Защита сайтов от внешних угроз

Защита от внешних угроз. Зачем в России создают устойчивый интернет

Во вторник, 12 февраля, депутаты Госдумы в первом чтении приняли законопроект по обеспечению устойчивой работы российского сегмента интернета (Рунета) в случае кибератак и других агрессивных действий из-за рубежа. В ходе голосования 334 депутата положительно отнеслись к законопроекту, против высказались 47 парламентариев, а воздержавшихся не оказалось.

Авторами инициативы выступили глава комитета Совета Федерации по конституционному законодательству Андрей Клишас из «Единой России», его первый заместитель и однопартиец Людмила Бокова, а также депутат от ЛДПР Андрей Луговой. Законопроект об устойчивом интернете предполагает создание национальной системы получения данных о доменных именах и сетевых адресах. Иными словами, документ определяет правила маршрутизации трафика, задача которых — минимизировать передачу за рубеж данных, которыми обмениваются российские пользователи. Кроме того, провайдеры должны установить технические средства, с помощью которых будет определяться источник передаваемого трафика.

Законопроект преследует цель бесперебойного подключения к Сети россиян, отметил в разговоре с «360» один из его авторов Андрей Клишас. При этом больше всего депутатов беспокоит принятая в сентябре прошлого года Стратегия национальной кибербезопасности. Она подразумевает введение санкций на информационные активы для усмирения страны-агрессора.

«Повсеместное внедрение информационных технологий становится предпосылкой для появления новых видов информационных угроз. В этих условиях важным представляется их минимизировать.Поправками предлагается создать инфраструктуру, которая позволит обеспечить работоспособность российских интернет-ресурсов в случае невозможности подключения российских операторов связи к зарубежным корневым серверам сети интернет. Законопроект позволит сформировать условия для устойчивой работы российского сегмента интернета», — пояснил Андрей Клишас.

В условиях санкций

Ожидается, что контролем новой системы займется Роскомнадзор. Законопроект обяжет интернет-провайдеров установить в своих сетях технические средства противодействия угрозам. В спокойное время работа сети будет осуществляться в стандартном режиме и пользователи даже не заметят изменений. Однако ведомство будет управлять Рунетом в случае возникновения опасности, а также будет блокировать запрещенные в России сайты.

Таким способом российские компании и граждан защитят от блокировки извне, объясняют опрошенные «360» эксперты. Весь обмен данными на территории России будет проходить только через специальные точки обмена трафиком. Власти смогут отказывать операторам, соцсетям и мессенджерам в подключении к точкам обмена трафиком, если они будут нарушать требования Роскомнадзора или правоохранительных органов.

«Проще говоря, проект выступает за централизованное управление интернетом. В этом случае власти смогут контролировать Сеть и поддерживать ее работоспособность в сложных ситуациях. Операторы связи также перестанут зависеть от иностранных провайдеров», — отметил интернет-омбудсмен Дмитрий Мариничев.

При этом речь не идет о создании автономного интернета, который, например, сейчас функционирует в Китае. «В Поднебесной существует ограниченное количество входов поступающего трафика, их единичное количество, в РФ их множество и никто не планирует их ограничивать. Тут, скорее, государство хочет сделать поток данных централизованным и подотчетным», — объяснил собеседник.

Однако об автономности или отключении интернета речь не идет, добавляют эксперты. К примеру, в первой части прописана защита от попыток вывести из строя инфраструктуру Рунета при помощи вирусов, спама, закладок в программном и аппаратном обеспечении, DDoS-атак на сайты и взломов.

Значительные издержки

По оценкам правительственной рабочей группы «Связь и IT», только первичные затраты могут составить около 25 миллиардов рублей. Эксперты также предупредили, что если все меры, которые предлагаются в документе, будут приняты, в работе сети с высокой долей вероятности будут случаться нарушения. Их придется компенсировать операторам связи, на это может уходить до 134 миллиардов рублей в год.

Высокая стоимость проекта может затормозить переход на иной тип интернета, отмечают опрошенные «360» эксперты. В конечном итоге платить за устойчивый Рунет будут вынуждены операторы связи, которые, вероятнее всего, переложат часть возросших издержек на потребителей, считает Дмитрий Мариничев.

«Кроме того, централизация сети негативно повлияет на конкуренцию в отрасли. Ведь Роскомнадзор будет фактически заменять провайдера в некоторых случаях. Тогда возникает вопрос, зачем они нужны если их функции будет выполнять ведомство, хоть и временно», — подчеркнул интернет-омбудсмен.

По сути, новый закон снимает ответственность с провайдеров за размещение информации в Сети и сам удаляет неправомерные данные, объяснил «360» член Счетной комиссии Сергей Иванов, который присутствовал на заседании. Теперь Роскомнадзор планирует закрывать доступ к неугодной информации. К примеру, ведомство в одностороннем порядке может заблокировать ролики на YouTube или закрыть доступ к зарубежным соцсетям. При этом реализация законопроекта может вызвать перебои в работе российских сетей связи. Иными словами, если система будет работать с перебоями, то россияне рискуют остаться без доступа к сети», — заключил Иванов.

