Современные методы web-защиты для интернет-магазинов

Современная торговля уже освоила такой канал привлечения и обслуживания клиентов, как Интернет. Преимущество этого канала оценили уже даже самые консервативные продавцы и из экзотической игрушки электронная коммерция превратилась в бизнес с многомиллионными оборотами. 

Экономический кризис только подстегнул рост электронной коммерции – продажи через Интернет позволяют продавцам оптимизировать складские запасы, а также сэкономить на торговых площадях и персонале. Некоторые ритейлеры даже превращают уже имеющиеся магазины в шоу-румы, в которых нет складов, а после выбора понравившегося товара покупатель заказывает его через Сеть с терминала, установленного в магазине. 

Однако, как и всегда в бизнесе, новые возможности несут с собой и новые риски. Да, веб-сайт с возможностью выбрать товар, оплатить заказ и заказать доставку, приносит прибыли и снижает издержки, однако владельцам приходится заботиться о том, чтобы он нормально функционировал, не допускал мошеннических операций, не допускал утечек пользовательских данных и других инцидентов, влияющих на объём продаж, прибыль, лояльность клиентов и санкции регуляторов рынка. Основным рискам для электронной коммерции и возможностям их снижения и будет посвящена эта статья.

Первый фокус защиты – это постоянная доступность магазина. Нет смысла проводить рекламные компании и оптимизировать складские заказы, если пользователи, пройдя по рекламируемому адресу, не получат доступа к сайту. Без сомнения инженерные службы веб-магазинов профессионально обеспечивают работоспособность инфраструктуры, поэтому речь в дальнейшем пойдёт только о внешних воздействиях, то есть атаках.

Есть десятки различных способов сделать магазин недоступным для покупателей. Можно, например, организовать DDoS-атаку (Distributed Denial of Service) - направить на сайт большое количество запросов с заражённых компьютеров, управляемых злоумышленниками, так называемых бот-сетей. Атакующие запросы формируются так, чтобы обрабатывая их, сервер приложения тратил на них много времени, но не отклонял. Занятый обработкой атакующих запросов сервер не сможет обработать запросы настоящих покупателей. Опасность таких атак ещё и в том, что сейчас стоимость достаточно мощной DDoS-атаки составляет на рынке CaaS (Crime-as-a-Service) десятки долларов в час, что открывает немалые возможности для нечестной конкуренции.

Того же эффекта злоумышленники могут достигнуть и другими способами: например, используя уязвимость или взломав пароль администратора, поставить на сайт ссылку, заражающую компьютеры посетителей вредоносным программным обеспечением – через некоторое время сайт попадёт в базы данных антивирусных компаний, как небезопасный и браузеры будут блокировать доступ к нему.

Иногда, понимая, что атака на доступность сайта может приносить колоссальные убытки, атакующие вымогают деньги за прекращение атаки. Известны случаи успешных расследований таких вымогательств полицией и ФСБ, из публичных историй можно вспомнить атаки на Аэрофлот и Банк Тинькофф-Кредитные системы.

Но и сайт, сохраняющий свою доступность, тоже может нести в себе угрозу. На сайте может храниться конфиденциальная информация – данные учётных записей (личных кабинетов) клиентов сайта, которые могут содержать не только персональные данные – фамилии, имена, отчества, номер мобильного телефона, адрес доставки и т.п., но и данные привязанных к личному кабинету платёжных карт, которые злоумышленники могут использовать для оплаты товаров. 

Чем крупнее электронный магазин, чем больше у него зарегистрированных пользователей, тем больший интерес представляет база учётных записей клиентов компании, которая хранится на сайте. Такая информация стоит хороших денег потому, что с её помощью можно получить прямую выгоду – использовать данные кредитной карты для оплаты своих покупок или оплачивать товары от имени легальных пользователей, но указывать другой адрес доставки. 

А совсем недавно был взломан сайт компании Uber. И злоумышленники расплачивались за свои поездки средствами кредитных карт, привязанных к учётным записям ничего не подозревающих пользователей. Понятно, что такие инциденты не прибавляют клиентам, особенно пострадавшим, лояльности к сервису. 

