Руководитель группы SOC практики информационной безопасности Лиги Цифровой Экономики Владимир Асташов рассказал, как обезопасить свой сайт и предотвратить возможные угрозы.
Обеспечение информационной безопасности сайтов сегодня является одним из самых актуальных направлений в сфере ИБ. Веб-ресурсы становятся мишенью для злоумышленников по ряду причин: желание парализовать работу конкурента, получить данные, которые хранятся в базах сайта, из хулиганских побуждений и т.д.
Результативные атаки наносят ущерб владельцам сайтов. Он может напрямую выражаться в финансовых потерях, например, если это упущенная выгода от вынужденного простоя интернет-магазина. Или же потери могут быть репутационными: при успешном дефейсе (изменении основной страницы на провокационный контент), публикации слитых баз сайта в открытых источниках или даркнете.
Ключевые способы защиты
Чтобы обезопасить свой веб-ресурс, необходимо использовать средства защиты информации (СЗИ). Они анализируют трафик и сигнализируют о наличии в данный момент активных атак. К СЗИ относятся системы обнаружения и предотвращения вторжений (IDS/IPS), межсетевые экраны, в том числе с расширенной функциональностью — так называемые Next Generation Firewall (NGFW), а также Web Application Firewall (WAF). Последние предназначены для анализа сеансов связи пользователей с защищаемым ресурсом и способны на глубокую аналитику соединений: сигнатурный и поведенческий анализ активности, проверку репутационных списков и прочее (зависит от вендора).
Помимо использования СЗИ, необходимо применять безопасные конфигурации в настройках компонентов сайта, организовать процессы патч-менеджмента, поиска и устранения уязвимостей, периодического резервного копирования и неразрывно связанной с ним проверки возможности восстановления из создаваемых резервных копий. При этом нельзя забывать про разграничение доступа и политику минимально достаточных полномочий как пользователей, так и администраторов. Если инфраструктуру обслуживают администраторы на аутсорсинге, стоит задуматься о предоставлении доступа к системам через специализированный шлюз журналирования сессий подключения. После проведения вышеуказанных мероприятий все системы надо поставить на мониторинг и настроить триггеры реагирования.
В контексте мониторинга отдельно выделяется процесс анализа событий (логов) с использованием специализированных систем класса SIEM. В ходе этого процесса необходимо организовать централизованный сбор информации о журналируемых событиях с защищаемых хостов, систем защиты информации, а также иного оборудования, например сетевого. Цель — обеспечить всесторонний контроль состояния систем и возможность обработки собранных событий. Необходима разработка корреляционных правил и последующая работа с выявленными инцидентами. Выполнение этих пунктов — первый шаг к созданию «домашнего» Security Operations Center (SOC), центра мониторинга ИБ, который может охватывать инфраструктуру не только сайта, но и компании в целом.
Проведение всех выше описанных работ зачастую невозможно без привлечения ИТ-экспертов различных профилей, которых нет в штате малых и средних компаний, не говоря уже об индивидуальных предпринимателях, имеющих собственные сайты. Частично решить задачу позволяют некоторые средства защиты, предоставляемые хостингами, в случае размещения веб-ресурса на их площадке. При размещении сайта на собственных мощностях с высокой долей вероятности понадобится внедрение систем защиты, а также привлечение сторонней экспертизы – ИБ-консалтинга.
Что делать, если атака все-таки случилась?
Если говорить о том, как часто происходят атаки на пользовательские сайты, можно привести данные центра мониторинга ИБ (SOC) Лиги Цифровой Экономики. Анализ статистики атак за первое полугодие 2022 года показывает повышение их количества на 28,57% по сравнению с аналогичным периодом предыдущего года. Стоит отметить, что рост активности злоумышленников обусловлен не только обострением геополитической обстановки, но и в значительной степени развитием прикладного ПО и различных скриптов, разработанных специально для автоматизации проведения атак на веб-ресурсы. По сути, предоставляется готовая функциональность, так что мошенникам уже необязательно иметь какой-то невероятный уровень технической подготовки.
Чтобы оперативно ликвидировать негативные последствия, необходимо постоянно, в режиме 24/7, мониторить состояние систем и в случае обнаружения инцидента привлекать команду реагирования. В зависимости от типа обнаруженной атаки действия могут быть разными. Для простоты понимания стоит выделить несколько наиболее популярных видов атак на сайты.
Типы угроз
Наиболее распространенными являются DoS/DDoS-атаки, после обнаружения которых нужно произвести фильтрацию вредоносного трафика. Для защиты можно воспользоваться услугой, которую предоставляют компании, специализирующиеся на отражении атак подобного типа. Я бы не рекомендовал полностью сворачивать собственный мониторинг, так как иногда всплески запросов к защищаемым ресурсам, которые идентифицируются такими компаниями как «аномалия», могут снижать производительность сайта, при этом атака не детектируется, соответственно, механизмы фильтрации не применяются. В таком случае необходимо проводить коммуникацию с исполнителями работ по фильтрации и корректировать настройки системы.
Дополнительно усложняют ситуацию использование злоумышленниками бот-нетов (множества зараженных устройств, которые генерируют количество запросов, сходное с числом запросов легитимных пользователей, затрудняя обнаружение атаки), а также атаки на уровне приложения (L7) — если трафик шифруется, необходимо его по возможности расшифровать на стороне исполнителя работ по фильтрации трафика, в противном случае надо использовать дополнительные средства защиты (сенсоры) для выявления вредоносного воздействия внутри защищаемой инфраструктуры и предоставления обратной связи выбранному центру фильтрации.
Следующий актуальный тип — атаки внедрения, например SQL-инъекции. Данный вид предполагает добавление к легитимным запросам пользователя дополнительной нагрузки в виде программного кода, который исполняется при обработке запроса. Для защиты от таких инъекций необходимо экранировать запросы пользователя на предмет наличия в них специальных символов, которые воспринимаются компонентами системы как исполняемые. В данном случае при обнаружении атаки требуется провести анализ логов и выявить воздействие со стороны внедренного злоумышленником кода. В случае значительных изменений может понадобиться восстановление из резервной копии.
Выводы
Надо отметить, что чем лучше были проведены техническое проектирование, подготовительные и пусконаладочные работы, чем лучше были продуманы превентивные меры реагирования и выстроен процесс мониторинга, тем легче будет обеспечить состояние защищенности системы.
Ликвидация последствий атаки заключается, как правило, в приведении системы в рабочее состояние, восстановлении данных и сервисов для пользователей. Это может быть восстановление данных в базе, конфигураций веб-сервера, того или иного компонента из бэкапа. Но самое главное — надо провести анализ этой ситуации. Если есть последствия атаки, значит, она не была отражена. А это повод для разбора действий злоумышленников и принятия превентивных мер с целью недопущения проведения подобной атаки на защищаемый ресурс в будущем.