Защита сети от внешних угроз

Безопасность информационных систем сегодня в первую очередь связывают с защитой от внешних угроз. Под ними понимают атаки через интернет, способные нанести ПО и данным определенный ущерб. Вполне понятно, что сотрудники большинства современных предприятий имеют доступ к различным сайтам, не все из которых достаточно безопасны.

Виды внешних угроз

Различают две масштабных разновидности угроз:

Отказ в обслуживании — это внешняя угроза, приводящая к сбою в работе системы серверов организации, служащих именно для работы в сети. Как правило, она направлена на ограничение функционирования веб-сервера и почтовых служб. Сбои же возникают в процессе получения сервером очень большого числа запросов, обработать которые его вычислительная система не в состоянии. Это называется DoS-атакой: ее результатом обычно становится затруднение доступа пользователей к ресурсам.

Взломом считают внешнюю угрозу, направленную на получение контроля над серверами. Кроме того, в результате взлома злоумышленники могут проникать в локальные сети предприятий. Доступ к компьютерам дает возможность похитить любые ценные данные, хранящиеся в их памяти: пароли, информацию о сделках клиента, адреса и номера телефонов и т.д. Контроль над веб-сервером позволяет искажать страницы сайтов, размещать на них стороннюю информацию, рассылать спам или проводить атаки на любые другие компьютеры. Кроме того, целью взлома может стать получение доступа к каналам передачи данных предприятия.

Таким образом, результатом реализации внешних атак может стать:

  • потеря информационных ресурсов;
  • нарушение функционирования локальной сети;
  • поломка ПК и серверов предприятия;
  • потеря доступа к личным вычислительным ресурсам.

Для того чтобы реализовать одну из перечисленных внешних угроз, злоумышленники используют разнообразные средства. Самыми распространенными можно считать компьютерные вирусы, шифровальщики, черви и трояны. Вирусы представляют собой вредоносные программы, способные модифицировать любое ПО или интегрировать в него свои копии. Их действие проявляется в возникновении самых неожиданных эффектов в процессе работы компьютеров. Так, на экране могут появляться и исчезать посторонние символы и изображения, в работе прикладных программ наблюдаются сбои, выходит из строя операционная система. Нередко от вирусов страдают данные, хранящиеся на жестких дисках, а также системная память.

Способы борьбы с внешними угрозами

Для защиты от описанных выше внешних угроз сегодня с успехом применяются межсетевые экраны, которые иначе называют брандмауэрами. Они служат для разделения сетей на две части, в каждую из которых пропускаются пакеты с данными в соответствии с определенными алгоритмами. Таким образом, межсетевые экраны представляют собой своеобразные барьеры на границе локальных сетей с глобальной, которые позволяют устанавливать определенные настройки доступа и регулировать функционирование отдельных ПК. Если вам необходима надежная защита от внешних угроз, новейшее UTM-решение — это наилучший выбор.

Виды комплексной защиты сайтов от внешних угроз

Любой коммерческий сайт находится в зоне риска внешнего воздействия по умолчанию – злоумышленники используют десятки способов взлома веб-страниц вне зависимости от того, на какой платформе они сделаны.

В списке «классических» типов атак находятся:

  • SQL-иъекции,
  • Межсайтовый скриптинг (XSS),
  • Удалённое исполнение кодов (RCE),
  • Межсайтовая подделка запросов (CSRF),
  • Локальный и удалённый инклуд (LFI, RFI),
  • Варианты обходов авторизации,
  • Автоматизированный подбор паролей (Bruteforce).

Практика показывает, что под угрозой взлома находятся абсолютно все веб-страницы. Небольшие ресурсы с малым трафиком и нейтральным информационным контентом, значимые порталы с большими объёмами пользовательских данных, сервисы по обработке транзакций – это неважно, от хакерских нападений не застрахован никто.
О чём свидетельствует и статистика:

  1. Периодическим атакам подвергается каждый третий сайт.
  2. Около 80 % интернет-ресурсов подвергаются взлому вследствие нецелевых атак, использующих популярные утилиты и сканеры.
  3. Более половины взломанных страниц оперативно блокируются поисковыми системами в пользовательской выдаче.

Фаерволы – универсальное ПО на страже интернет-страниц

Идеальная защита сайта заключается в том, чтобы обезопасить его от всех специфических угроз ещё на стадии разработки. В реальной жизни у многих веб-мастеров руки до программного затыкания всех «дыр» не доходят, и следить за безопасностью приходится в рабочем режиме.

Для защиты интернет-ресурсов от хакеров используются различные варианты Web Application Firewall – многосетевых экранов, позволяющих на прикладном уровне эффективно отражать атаки злоумышленников. Принцип работы любого фаервола одинаков: контролируя все поступающие данные, программа сверяет их с сигнатурами, набором программных правил, описывающих известные атаки. В случае обнаружения подозрительных запросов фаервол их оперативно блокирует.

Защита сайтов на WordPress и Joomla

Основные CMS-платформы используют свои, особенные фаерволы. Так, сайты на Вордпресс можно проверить платным сервисом Sucuri firewall, который в целях безопасности создаёт специализированный прокси-сервер, фильтрующий входящий поток запросов на вредоносность.

В качестве бесплатной защиты сайта на WordPress от взлома многие веб-мастера используют такие плагины, как WordPress Simple Security Firewall и All In One WP Security & Firewall, – каждый из них имеет свои особенности и функциональные настройки. NinjaFirewall представляет собой ещё один автономный продукт, который сканирует поступающие HTTP/HTTPS-запросы сценариев PHP.