Важно, чтобы информация на сайте соответствовала тому, что хотели разместить его разработчики. Это особенно важно для коммерческих сайтов – искажение информации о товаре может привести к отказу клиента от покупки или отказу магазина от поставки оплаченного по неправильно выставленной цене товара. Случаются более сложные атаки, чем подмена цены или описания товара: например, злоумышленники подменяют телефон «горячей линии» или ссылки с кнопки «купить» на соответствующие данные реального или мошеннического магазина, перенаправляя на него покупателей, уже готовых купить товар после ознакомления на атакуемом сайте.

Меняют содержимое сайта и не из коммерческих, а из хулиганских или политических побуждений. Хакеры могут просто написать что-то неприличное на странице сайта, а могут и разместить экстремистские призывы, рекламу наркотиков, логотипы и лозунги запрещённых в России террористических организаций. Такие «шалости» вовсе не безобидны – сайты с экстремистской информацией заносятся в «чёрные списки» регуляторов и могут блокироваться.

Доверяя программистам реализовывать бизнес-процессы, компании зачастую не проверяют запускаемое приложение на наличие так называемых «недекларированных возможностей» - функционала, не предусмотренного в техническом задании. Это могут быть как служебные функции, например, отладочные ветви, упрощающие некоторые операции в процессе тестового функционирования сервиса, так и намеренные «закладки», реализующие возможности злонамеренных операций. 

Автор статьи участвовал в экспертизе по уголовному делу, согласно которому, программисты, уволенные из компании, занимающейся торговлей электроникой, похитили товара на миллионы рублей, используя ими же созданную функцию обхода платежа. Причём это не была специальная «закладка»: чтобы на этапе отладки платёжного сервиса сайта не гонять деньги с платёжной карты на счёт, в программу была внесена возможность поставить заказу статус «оплачено» без перевода денег, а просто путём нажатия определённой комбинации клавиш. После запуска программы в продуктив, эта возможность не была удалена или заблокирована и обиженные программисты ею воспользовались.

Чтобы вышеупомянутые угрозы не реализовались, необходимо так реализовать процессы создания и постоянного обновления веб-магазина, а также процессы настройки систем защиты веб-сайта, чтобы недостатки и уязвимости, которые неизбежно будут появляться при обновлениях, «закрывались» системами безопасности.

Бизнес электронной торговли требует постоянных изменений веб-сайта: новые клиенты, новые товары, новые цены, новые маркетинговые программы, новый функционал, обратная связь с клиентами – всё это меняет сайт, его содержимое и функциональность. Лидеры отрасли делают в день уже тысячи изменений своих настроек. Герман Греф на Гайдаровском форуме утверждал, что лидер он-лайн ритейла компания Amazon.com ежедневно проводит до сорока тысяч изменений в своих информационных системах. 

Каждое изменение несёт потенциальную угрозу. Новый клиент может открыть новый личный кабинет с простым и легко взламываемым паролем. Новый функционал на сайте может нести в себе уязвимость. Новая публикация отзыва или новое описание товара могут содержать вредоносную ссылку. Но мы не можем остановить востребованные бизнес-функции на несколько дней или недель для дополнительного тестирования – скорость изменений в этом бизнесе очень важна.

Существует много систем защиты веб-приложений, как интегрированных, так и специализированных: различного рода сканеры, анти-DDoS продукты и сервисы, межсетевые экраны прикладного уровня (WAF-web application firewall). Сегодняшняя проблема внешних (на сленге – “навесных”) систем защиты в том, что они не успевают перестраиваться так быстро, как меняется объект защиты.

Два основных способа изменения настроек систем защиты – это изменения вручную и самообучение. Ни один из этих способов не работает при частоте изменений даже сто изменений в сутки. По эксплуатационной документации на WAF, например, самообучение такого продукта занимает от одного до трёх часов, то есть если объект защиты меняется чаще одного раза в час, то все новые функции будут восприниматься системой защиты как аномалии и блокироваться. Для того же, чтобы постоянно настраивать систему защиты вручную, надо иметь солидную профессиональную команду, работающую в круглосуточном режиме.

