мы используем другую модель обновлений: пользователю ничего не нужно скачивать и устанавливать, мы сами доставим обновление. Это в принципе преимущество «облачных» решений для сайтов. То есть, даже если владелец сайта сейчас в отпуске без интернета, мы можем гарантированно устранить угрозу для его ресурса.
Ну и, наконец, не стоит забывать об общих советах в области развитии стратегии информационной безопасности для компаний. В большинстве случаев атаки не обходятся без человеческого фактора. Помимо поиска уязвимостей, взлом сайтов и всего остального часто производится через социальную инженерию. То есть, вы открываете некий незнакомый файл или ссылку, будучи параллельно авторизованным где-то с правами администратора, и вы попались. Совсем плохо, если на том же сервере, где лежит ваш сайт, хранятся иные информационные ресурсы компании. Поэтому хорошим решением будет разнести эту инфраструктуру, регулярно создавать резервные копии на изолированных носителях, не давать доступа тем, в чьи обязанности это на самом деле не входит (например, секретарю), вовремя лишать доступов уволенных сотрудников. Ну и нанимать тех, кто будет следить за вашими системами и своевременно устанавливать обновления на всех узлах. А если этого не можете, то лучше доверить это платформе, выбрав решение с историей и желательно российское. Поддержав отечественного разработчика рублем, вы получите техподдержку на русском.
Информационная безопасность – это область, требующая постоянного внимания и обновления. С одной стороны, мошенники находят все новые уязвимости, а с другой – разработчики оперативно пытаются их устранить. И гонка эта, увы, не прекращается, а только растет вместе с бурной «цифровизацией» всех сторон нашей жизни».