Среди программного обеспечения, предназначенного для интернет-ресурсов на платформе Joomla, выделяется многофункциональное расширение SecureLive в платной версии. Большой популярностью у разработчиков пользуется и RSFirewall, защищающий сайты от большинства видов современных угроз.

Защита сайта на Bitrix

В программном обеспечении «1С-Битрикс: Управление сайтом» находится целый ряд технических функциональных решений и веб-приложений, которые относительно эффективно защищают интернет-ресурсы на базе этой платформы.

  • Прежде всего стоит обратить внимание на модуль «Проактивная защита», инструменты которого образуют комплексный мониторинг и сохранность от всех основных типов угроз.
  • Проактивный фильтр Web Application Firewall (WAF) стоит на страже веб-приложений, защищая страницы от SQL-уязвимостей, скриптинга XSS, инклудинга и т. д.
  • Инструменты аудиторной безопасности PHP-кода помогают определить в системе битрикс-сайтов наиболее уязвимые места в коде.

Наконец, встроенный в сам продукт универсальный антивирус защищает от имплантирования в веб-приложения вредоносного кода, а также контролирует общие настройки безопасности всей системы.

Защита сайтов на MODX и Opencart

Настройка безопасности сайтов в системе CMS MODX производится вручную. Здесь стоит обратить внимание прежде всего на перемещение ядра приложения – каталог core желательно перенести за границу корневого каталога (то есть, расположить по дереву файловой системы повыше). При перенесении каталога нельзя забывать о редактировании всех имеющих отношение к ядру конфигурационных файлов, указав для них обновлённый путь до ядра.

Для повышения уровня защиты сайта на MODX желательно перенести адрес административной панели – это мешает ботам опознанию ресурса в качестве ресурса, созданного на основе этой CMS. Для проведения этой процедуры достаточно переименовать каталог, в котором находится адрес (по умолчанию он прописывается в виде http://site.ru/manager) и задать новое направление в файле конфигурации.

Обезопасить интернет-магазин на базе системы Opencart также несложно. В первую очередь улучшить защиту помогает перенос адреса админ-панели с последующим прописыванием пути к ней всех связанных конфигурационных файлов. Одновременно на важные типы файлов (admin/config.php и config.php) рекомендуется установить ограничение прав доступа только на чтение.

В качестве профилактической меры защиты можно сменить и логин-пароль для входа во внутреннюю систему Opencart.

Virusdie – надёжность в защите, простота в управлении

Этот короткий обзор средств защиты основных CMS-систем наглядно показывает, что процесс ручной настройки и управления занимает много времени и усилий.

Антивирусное программное обеспечение от Virusdie помогает настроить систему безопасности любого сайта автоматически, только лишь подключив сайт к онлайн-базе сервиса.

Virusdie предоставляет профилактическую защиту и излечение от всех известных вирусов и хакерских угроз, SQL- и XSS-инъекций, спама в комментариях и прочих видов подозрительной активности.

В программный пакет входит комплексный антивирус, работающий со всеми основными веб-платформами, надёжный фаервол и менеджер файлов. Встроенное решение по автоматическому поиску и удалению вредоносных кодов (на основе функционала Вирусдай.Сервер) позволяет пользователям из личного кабинета контролировать содержимое системных каталогов, своевременно редактируя и удаляя все подозрительные объекты.

Эффективная защита сайта с помощью антивируса Virusdie обеспечена большим количеством современных, высокотехнологичных инструментов, для запуска которых от пользователя не требуется точечная настройка, – достаточно активировать кнопку в соответствующем меню безопасности. За эту простоту и удобство программное обеспечение от Virusdie выбирает множество владельцев сайтов, уже успевших оценить преимущество онлайн-сервиса.

5 простых способов обезопасить Windows от внешних угроз

Элементарные действия, которыми не стоит пренебрегать.

1. Используйте «Защитник Windows»

Если вы не привыкли работать со сторонними антивирусами, стоит использовать хотя бы встроенный в систему инструмент для обеспечения безопасности. Называется он «Защитник Windows» или Windows Defender. Он не перегружает ресурсы ПК, но при этом может уберечь от множества потенциальных угроз.

«Защитник» в режиме реального времени отслеживает подозрительные изменения в сегментах системы, уведомляя пользователя об опасности. Он будет особенно полезен при загрузке приложений и файлов из сомнительных источников.

Активировать его можно через раздел настроек «Обновление и безопасность». В нём нужно перейти к пункту «Безопасность Windows» и нажать «Открыть Центр безопасности Защитника Windows».

2. Проверяйте активные расширения браузера

Браузер на ПК — главный инструмент для поиска информации в Сети. Защиту его постоянно укрепляют автоматические обновления. Однако не менее важны и установленные поверх расширения: они вполне могут стать лазейкой к вашей системе.

Даже если вы не пользуетесь ими, это не значит, что у них нет прав на выполнение соединения с установленными приложениями, изменение настроек конфиденциальности и другие потенциально опасные действия. Чтобы исключить возможные риски, возьмите в привычку регулярно проверять активные расширения, отключая или удаляя ненужные.