Статистика по хакерским атакам не так достоверна – многие успешные атаки либо не становятся известны вообще или замалчиваются пострадавшей стороной – но и она говорит о постоянном росте атак именно на функционал, написанный собственными разработчиками компаний, меньше тренированных писать безопасный код, чем сотрудники компаний-производителей программного обеспечения.

Невозможность «включить защиту и забыть про неё» диктует две выигрышных стратегии: пассивную и активную.

Пассивная стратегия заключается в том, чтобы включить все системы защиты в пассивный режим, то есть отключить возможность блокирования вредоносных операций. При этом трафик (а точнее – его копия) к торговому сайту и операции на нём анализируется различными системами – от анти-DDoS до антифрода, собирая, нормализуя и коррелируя сообщения о событиях. За событиями следит дежурная смена информационной безопасности, которая, заподозрив атаку, принимает решение её отразить и делает это вручную – например, переключает трафик на центр очистки от трафика DDoS-атаки, сбрасывает подозрительное соединение, блокирует скомпрометированную учётную запись и т.п.

Плюсом такого подхода является возможность использования параллельно многих систем защиты (какая-нибудь из них да определит атаку). Минусом же является делегирование принятия решения операторам системы контроля. Это требует нанимать дорогую команду информационной безопасности, что при интенсивном трафике не гарантирует отсутствия инцидентов – бывает, что решения операторами принимаются, когда уже поздно – атака уже прошла.

Активная стратегия выражается в выборе решений, способных без ложных срабатываний работать в режиме блокировки, и интеграции их таким образом, чтобы настройки менялись автоматически. Любое изменение на защищаемом сайте должно немедленно исследоваться на предмет наличия уязвимостей, найденные уязвимости должны отправляться на исправление ответственным за этот функционал – администраторам, инженерам или программистам – а до исправления возможность злонамеренной эксплуатации функционала должно блокироваться «навесными» системами информационной безопасности. Наиболее частая связка активных систем безопасности – статический сканер исследует код приложения, находит в нём уязвимости, которые анализируются динамическим сканером для отметания ложных срабатываний, далее найденные и подтверждённые возможностью эксплуатации уязвимости передаются WAF и анти-DDoS, которые блокируют опасные обращения к эти уязвимостям. Параллельно информация об уязвимостях с рекомендациями по исправлению передаётся программистам или инженерам, в зависимости от того, что надо менять – функционал приложения, содержимое сайта или настройки инфраструктуры.

Плюсом такого решения является активность, интегрированность и независимость от человека – однажды настроенное решение работает само собой, без ложных срабатываний отбивая атаки. Клиенты таких решений об атаках узнают из отчётов и могут использовать своих квалифицированных специалистов для более творческой работы, чем дежурства. Такие решения особенно стали востребованы в условиях экономического кризиса, когда не каждая торговая площадка может позволить себе несколько смен квалифицированных специалистов информационной безопасности для круглосуточных дежурств.

Минусом такой системы является техническая трудность интеграции систем, которые есть у владельцев веб-сайта или его хостинга. Интегрированных решений «от края до края от одного производителя» на рынке нет, и сами производители отдельных решений не спешат интегрироваться. Поэтому интеграцию обычно проводят системные интеграторы, которые обычно досконально знают одно-два решения и не могут интегрировать «что угодно с чем угодно».

С наступлением финансового и экономического кризиса компании стали экономить на дорогом персонале и смотреть в сторону активных интегрированных автоматических решений. Ответом на это стали продуктовые альянсы, объединяющие уже на уровне производителей, а не интеграторов, сильные нишевые решения: статические и динамические сканеры, WAF и anti-DDoS.

Пассивные же решения с ручным управлением в кризис всё чаще отдаются на аутсорсинг – то есть все информационные потоки об аномалиях в трафике и транзакциях передаются внешнему подрядчику, который и сигнализирует о начале атаки с рекомендациями по её отражению.

Оба подхода имеют своих поклонников и отлаженные процессы. Выбор подхода, а затем и инструментов его реализации должен проводиться на основе анализа рисков конкретного web-приложения, как технических, так и бизнес-рисков.