Март
11

«Веб безопасность» против киберугроз

Сегодня хочу представить первый из линейки новых продуктов консорциума «Инфорус» – сервис «Веб Безопасность» . Руководитель проекта Александр Толстой.

По данным международной организации контроля защищенности веб-приложений OWASP до 80% веб-сайтов содержат уязвимости. По оценке Андрея Масаловича, сформировавшейся за долгие годы работы в сфере информационной безопасности, в Рунете до 95% сайтов содержат те или иные уязвимости, проблемы, дефекты и т.п.  По данным уже упомянутой OWASP на сегодняшний день существует 167 типов уязвимостей. По сведениям Лаборатории Касперского постоянно растет число сайтов и блогов Рунета, содержащих вредоносный код, вирусы и т.п. Более того, наиболее агрессивной виртуальной средой в мире является наш родной Рунет. В прошлом году более половины российских пользователей подвергались кибератакам.

Основными источниками проблем, связанных с информационной безопасностью сайта, являются:

- во-первых, ошибки разработки;

- во-вторых, ошибки администрирования;

- в-третьих, уязвимости платформы (особенно таких платформ, как Joomla, Drupal, WorldPress и т.п.);

-в-четвертых, уязвимости сайтов-соседей;

- в-пятых, уязвимости хостинга.

Широко известны многочисленные случаи нанесения значительного коммерческого ущерба компаниям из-за небрежности администраторов, их забывчивости и т.п. Не так давно Андрей Масалович, используя всем доступный Google, показал, какое количество документов не только, составляющих коммерческую тайну, но и секретных документов, индексируется поисковиком, а значит и доступно для сторонних глаз. И это только простой Google. Если же с сайтом работают опытные хакеры, то риски возрастают в геометрической прогрессии.

Консорциум «Инфорус» недавно создал и запустил уникальный он-лайн сервис по проверке как типовых, так и вновь появляющихся угроз безопасности, чей банк постоянно пополняется. Сервис, созданный командой во главе с Александром Толстым, обеспечивает:

- постоянный контроль защищенности ресурса (сайта, блога);

- мониторинг утечек конфиденциальной информации, в т.ч. из-за небрежности или недостаточной квалификации системного администратора или ошибок в разработке;

- информирование, в случае, если ресурс «заказали» на взлом или о готовящейся DoS атаке;

- сводку конфиденциальных данных, проиндексированных поисковыми машинами на ресурсе;

- контроль защищенности популярных CMS;

- структурированные отчеты о текущем состоянии ресурса;

- значительное снижение расходов на обеспечение безопасности.

«Веб Безопасность» решает проблемы уязвимостей и утечек на основе того, что:

- для каждого типа уязвимостей в структуре сервиса существует специализированный робот;

- осуществляется циклический контроль защищенности, который включает активную фазу с генерацией отчета и фазу для исправления недостатков;

- производится экспресс-тестирование ресурса;

- постоянно и оперативно под выявленные международными организациями новые уязвимости и проблемы создаются новые роботы, включаемые в структуру сервиса.

Сервис в автоматическом режиме периодически, не реже одного раза в неделю запускает имеющийся сканер, состоящий из роботов, и оценивает состояние ресурса, указывая на выявленные проблемы и уязвимости.

Сервис «Веб Безопасность» обладает обширным набором методик, каждая из которых направлена на проверку определенного типа уязвимостей. Все имеющиеся методики можно разделить на три группы:

  1. Поиск уязвимостей программной реализации. К данному типу относится уязвимости, допущенные при создании веб-приложения. Осуществляется поиск возможностей для SQL(XPath, LDAP)-инъекций, XSS уязвимостей, правильность обработки данных пользователя, наличие защиты от автоматических действий. Также осуществляется поиск мест, подверженных DoS-аткам.
  2. Поиск уязвимостей администрирования. В процессе установки и эксплуатирования сайта допускается множество типичных ошибок, которые могут иметь весьма печальные последствия. « Веб  Безопасность» проверяет наличие директорий без индексного файла, наличие служебных файлов и папок, использование типовых паролей, наличие сторонних средств администрирования, а также присутствие стороннего кода. Происходит проверка индексацией поисковыми системами “чувствительных” данных.
  3. Поиск негативных “социальных” проявлений. К данной категории не относятся технические уязвимости как таковые. Происходит поиск различного рода негативной информации о Вашем сайте: публикации на форумах безопасности об обнаруженной у вас уязвимости, просьбы о взломе Вашего сайта или DoS-атаки, раскрытие информации об используемых у вас механизмах защиты. Если Ваш сайт построен на типовой CMS, то также Вы получаете уведомления об обнаруженных проблемах в данной системе.

