В погоне за скоростью запуска веб-приложения на рынок, разработчики часто используют готовые компоненты, которые могут содержать уязвимости и даже закладки (скрытые возможности, с помощью которых можно получить несанкционированный доступ к системе). Кроме того, даже готовые функции сайтов постоянно видоизменяются по требованиям клиентов или регуляторов.
Зачастую из простой маркетинговой странички «вырастает» полноценный интернет-магазин, с личным кабинетом, онлайн-платежами и чатами с менеджерами. В итоге защитить такое бизнес-приложение сложно, ведь никто заранее не думал об этом. Главной целью было получить продукт, который будет приносить доход, а не тратить время на «пустяки».
Рисков же в Сети не счесть — это и атаки типа «отказ в обслуживании» (DoS/DDoS-атаки), и похищение данных, и мошеннические действия (например, получение товара без оплаты), и перенаправление трафика, и подмена информации на сайте (как из хулиганских побуждений, так и с целью введения пользователя в заблуждение, или для раздачи вредоносных программ).
Более того, в мире постоянных кибервойн можно стать жертвой даже тогда, когда ты не являешься целью. Достаточно того, чтобы на вашем сайте была такая же уязвимость, или использовать для хостинга своего приложения тот же дата-центр, где находится изначальная «цель». К тому же за любой внешней атакой есть след внутренних сотрудников, которые по ошибке, халатности, из-за недостатка квалификации, или намерено совершили действие, которое сделало атаку возможной. Например, перешли по опасной ссылке, запустили вредоносное приложение, выбрали слишком простой пароль, настроили систему «по умолчанию», ошиблись в кодировании приложения и т.д.
Чем сложнее архитектура приложения и инфраструктура его работы, а также чем больше кода от разных разработчиков — тем сложнее его защита.
Защитить нельзя расследовать
Специалисты по безопасности давно научились защищать простые и стабильные веб-приложения. Но таких сайтов уже немного, современные сайты — это сложный постоянно меняющийся комплекс. Поэтому защита должна учитывать не только то, как ведут себя атакующие, но и то, как реагирует на это поведение само приложение.
