Как повысить безопасность веб-проекта при этом сохранить удобство его администрирования
Веб-мастера и владельцы сайтов, уже имеющие опыт защиты веб-проектов, знают, что комплексная безопасность сайта – это не разовое действие, а непрерывный процесс. И, надо отметить, процесс не всегда удобный. Регулярная смена паролей, контроль за доступами, которые передаются подрядчикам, отключение и включение защиты для внесения изменений в скрипты… Ну, разве это комфортно? – Не очень.
Но у комфорта есть и другая сторона: если все легко вам, то легко и хакерам, поэтому приходится мириться и привыкать к некоторым неудобным процедурам. (Безусловно, исключения составляют те случаи, когда у вас есть бюджет, чтобы отдать все вопросы по безопасности сайта на аутсорсинг в специализированную компанию и жить спокойной жизнью, не переживая о том, что вас взломают. Или у компании есть собственный штат безопасников, в обязанности которых входит обеспечение бесперебойной работы сайта и защита от атак).
По большому счету «неудобство» - вещь относительная. Речь скорее идет об изменениях реалий интернета. Веб-среда стала более агрессивной и требует изменения нашего отношения к безопасности: мы должны поменять привычки, сформировать новые навыки, необходимость в которых раньше или отсутствовала вовсе, или была не столь значительной. И это дается с трудом. Еще бы! Мы живем в мире, где все делается для повышения комфорта пользователя: запомнить пароль в браузере (чтобы каждый раз не вспоминать ту мучительно-сложную комбинацию); войти в новый сервис через часто используемую соцсеть (чтобы «не напрягаться» с еще одной регистрацией, не придумывать новый пароль, не искать его в списке существующих).
Но если рассуждать с точки зрения безопасности, то многое, что сегодня способствует нашему комфорту – увы, зло. Так что же делать?
Во-первых, менять свое отношение к работе в интернете. Сегодня это вполне себе агрессивное цифровое пространство, где существует довольно много «орков» и «гремлинов», желающих укусить вас побольнее. Во-вторых, искать тот самый баланс между безопасностью сайта и удобством его администрирования. Кому нужен защищенный от хакерских атак сайт, с которым невозможно работать?
Итак, ищем золотую середину, и у каждого веб-проекта она будет своя.
Но прежде чем пуститься в поиски, хотелось бы ненадолго остановиться на понятии «комплексной безопасности». Из чего состоит этот самый комплекс?
Комплексная безопасность сайта состоит из двух основополагающих элементов: технические средства защиты и организационные меры защиты.
Первый блок решается за счет тех.специалистов, чаще всего привлеченных извне. Технические средства защиты помогают укрепить обороноспособность сайта против веб-атак, и это очень важно, так как в восьми из десяти случаев взлом сайта происходит именно через веб-уязвимости.
Но какими бы эффективными ни были технические средства защиты, они будут бессильны, если администрирование сайта выполняется без учета техники безопасности при работе с веб-ресурсом и учетными записями.
Поэтому очень важен второй блок – организационные меры, которые должны контролироваться владельцем сайта. Кстати, именно организационные меры защиты часто игнорируются. Если технические параметры защиты можно разово настроить, то для соблюдения организационных мер нужен постоянный контроль. Тот самый «неудобный» контроль.
Сочетание технических средств защиты и организационных мер позволяет максимально снизить риски взлома и заражения. Однако владелец сайта должен быть готов к тому, что однажды все может пойти не так, и на этот случай тоже должен быть разработан план действий – к кому обратиться, если сайт взломают и что нужно делать в первую очередь, чтобы оперативно возобновить работу веб-ресурса и не потерять клиентов.
«Динамичные VS Статичные» или поиск баланса
Условно все сайты можно разделить на два типа – это динамичные проекты, развитие которых идет постоянно, и статичные, где информация фактически не обновляется, или обновляется редко и в определенных разделах.
Защитить статичные проекты намного проще, так как можно по максимум использовать технические средства защиты. То есть применить безопасные настройки, объяснить секретарше, как безопасно обновлять новости на сайте и дальше веб-проект продолжает жить своей «скучной» статичной жизнью, не доставляя своим владельцам никаких проблем.