Для подключения сайта к сервису требуется не более пяти минут. Сначала происходит регистрация на сервисе. Указывается e-mail пользователя, который далее становится логином и пароль. После этого при помощи логина и пароля в личном кабинете на панели настройки вводится имя сайта и его URL.  Ставится галочка (включить проверку), и кликается кнопка – зарегистрировать. Проверка, что пользователь сервиса  является владельцем сайта,  занимает не более часа. В целом могу сказать, что, как и все продукты Андрея Масаловича, он-лайн сервис «Веб Безопасность» предельно дружелюбен, прост для пользователей и доступен любой блондинке.

Отчеты представляются в очень удобной компактной форме. Безусловной находкой сервиса является то, что содержащиеся в отчете данные с одной стороны, ясны и понятны разработчикам сайта, либо системным администраторам, а с другой стороны, благодаря использованию цветовой гаммы (красный, желтый, зеленый), сразу показывают наличие и остроту проблемы безопасности ресурса для владельца сайта, даже если он  ничего не смыслит в программировании и информационной безопасности.

При подключении сайтов первые два полноценных отчета предоставляются бесплатно. Существует три типа пакетов:

базовый – стоимость 50 руб.или 200 руб. в месяц, вы получаете его через сутки,  периодичность сканирования – раз в неделю;

расширенный – стоимость 100 руб.  за отчет или 400 руб. в месяц. Пакет предусматривает за месяц четыре полных цикла  тестирования. Цикл включает четыре дня тестирования, формирование и отправку отчета заказчику. Затем предоставляется три дня на консультации со службой поддержки сервиса и исправление обнаруженных недочетов. Далее сканирование начинается заново;

экспресс  – предусматривает полноценную экспресс-проверку безопасности сайта с получением результата уже через 10 минут. Стоимость – 150 руб.

При этом количество подключаемых сайтов для одного пользователя не ограничено. Он-лайн сервис использует исключительно пассивные методы анализа и не несет никакой опасности и дополнительной нагрузки для сайта.

Сравнение пакетов исследований

Базовый Расширенный Экспресс
Продолжительность выполнения 1 день 4 дня 10 мин.
Количество тестов 6 10 7
Стоимость одного полного исследования 50 руб. 100 руб. 150 руб.
Форма отчета pdf - документ pdf - документ Раздел в личном кабинете-”Экспресс”
Доступность отчета Почта, личный кабинет Почта, личный кабинет Раздел в личном кабинете-”Экспресс”
Перерыв между исследованиями 6 дней 3 дня Произвольный
Цикличность исследований да да Выполняется по требованию

Может возникнуть вопрос, а надо ли быть постоянно подключенным к он-лайн сервису, не достаточно ли одной проверки? С уверенностью можно ответить – нет.  Сайты и блоги – это динамические продукты. Зачастую в их структуру вносятся новые элементы, дополнения, плагины. Кроме того, проблемы могу возникнуть не с сайтом, а у хостера. Наконец, как известно, список проблем и уязвимостей постоянно возрастает, появляются новые зловреды и т.п. Таким образом, всегда есть риск получить «головную боль» даже в ситуации, когда еще  вчера ваш сайт удовлетворял всем необходимым требованиями безопасности.

В общем и целом, «Веб Безопасность»  столь же необходима для сайта или блога, как зубная паста и щетка для человека. И то, и другое требует регулярности. В тотальном мире киберугроз «Веб Безопасность» для сайта должна стать таким же обязательным атрибутом, как хороший, полноценный антивирус для компьютера, ноутбука и т.п.

Следует отметить, что, как по своим возможностям в решении проблем информационной безопасности ресурса, так и по соотношению цены\качества, сервис не имеет конкурентов не только в России, но и, насколько мне известно, за рубежом.


Прокомментировать

 
ОБО МНЕ

Последние записи

Сообщество Практиков Конкурентной разведки (СПКР)

Архивы