В Chrome открыть список расширений можно через пункт настроек «Дополнительные инструменты», где нужно выбрать «Расширения». В Firefox и Microsoft Edge аналогичная опция находится прямо в меню главных настроек.

3. Будьте осторожнее с загрузками

Используя браузеры для загрузки приложений на ПК, будьте максимально осторожны в выборе источников и самого ПО. Старайтесь пользоваться лишь более или менее известными программами и скачивайте их только с официальных сайтов или же из Microsoft Store.

Также важно быть предельно внимательным при активации мастера установки. Не спешите постоянно нажимать «Далее», игнорируя справочную информацию и описания. Нередко именно на этом этапе вы, сами того не подозревая, соглашаетесь на установку дополнительного ПО, которое вам совсем не нужно.

В лучшем случае это будет какой-то бесполезный сервис, в худшем — программа-шпион, которая после инсталляции даже не напомнит о себе.

4. Проверяйте разрешения приложений

Операционная система Windows сегодня позволяет управлять разрешениями каждого установленного приложения. Открыв этот раздел в настройках, вы сможете узнать, позволено ли какой-то программе собирать данные о вашем местоположении или, к примеру, самостоятельно активировать веб-камеру и микрофон.

Проверить эти параметры можно в разделе настроек «Конфиденциальность», где отображаются как общие разрешения, так и специфичные для каждой отдельной программы.

5. Настройте пользовательский пароль

Установить пароль для входа в систему нужно даже в том случае, если никто кроме вас этим компьютером не пользуется. Ведь не исключён риск, что кто-то попытается получить доступ к устройству без вашего ведома. Особенно это актуально, если вы работаете в людном офисе или же используете ноутбук в публичном месте.

Кто-то из ваших коллег и знакомых может не только подсмотреть ваши личные данные, но и скачать их или же загрузить опасное ПО на компьютер. Чтобы всё это исключить разом, активируйте вход по паролю и автоматическую блокировку при бездействии системы.

Задать пароль можно в настройках в разделе «Учётные записи», где нужно выбрать «Параметры входа». Установка быстрого перехода в режим ожидания доступна в разделе «Электропитание». Перейти к нему можно через «Панель управления», выбрав «Оборудование и звук».

Защита сайта от хакерских атак — Nemesida WAF

Современные реалии показывают постоянно растущие атаки на веб-приложения — до 80% случаев компрометации систем начинаются с веб-приложения. В статье будут рассмотрены наиболее распространенные уязвимости, которые активно используют злоумышленники, а также эффективные методы противодействия им с использованием Nemesida WAF.

При увеличении количества инструментов и техник атак все сложнее становится обеспечить доступность сайта, защитить веб-приложение или его компоненты от взлома и подмены контента. Несмотря на усилия технических специалистов и разработчиков обороняющаяся сторона традиционно занимает догоняющую позицию, реализовывая защитные меры уже после того, как веб-приложение было скомпрометировано. Веб-сайты подвергаются атакам из-за публичной доступности, не всегда качественно написанному коду, наличию ошибок в настройке серверной части, а также отсутствующему контрою со стороны службы ИБ, тем самым обеспечивая злоумышленникам доступ к критичным данным.

В связи с этим возникает необходимость использовать защитные средства, учитывающие архитектуру веб-приложения, и не приводящие к задержкам в работе сайта.

Уязвимости нулевого дня

Уязвимость нулевого дня или 0-day – это ранее неизвестная уязвимость, которая эксплуатируется злоумышленниками. Происхождение термина связано с тем обстоятельством, что уязвимость или атака становится публично известна до момента выпуска производителем ПО исправлений ошибки (то есть потенциально уязвимость может эксплуатироваться на работающих копиях приложения без возможности защититься от нее).

Природа уязвимостей нулевого дня позволяет злоумышленникам успешно атаковать веб-приложения в период от нескольких минут до нескольких месяцев. Такой большой период обусловлен множеством факторов:

  • уязвимость необходимо локализовать и устранить;
  • выкатить работоспособный патч;
  • уведомить пользователей о проблеме;
  • пользователям приложения запустить процесс патч-менеджмента (что бывает очень нелегко сделать «здесь и сейчас» на крупном проекте).

В этом кроется еще один немаловажный фактор — для новой уязвимости может не существовать правил или исключений в защитной системе, а сигнатура атаки может быть не распознана классическими защитными средствами. В этом случае поможет использование белого списка поведенческого анализа конкретного веб-приложения для минимизации рисков атак нулевого дня.

В качестве примера можно привести хронологию атаки Struts2: CVE-2013-2251 Struts2 Prefixed Parameters OGNL Injection Vulnerability — c момента появления «боевого» эксплойта прошло несколько дней, прежде чем многие компании смогли накатить патч.

Тем не менее, при использовании защитных средств можно было выявить запрос вида:
http://host/struts2-blank/example/X.action?action:%25<(new+java.lang.ProcessBuilder(new+java.lang.String[]<'command','goes','here'>)).start()>
для блокирования атаки, т.к. он явно не является легитимным в контексте пользовательских действий.