Совсем другая история – динамичные проекты. У них постоянно что-то редактируется, обновляется, импортируется и экспортируется. Над проектом работает несколько человек, доступы есть у нескольких администраторов, иногда это не подрядчики, работающие по договору, а фрилансеры, не несущие по сути никакой ответственности за подшефный сайт. Защитить такой проект только техническими средствами практически невозможно.
Любые ограничения и запреты (то есть защита сайта техническими средствами) могут мешать работе, усложнять администрирование сайта или существенно увеличивать время на выполнение каких-то операций. Поэтому безопасность динамичных проектов во многом зависит от организационных мер.
Другими словами, если безопасность статичных веб-проектов обеспечивается за счет 80% тех. средств и 20% орг. мер, то в случае с динамичными это соотношение меняется. Для удобства администрирования сайта технические средства используются не полностью, и эти «пробелы» в защите сайта компенсируются именно за счет организационных мер.
Рассмотрим пример с активно развивающимся интернет-магазином, с которым, предположим, работает несколько удаленных администраторов, команда SEO и техподдержка, занимающаяся его кастомизацией.
Если такой проект защитить по аналогии с интернет-представительством компании, где обновляются только новости, то возникнет целый ряд проблем. Технические ограничения и запреты, которые необходимы для того, чтобы хакер не смог успешно атаковать сайт и загрузить на него веб-шелл, будут мешать команде разработчиков. Серверная аутентификация (защита админ панели сайта от брут-форс атак) будет препятствовать автоматическому обмену данными с 1C и другими базами данных. SEO-специалисты и администраторы станут жаловаться на то, что не могут свободно загружать фотографии и работать с контентом.
Да, некоторые технические моменты могут быть сглажены альтернативными техническими решениями, кастомизированными под нужды конкретного сайта. Но не все. И в результате в защите сайта останутся «пробелы», которые могут быть использованы злоумышленниками для атаки. Эти пробелы как раз можно и нужно закрыть с помощью организационных мер – усиленного контроля за процессом обновления сайта со стороны владельца веб-ресурса, расширенного мониторинга и регулярного аудита (см. Рис. 1).
Работа с подрядчиками
По нашей статистике, порядка 20% сайтов взламываются по вине сотрудников, подрядчиков или владельца сайта. Зараженные компьютеры, отсутствие коммерческого антивирусного программного обеспечения, передача доступов от сайта и хостинга по незащищенным каналам, администрирование сайта через публичные Wi-Fi сети без подключения по VPN (Virtual Private Network) благоприятствуют получению хакерами доступов к FTP, административной панели сайта, хостингу и прочим чувствительным данным.
В условиях, когда на 100% доверять никому нельзя (взломать могут кого угодно и что угодно), соблюдение организационных мер безопасности крайне необходимо. Пусть, ни один фрилансер не признается, что решение оперативной задачи застало его в кафе и он воспользовался подключением по которому Wi-Fi, но владелец сайта всегда может:
1) проверить сайт на предмет взлома и заражения бесплатными сканером AI-BOLIT (сканер файлов на хостинге, выполняющий статический анализ) и веб-сканером ReScan.Pro (сканер страниц сайта, выполняющий динамический, поведенческий анализ)
2) сразу поменять доступы к сайту и хостингу
3) удалить пользователя, которого создавал для решения задачи по сайту сразу после завершения работ.
В качестве заключения
Для каждого сайта можно подобрать свой вариант защиты с максимальным комфортом администрирования и соблюдением необходимых мер безопасности. Чтобы сделать этот баланс проще, можно руководствоваться четырьмя простыми правилами:
1) Автоматизировать все рутинные процессы, но следить за тем, что эти процессы надлежащим образом выполнялись;
2) Сформулировать правила безопасной работы с сайтом для сотрудников и подрядчиков и контролировать их соблюдение со своей стороны.
3) Выполнять мониторинг безопасности сайта на всех уровнях (тех. средства и орг. мерами).
4) При недостаточной компетенции и квалификации в решении технических вопросов обращаться к специалистам по безопасности.
