Гладиаторы - меню
Гладиаторы - меню

Чеклист по защите веб сервера компании. Как не дать взломать свой магазин

Сначала может показаться, что комплексная безопасность обеспечивается множеством отдельных непонятных решений и средств безопасности. Но на деле комплексную защиту можно разделить на определенные элементы и проработать каждый из них. Примерами таких элементов могут являться защита почтового сервера, защита пользовательских компьютеров, защита серверов, защита периметра сети. Про все эти составляющие мы уже подробно рассказывали в других статьях (подписывайтесь на наш канал, чтобы быть в курсе).


Cегодня мы подробно поговорим о защите веб-серверов, что является не менее, а скорее более актуальной темой - ведь сайт или приложение сегодня есть у каждой компании. Давайте начистоту - если функциональность сайта может действительно для разных бизнесов сильно отличаться, то само наличие точки присутствия в Интернет сегодня является минимальным гарантом ведения компанией деятельности.


Как обычно у нас кейс из практики: компания предоставляла услуги хостинга и облачных решений для малого и среднего бизнеса. Одним из её клиентов был интернет-магазин одежды, который пользовался услугами компании для размещения своего сайта.

В один из дней сотрудники магазина одежды заметили, что сайт стал работать медленнее, а некоторые страницы перестали открываться. После обращения в службу поддержки выяснилось, что веб-сервер подвергся атаке. Через устаревшую версию CMS (система управления контентом) был внедрен вирус-майнер, нагрузка на сервер превзошла оплаченные возможности хостинга, а также был произведен дефейс (искажение порочащими данными) заглавной страницы сайта.

В результате инцидента сама компания потеряла клиентов, которые не смогли воспользоваться ее услугами, потеряла репутацию надежного поставщика для двух крупных бизнес контрактов, а сам хостинг-провайдер лишился не только этого, и нескольких других клиентов, поскольку отвечал за обслуживание хостинга и в том числе обновление CMS, на котором работали сайты и оказывались услуги.

Чек-лист в виде инфографики под угрозы, задействованные ИТ активы и способы защиты активов
Что можно сделать, чтобы не допустить подобного на своих серверах:

  1. Антивирус — программное обеспечение, предназначенное для обнаружения и удаления вредоносных программ, в том числе майнеров и шифровальщиков.
  • Резервное копирование — процесс создания копий важных данных на случай их потери или повреждения, которое отлично защищает от дефейса (искажения) любой страницы.
  • WAF (Web Application Firewall) — межсетевой экран, предназначенный для защиты веб-приложений от различных видов кибератак, который не позволит очевидным образом воспользоваться уязвимостями даже устаревших приложений.
  • DDoS (Distributed Denial of Service) protectionкомплекс мер, направленных на защиту от распределённых атак типа «отказ в обслуживании». Всегда рекомендуем уточнить в контракте у хостинг-провайдера или оператора связи (если вы арендуете только канал до своего сервера), что будет в случае шторма запросов со стороны если не хакеров, то конкурентов!
  • DB Firewall — межсетевой экран, предназначенный для защиты базы данных от кибератак, который пригодится в трехзвенной или распределенной архитектуре веб приложений, когда требуется обезопасить базу данных с заказами/клиентами/платежами и др.конфиденциальной информацией от посягательств злоумышленников. Относится к категории защиты так называемого back-end-а, то есть невидимой части веб приложения.
  • Pentest (аудит) — тестирование безопасности веб-приложения с целью выявления уязвимостей. Обычно учитывает как минимум проверки по методике OWASP (Open Web Application Security Project) — некоммерческая организация, занимающаяся разработкой стандартов и рекомендаций по обеспечению безопасности веб-приложений.
  • Анализ периметра комплекс мер, направленных на анализ безопасности периметра сети и сервисов, доступных из Интернета, управления уязвимостями.
  • Secure SDLC (Secure Software Development Life Cycle) — жизненный цикл управления разработкой программного обеспечения с учетом требований по информационной безопасности, где учитывается
  1. Защита API — комплекс мер, направленных на защиту интерфейсов прикладного программирования от кибератак.
  2. Защита от API (вредонос в подключаемых библиотеках) - когда атака реализуется через механизм “цепочки поставки”.

Если у вас нет самого веб.сайта, но есть мобильное приложение, то к вам этот перечень рекомендаций также относится - ведь ответной частью для мобильного приложения на гаджетах пользователей является API сервис backend-а, опубликованный в Интернет.

Этот перечень представляет собой общий обзор мер безопасности, которые могут быть реализованы на веб-сервере. Конкретные меры и инструменты могут различаться в зависимости от специфики веб-приложения и требований к безопасности. Если вам есть, что добавить - напишите нам на почту или оставьте заявку ниже.

Также если у вас есть запрос на защиту сайта или консультацию по вашей ситуации со взломом - будем рады помочь!
Показать еще

Есть вопросы или запрос на проект по безопасноcти?

Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь c политикой конфиденциальности