«Классические» атаки

Статистика показывает, что многие веб-приложения компрометируются также, как и годами ранее — это разного рода инъекции, инклуды, клиент-сайд атаки, поэтому защитное средство должно уметь выявлять и блокировать атаки, направленные на эксплуатацию следующих уязвимостей:

  • SQL Injection — sql инъекции;
  • Remote Code Execution (RCE) — удаленное выполнение кода;
  • Cross Site Scripting (XSS) — межсайтовый скриптинг;
  • Cross Site Request Forgery (CSRF) — межстайтовая подделка запросов;
  • Remote File Inclusion (RFI) — удалённый инклуд;
  • Local File Inclusion (LFI) — локальный инклуд;
  • Auth Bypass — обход авторизации;
  • Insecure Direct Object Reference — небезопасные прямые ссылки на объекты;
  • Bruteforce — подбор паролей.

В идеальном веб-приложении такого рода уязвимости должны быть обнаружены и зафиксированы еще на этапе разработки: должен был проведен статический, динамический, интерактивный анализ, выявление аномалий в логике работы приложения. Но, зачастую, такие моменты по тем или иным причинам упускаются из виду, на них не остается времени или средств.

Защита на прикладном уровне

Веб-приложения отличаются от обычных приложений двумя вещами: огромным разнообразием и значительной интерактивностью. Это создаёт целый ряд новых угроз, с которыми традиционные межсетевые экраны не справляются.

Протокол прикладного уровня — протокол верхнего (7-го) уровня сетевой модели OSI, обеспечивает взаимодействие сети и пользователя. Уровень разрешает приложениям пользователя иметь доступ к сетевым службам, таким, как обработчик запросов к базам данных, доступ к файлам, пересылке электронной почты. Защита на прикладном уровне является наиболее надежной. Уязвимости, эксплуатируемые злоумышленниками, зачастую полагаются на сложные сценарии ввода данных пользователем, что делает их трудноопределимыми с помощью классических систем обнаружения вторжений. Также этот уровень является самым доступным извне. Возникает необходимость понимать группы протоколов и зависимостей, свойственных для веб-приложений, которые строятся над прикладными протоколами http/https.

Основной принцип защиты сайта на прикладном уровне — верификация и фильтрация данных запросов, передаваемых методами GET, POST и т.д. Подмена или модификация запроса — это базовая основа практически всех способов взлома и атак на сайты.

Цели атак

Веб-приложения могут быть атакованы независимо от их принадлежности к той или иной области деятельности: сайты малой посещаемости, неоперирующие большими объемами информации и не хранящие критичных данных могут быть атакованы в результате нецелевых атак. Значимые сайты, имеющие высокие показатели трафика, огромные объемы пользовательских данных и т.д. являются привлекательной мишенью для злоумышленников и подвергаются атакам практически ежедневно:

  • Каждый третий сайт был взломан или подвергался атакам хакеров;
  • 80% сайтов взламываются в ходе нецелевых атак с использованием популярных сканеров или утилит;
  • Около 60% взломанных сайтов были заражены и заблокированы поисковыми системами.

Для сайтов, оперирующих платежными данными, обрабатывающих онлайн-транзакции существует специализированные требования соответствия стандарту PCI DSS. Payment Card Industry Data Security Standard (PCI DSS) — стандарт безопасности данных индустрии платёжных карт, разработанный Советом по стандартам безопасности индустрии платежных карт (Payment Card Industry Security Standards Council, PCI SSC), учреждённым международными платёжными системами Visa, MasterCard, American Express, JCB и Discover.

Пункт 6.6 гласит, что помимо проведения аудита веб-приложения необходимо обеспечить применение специализированных защитных средств:

To gain a better understanding of the Requirement 6.6, we should refer to PCI DSS 3.1 standard which says that public-facing web applications shall “address new threats and vulnerabilities on an ongoing basis and ensure these applications are protected against known attacks.”
What is important here is the “on an ongoing basis” condition, which makes it very clear that web security is a permanent process and highlights the importance of continuous web security.
PCI DSS proposes two ways to achieve this requirement:
“Reviewing public-facing web applications via manual or automated application vulnerability security assessment tools or methods, at least annually and after any changes.”
“Installing an automated technical solution that detects and prevents web-based attacks (for example, a web-application firewall) in front of public-facing web applications, to continually check all traffic.”

Пункт 6.6 носит обязательный характер, если веб-приложение входит в CDE (Cardholder Data Environment).

Обеспечение защиты сайта

Оптимальным решением для обеспечения защиты сайта является применение Web Application Firewall — межсетевого экрана прикладного уровня, позволяющего эффективно защищать сайты от атак злоумышленников.

Web Application Firewall — это специальный механизм, накладывающий определенный набор правил на то, как между собой взаимодействуют сервер и клиент, обрабатывая HTTP-пакеты. В основе кроется тот же принцип, что и в обычных пользовательских фаерволах, — контроль всех данных, которые поступают извне. WAF опирается на набор правил, с помощью которого выявляется факт атаки по сигнатурам – признакам активности пользователя, которые могут означать нападение.

Как это работает

Web Application Firewall работает в режиме прозрачного проксирующего механизма, анализирую на лету приходящие от клиента данные и отбрасывая нелегитимные запросы:

После установки Web Application Firewall необходима настройка под целевое веб-приложение — в зависимости от типа и вида CMS добавляются учитывающие веб-приложение настройки фильтрации и правила и защитное средство переводится в режим обучения, для сбора эталонных моделей коммуникации с веб-приложением, идентификаторов и т.д.

