Читайте РБК без баннеров

Подписка отключает баннерную рекламу на сайтах РБК и обеспечивает его корректную работу

Всего 90₽ 30₽ в месяц для 3-х устройств

Продлевается автоматически каждый месяц, но вы всегда сможете отписаться

Прямой эфир
Ошибка воспроизведения видео. Пожалуйста, обновите ваш браузер.
Лента новостей
PRO Все новости
Успех фитнес-центров: что учесть, чтобы не провалиться Услуги, 13 дек, 17:57 Различий нет: Анастасия Бородина — о психологии начальников и подчиненных HR, 13 дек, 16:58  Просто спросите эксперта: наем продавцов и руководителей в ретейле HR, 13 дек, 16:28 Матери-основательницы: как сеть детсадов выручает ₽200 млн на билингвах Услуги, 13 дек, 16:26 Музыкальные технологии: на чем можно заработать. Дайджест иностранных СМИ IT, 13 дек, 15:59 Что ждет бизнес от закона о цифровых финансовых активах Право, 13 дек, 15:03 Стопроцентный рост: с какими показателями FMCG покоряет онлайн Потребительские товары, 13 дек, 14:00 Регион избалованных кандидатов: как нанять сотрудников в Азии HR, 13 дек, 12:56 Как «ПИК-Индустрия» использует принципы McDonald's и Uber на стройке Строительство, 13 дек, 11:55 Почему большинство онлайн-сервисов так и не запускается IT, 13 дек, 10:57 Как Chanel собралась одолеть гигантов рынка элитных часов — Bloomberg Маркетинг, 13 дек, 10:06 Как лейбл из XIX века приспосабливается к «цифре» IT, 13 дек, 09:12 Открыть бизнес в новой стране: пять советов эксперта платежной отрасли Интернет-торговля, 13 дек, 07:45 Банки обсуждают новые меры борьбы с переводами средств мошенникам Финансы, 13 дек, 07:00
 
0 
Защита автоматом: как обезопасить сайт от новых угроз
IT
Бизнес в интернете — это не только безграничные возможности, но и постоянные риски. Как защитить свое веб-приложение не только от всем известных атак, но и от новых видов угроз, рассказал Рустэм Хайретдинов, вице-президент ГК InfoWatch
Фото: @berkeleycommunications / unsplash

В погоне за скоростью запуска веб-приложения на рынок, разработчики часто используют готовые компоненты, которые могут содержать уязвимости и даже закладки (скрытые возможности, с помощью которых можно получить несанкционированный доступ к системе). Кроме того, даже готовые функции сайтов постоянно видоизменяются по требованиям клиентов или регуляторов.

Зачастую из простой маркетинговой странички «вырастает» полноценный интернет-магазин, с личным кабинетом, онлайн-платежами и чатами с менеджерами. В итоге защитить такое бизнес-приложение сложно, ведь никто заранее не думал об этом. Главной целью было получить продукт, который будет приносить доход, а не тратить время на «пустяки».

Рисков же в Сети не счесть — это и атаки типа «отказ в обслуживании» (DoS/DDoS-атаки), и похищение данных, и мошеннические действия (например, получение товара без оплаты), и перенаправление трафика, и подмена информации на сайте (как из хулиганских побуждений, так и с целью введения пользователя в заблуждение, или для раздачи вредоносных программ).

Более того, в мире постоянных кибервойн можно стать жертвой даже тогда, когда ты не являешься целью. Достаточно того, чтобы на вашем сайте была такая же уязвимость, или использовать для хостинга своего приложения тот же дата-центр, где находится изначальная «цель». К тому же за любой внешней атакой есть след внутренних сотрудников, которые по ошибке, халатности, из-за недостатка квалификации, или намерено совершили действие, которое сделало атаку возможной. Например, перешли по опасной ссылке, запустили вредоносное приложение, выбрали слишком простой пароль, настроили систему «по умолчанию», ошиблись в кодировании приложения и т.д.

Чем сложнее архитектура приложения и инфраструктура его работы, а также чем больше кода от разных разработчиков — тем сложнее его защита.

Защитить нельзя расследовать

Специалисты по безопасности давно научились защищать простые и стабильные веб-приложения. Но таких сайтов уже немного, современные сайты — это сложный постоянно меняющийся комплекс. Поэтому защита должна учитывать не только то, как ведут себя атакующие, но и то, как реагирует на это поведение само приложение.

Пожалуйста, представьтесь, чтобы получить бесплатный доступ