Веб-сайт – это лицо любой компании, а веб-приложения и веб-порталы являются ее важнейшим функционалом и конкурентным преимуществом.

Как все начиналось

Около 10-15 лет назад многие сайты в интернете выглядели как «визитные карточки». Они имели базовую информацию о компании, были написаны на HTML, не были интерактивными. Тогда не возникало угроз для безопасности.

Но с появлением новых языков программирования сайты стали более динамичны, информации стало больше. Стали появляться уязвимости, благодаря которым можно загрузить нежелательный контент или получить данные пользователей. Все это стало стимулом для развития решений по обеспечению веб-безопасности.

Какие компании больше всего нуждаются в веб-защите

Самыми первыми в зону риска попали банки. С помощью систем банковского дистанционного обслуживания пользователи могли авторизоваться, выполнять платежи или денежные переводы. Эти возможности заинтересовали злоумышленников – они стали искать уязвимости в этих системах и выполнять платежи от лица других людей. Поэтому именно банки первыми стали использовать веб-защиту. Позже к ним добавились телекоммуникационные операторы и другие компании, нуждающиеся в защите своих личных кабинетов.

Риски мошеннических операций также велики для бирж и электронных торговых площадок, так как возникает необходимость в защите личных кабинетов.

Какие уязвимости могут быть у веб-приложений

Некоторые уязвимости приводят к дефейсу веб-сайта, когда одна из страниц заменяется на другую (например, рекламу, угрозу или предупреждение).

Еще один тип уязвимости связан с загрузкой вредоносного контента. Пользователи такого веб-сайта заражаются вирусами. Основная цель injection-атак заключается в краже данных пользователей, их учетных записей, электронной почты, телефонов. Вся эта информация потом используется для рассылки спама или целевых атак.

С помощью веб-порталов злоумышленники могут получить доступ к корпоративной сети. На портале создается исходная точка атаки и с нее ведется атака на внутреннюю инфраструктуру компании.

Человеческий фактор

Многие организации заинтересованы в повышении осведомленности своих сотрудников в области кибербезопасности. Они размещают на своих сайтах информацию о безопасной работе с веб-ресурсами и куда обращаться в случае инцидента.

Среди основных методов защиты – проверка SSL-сертификатов безопасности. Технология шифрует траффик от пользователя до конкретного ресурса, чтобы в процессе передачи его невозможно было подменить. Дополняет его многофакторная аутентификации с использованием пароля и SMS-сообщений для подтверждения.

Пользователи должны быть внимательны и следить за подлинностью посещаемых веб-ресурсов. Сейчас создается огромное количество поддельных сайтов, в заголовках которых может быть заменена буква или цифра. Пользователь видит знакомый интерфейс, регистрируется на сайте, после чего его данные утекают к злоумышленникам.

Как обеспечить безопасность сайтов?

Для решения этой задачи большинство компаний-интеграторов предлагают Web Application Firewall (WAF), который анализирует данные, передаваемые на сайт, помогает выявить и предотвратить атаки и несанкционированные действия.

Данный веб-файервол быстро реагирует на инцидент и блокирует его. Со временем содержимое веб-ресурсов меняется, поэтому важно следить за правильным функционированием файервола и постоянно проверять безопасность сайтов.

Пентесты и анализ уязвимостей

Чтобы обеспечивать безопасность сайтов важно проводить тесты на проникновение (пентесты) и проверку на уязвимости, которые позволяют точно настроить WAF для защиты. Эти услуги предоставляют немногие компании. Softline имеет опыт выполнения пентестов и поиска уязвимостей с помощью собственной лаборатории.

Уязвимости нулевого дня

Ежедневно злоумышленники находят новые способы или уязвимости «нулевого дня». Обнаружить их можно с помощью специальных конкурсов, о которых знают и хакеры. В этих случаях средства веб-защиты позволяют выиграть время. Пользователь видит атаку хакера и может оценить периодичность и вектор атаки, а служба безопасности подготовиться и принять меры.

Не все типы аудита полезны

Многие организации предлагают использовать автоматизированное сканирование вместо анализа уязвимости. Но этот способ лучше рассматривать как дополнение к аудиту.

Некоторые компании выполняют пентест по такому принципу: находят уязвимость, расширяют из нее вектор атаки и потом выдают клиенту огромный список возможных несанкционированных действий, который основан только на одной лазейке. Такая проверка не будет исчерпывающей.

Преимущества аудита ИБ от Softline

В Softline работает хорошая команда экспертов по тестам на проникновение и аналитиков, разбирающихся не только в защите инфраструктуры, но и веб-порталов и приложений. Наши специалисты регулярно участвуют в национальных и международных соревнованиях по ИБ.

Когда найдена уязвимость, специалисты Softline сразу оповещают об этом клиента и рассказывают, какие действия она может осуществить. После чего они продолжают искать новые уязвимости, не расширяя вектор найденной атаки. В итоге клиент получает больше результатов от пентеста.

Для достижения более высокого уровня безопасности необходим комплексный подход, когда одновременно внедряется WAF, проводится аудит и пентест.

Компания Softline поставляет классические сетевые экраны, решения по многофакторной аутентификации, системы балансировки нагрузки и предотвращения DDoS-атак. Softline сотрудничает с огромным количеством отечественных и зарубежных поставщиков. У нас в штате есть сертифицированные сотрудники со специальными сертификатами по проведению тестов на проникновение (Pentestit, OSCP), опыт работы с компаниями разных отраслей по проведению как комплексных обследований, так и обследований отдельных компонентов.

За подробностями и консультаций по проведению пентеста обращайтесь к специалисту Softline:

Александр Дубина, руководитель направления информационной безопасности

+375 (17) 336-55-95 доб.4496  |  Alexander.Dubina@softline.com

ЗАКАЗАТЬ ПЕНТЕСТ