После этапа машинного обучения включается боевой режим, который оперирует как готовыми правилами фильтрации, так и наработками, собранными на этапе обучения для обнаружения и блокирования атак.

Эффективность применения Web Application Firewall складывается из нескольких факторов:

  • Простая интеграция в инфраструктуру;
  • Гибкая система адаптации с веб-приложением;
  • Блокирование угроз OWASP Top 10;
  • Анализ и блокирование аномалий протокола или данных;
  • Обнаружение и блокирование подделки идентификаторов сессий;
  • Обнаружение и блокирование подбора паролей;
  • Инспекция ответов сервера на наличие критичных данных;
  • Динамическое обновление сигнатур атак;
  • Низкое количество ложных срабатываний;
  • Самозащита WAF;
  • Удобный сервис информирования об атаках;
  • Статистика и регламентная отчетность.

Одним из источников, позволяющих выявлять новые сценарии и реализацию атак на веб-приложения, являются «Лаборатории тестирования на проникновение», имитирующие реальную инфраструктуру современных компаний. В лабораториях принимают участие около 9000 специалистов по информационной безопасности со всего мира, с разным уровнем подготовки, навыков и инструментария. Анализ атак, направленных на объекты лаборатории, позволяют составить модели нарушителя и реализации векторов атаки.

Эти данные тщательно анализируются и на их основе добавляются новые правила фильтрации. Таким образом наше решение способно обеспечить полноценную защиту сайта от различных видов и типов атак.

Статьи

Угрозы в сети Интернет

Материалы по теме

Содержание статьи:

Технические угрозы

Угроза – это потенциально возможное событие, действие, которое посредством воздействия на объект защиты может привести к нанесению ущерба.

Вредоносные программы

Черви – это разновидность вирусов. Они полностью оправдывают свое название, поскольку распространяются путем «переползания» из устройства в устройство. Так же, как и вирусы, они представляют собой саморазмножающиеся программы, но в отличие от вирусов, червю не нужна помощь пользователя, чтобы распространиться. Он сам находит лазейку.

Троянские программы – вредоносные программы, которые целенаправленно внедряются злоумышленниками для сбора информации, ее разрушения или модификации, нарушения работоспособности компьютера или использования его ресурсов в неблаговидных целях. Внешне троянские программы выглядят как легальные программные продукты и не вызывают подозрений. В отличие от вирусов, они полностью готовы к выполнению своих функций. На это и делается расчет злоумышленников: их задача – сделать такую программу, которую пользователи не побоятся запускать и использовать.

Злоумышленники могут заражать компьютер, чтобы сделать его частью ботнета – сети из зараженных устройств, расположенных по всему миру. Крупные ботнеты могут включать в себя десятки и сотни тысяч компьютеров. Пользователи часто даже не догадываются, что их компьютеры заражены вредоносными программами и используются злоумышленниками. Ботнеты создаются путем рассылки разными способами вредоносных программ, а зараженные машины в дальнейшем регулярно получают команды от администратора ботнета, так что оказывается возможным организовать согласованные действия компьютеров-ботов по атаке других устройств и ресурсов.

DoS и DDoS атаки

DoS-атака (отказ в обслуживании) – это атака, приводящая к парализации работы сервера или персонального компьютера вследствие огромного количества запросов, с высокой скоростью поступающих на атакуемый ресурс.

Суть DoS-атаки заключается в том, что злоумышленник пытается сделать временно недоступным конкретный сервер, перегрузить сеть, процессор или переполнить диск. Цель атаки – просто вывести компьютер из строя, а не получить информацию, захватить все ресурсы компьютера-жертвы, чтобы другие пользователи не имели к ним доступа. К ресурсам относятся: память, процессорное время, дисковое пространство, сетевые ресурсы и т. д.

Осуществить DoS-атаку можно двумя способами.

При первом способе для DoS-атаки используется уязвимость программного обеспечения, установленного на атакуемом компьютере. Уязвимость позволяет вызвать определенную критическую ошибку, которая приведет к нарушению работоспособности системы.

При втором способе атака осуществляется при помощи одновременной отсылки большого количества пакетов информации на атакуемый компьютер, что вызывает перегрузку сети.

Если подобная атака проводится одновременно сразу с большого числа компьютеров, то в этом случае говорят о DDoS-атаке.

DDoS-атака (распределенный отказ в обслуживании) – это разновидность DoS-атаки, которая организуется при помощи очень большого числа компьютеров, благодаря чему атаке могут быть подвержены сервера даже с очень большой пропускной способностью Интернет-каналов.

Для организации DDoS-атак злоумышленники используют ботнет – специальную сеть компьютеров, зараженных особым видом вирусов. Каждым таким компьютером злоумышленник может управлять удаленно, без ведома владельца. При помощи вируса или программы, искусно маскирующейся под легальную, на компьютер-жертву устанавливается вредоносный программный код, который не распознается антивирусом и работает в фоновом режиме. В нужный момент по команде владельца ботнета такая программа активизируется и начинает отправлять запросы на атакуемый сервер, в результате чего заполняется канал связи между сервисом, на который проводится атака, и Интернет-провайдером и сервер перестает работать.

Более подробная информация — в статье “Атаки DoS и DDoS”.

Социальная инженерия

Фишинг

Фишинг является наиболее популярным способом атаки на пользователей и одним из методов социальной инженерии. Он представляет собой особый вид Интернет-мошенничества. Цель фишинга – получение доступа к конфиденциальным данным, таким как адрес, телефон, номера кредитных карт, логины и пароли, путем использования поддельных веб-страниц. Часто фишинговая атака происходит следующим образом: на электронную почту приходит письмо с просьбой войти в систему Интернет-банкинга от имени якобы сотрудника банка. Письмо содержит ссылку на ложный сайт, который трудно отличить от настоящего. Пользователь вводит личные данные на поддельном сайте, а злоумышленник перехватывает их. Завладев персональными данными, он может, например, получить кредит на имя пользователя, вывести деньги с его счета и расплатиться его кредитными картами, снять деньги с его счетов или создать копию пластиковой карты и с ее помощью снять деньги в любом месте мира.

Способы защиты от угроз в Интернете

Существует много видов и способов атак, но также есть и достаточное количество способов защиты от них. При работе в Интернете рекомендуется выполнять следующие требования:

Защита сетей банков от внешних угроз

Защита информации в современной банковской структуре является приоритетной задачей: утечка конфиденциальных данных, уничтожение, искажение информации, хищение средств со счетов клиентов, сбой и отказ компьютерных систем – вот те риски, которые несут с собой вирусы, вредоносные программы и атаки хакеров. В этой связи задача полного контроля доступа в Internet и защиты корпоративной локальной сети финансовых институтов приобретает особое значение.

Защита информации в современной банковской структуре является приоритетной задачей: утечка конфиденциальных данных, уничтожение, искажение информации, хищение средств со счетов клиентов, сбой и отказ компьютерных систем — вот те риски, которые несут с собой вирусы, вредоносные программы и атаки хакеров. В этой связи задача полного контроля доступа в Internet и защиты корпоративной локальной сети финансовых институтов приобретает особое значение.

Об уязвимости компьютерных систем банковских структур свидетельствуют ежедневные инциденты, связанные с хищением реквизитов кредитных карт владельцев и совершением незаконных финансовых операций, участившиеся случаи атак на системы Internet-банкинга и т. д.

По данным Panda Security (Panda Security 2008, http://www.pandasecurity.com/resources/pro/02dw_Annual_Report_Pandalabs_2008.pdf), в 2008 году троянские программы были одной из наиболее серьезных угроз для банковского сектора. Их главная цель — кража данных жертвы с целью доступа к ее банковскому счету.

Немаловажную роль в организации комплексной информационной безопасности банковских структур также играет контроль действий служащих, получающих доступ в Internet из локальной сети банка.

Специфика банковских информационных систем заключается в необходимости постоянного и защищенного доступа в Internet для активного взаимодействия между филиальными подразделениями банка по обмену конфиденциальной информацией. Кроме того, следует отметить особенность использования специфических Internet-приложений для осуществления межбанковских операций, организации доступа к общим ресурсам, сбора и обработки данных, доступа клиентов к своим счетам в интерактивном режиме и многих других задач.

Надежный доступ в Internet

Для качественной работы банка, клиентские сервисы которого во многом зависят от работы Internet-канала, сотрудникам требуется бесперебойный и стабильный доступ в Internet. Как правило, для обеспечения непрерывности процессов банки подключены к нескольким провайдерам, гарантирующим необходимую скорость и качество доступа в Internet.

Однако, для того чтобы избежать возможных сбоев при смене провайдера, потери информации и простоя в работе банковских приложений, необходимо использование надежного решения, которое позволит безболезненно перевести работу офиса и всех сервисов банка с одного Internet-канала на другой. Для этого в программном комплексе в рамках инструментария для организации доступа в Internet должна быть предусмотрена работа с двумя и более провайдерами. Например, в продукте UserGate Proxy & Firewall от компании Entensys при наличии нескольких подключений к Internet становится доступной функция «Резервный канал».

Описанная функция позволяет автоматически переводить всех пользователей на альтернативное подключение к Internet, если связь через основное подключение отсутствует. Работа с основным каналом возобновляется также автоматически, что позволяет обеспечить непрерывный и бесперебойный доступ сотрудников к Internet-ресурсам и стабильную работу всех сервисов банка.

Кроме того, данная функция поддержки нескольких каналов позволяет, например, предоставить доступ в Internet разным пользователям через различных провайдеров. Это помогает оптимизировать нагрузку на внутреннюю сеть и правильно распределить Internet-ресурсы между сотрудниками банка.

Следующий этап организации защищенного доступа в Internet — обеспечение антивирусной проверки и защита внутренних серверов банка от возможных атак и нелегального доступа к конфиденциальной информации.

Межсетевой экран (брандмауэр) позволит защитить локальную сеть банка от несанкционированного доступа извне, одновременно предоставляя возможность открыть доступ к внутренним ресурсам, таким как почтовый, Web- или VPN-сервер в локальной сети.

Организация антивирусной проверки трафика — ключевое звено в обеспечении безопасности банковской инфраструктуры. Как пример в продукте UserGate предлагается двойная антивирусная фильтрация трафика на шлюзе на предмет вирусов при помощи встроенных антивирусных модулей от «Лаборатории Касперского» и Panda Security.

Администраторы могут по желанию использовать тот или иной антивирусный модуль либо активировать оба модуля для максимальной защиты. Антивирусные модули обрабатывают весь входящий трафик по протоколам HTTP, FTP, SMTP и POP3. При этом желательно комбинировать антивирусную защиту с защитой файловой системы на локальных компьютерах с помощью другого антивирусного решения.

Безопасное внутреннее взаимодействие

Удаленные филиалы банка требуют налаженного и защищенного взаимодействия для оперативного обмена информацией и общего доступа к корпоративным ресурсам. Идеальным решением для таких целей является VPN-соединение, с помощью которого можно организовать удаленный защищенный доступ через открытые каналы Internet к серверам баз данных, FTP и почтовым серверам. Суть данной технологии заключается в способности защитить трафик любых информационных внутрикорпоративных и общедоступных систем, аудио- и видеоконференций и систем электронной коммерции.

Необходима и поддержка передачи трафика через протоколы PPTP и L2TP для соединения VPN-сервера с VPN-клиентами локальной сети. Кроме того, можно использовать публикацию сетевых ресурсов, чтобы сделать VPN-сервер локальной сети доступным удаленно.

Это позволит наладить обмен данными между удаленными офисами банка, предоставить сотрудникам защищенный доступ к общим базам данных с информацией о клиентах, финансовой отчетности и другой конфиденциальной внутрикорпоративной информации, а также обеспечит удаленное подключение служащих банка извне к внутренним серверам и данным локальной сети.

Контроль действий сотрудников

Хорошая репутация и успешное функционирование любого банка основаны на деятельности его служащих. Системы контроля и ограничения работы пользователей в корпоративных сетях давно приняты на вооружение банками и финансовыми институтами.

Одним из важных направлений контроля деятельности служащих банка стала фильтрация Internet-ресурсов, позволяющая отсечь потенциально опасные сайты, посещение которых может повлечь за собой инфицирование локальной сети банка, перерасход трафика и нецелевое использование бюджета на Internet-ресурсы.

Следует отметить, что ощутимый недостаток примитивной фильтрации по URL-адресам или доменным именам состоит в том, что для этого нужно знать адреса сайтов, доступ к которым необходимо ограничивать или блокировать полностью. Кроме того, списки заблокированных вручную сайтов требуется постоянно обновлять и дополнять.

Более эффективен подход к фильтрации нецелевых ресурсов, который позволяет целиком блокировать нежелательные категории сайтов, такие как «Знакомства», «Социальные сети», «Путешествия» и т. д. Механизмы фильтрации, которые использует, например, UserGate, позволяют администратору получить в свое распоряжение постоянно обновляемую базу сайтов, насчитывающую более 450 млн Internet-страниц на всех языках, сгруппированных в 70 категорий.

Особое внимание в данной технологии фильтрации Internet-трафика уделено покрытию русскоязычной зоны Internet, что делает оптимальным ее использование в банках и финансовых институтах России.

Следующим этапом управления доступом в Internet из локальной сети банка стал контроль активных Internet-приложений. Необходимо формировать корпоративные политики банка по использованию тех или иных приложений, которые будут получать доступ в Internet. Так, например, можно запретить или ограничить использование на рабочем месте ICQ или P2P-сетей, если они не являются необходимыми для работы сотрудников. Кроме того, желательна возможность ограничивать использование приложений до определенной версии, например, администратор может разрешить сотрудникам использование Internet Explorer не ниже версии 8.

Установив, таким образом, гибкие ограничения и запреты, можно гарантировать соблюдение регламента на доступ в Internet сотрудниками банка с компьютеров из локальной сети.

Сокращение затрат на Internet

Затраты на Internet-ресурсы в банковской сфере, как и во многих других, являются важной статьей расходов. Способы экономии средств на трафик будут очевидны при использовании таких инструментов, как статистика посещенных страниц и биллинговая система. Первая позволяет получить представление о том, какие Internet-ресурсы посетили сотрудники, какие файлы загружены, а также дает возможность проанализировать, какая часть из них включает нецелевые ресурсы и должна быть заблокирована.

Биллинговая система, в свою очередь, позволит создавать различные тарифы для доступа в Internet, устанавливать стоимость работы служащих в Internet, назначать гибкие лимиты на допустимые затраты, как в денежном выражении, так и в мегабайтах.

Биллинговая система должна позволять создавать тарифы, ориентируясь на Internet-провайдера либо исходя из специфики работы персонала: задавать стоимость работы сотрудников в Internet по времени суток, дням недели, праздничным дням и многим другим критериям.

Как пример, по результатам внедрения программного комплекса UserGate Proxy & Firewall в банковские структуры совокупная экономия затраченных на Internet-трафик средств составляет порядка 40%.

Заключение

Рассматривая вопросы безопасности при организации доступа в Internet для сотрудников банка, стоит помнить о комплексном подходе к решению подобных задач. Удобство использования комплексного программного решения заключается в том, что, помимо обеспечения всесторонней безопасности локальной сети и значительной экономии средств на трафик, оно позволяет получить детальное представление о работе персонала в Internet посредством разнообразных отчетов, а значит, процессы управления персоналом и повышения производительности труда служащих банка значительно упрощаются.

Алена Маркова (amarkova@ngs.ru)

Поделитесь материалом с коллегами и друзьями

Ссылка на основную публикацию