Как онлайн-магазины могут защитить свои сайты и приложения от взлома хакерами

Кибератаки на онлайн-ритейл происходят все чаще, ведь множество персональных и платежных данных покупателей привлекает хакеров. Так, за минувший год количество только DDoS-атак на интернет-магазины увеличилось в два раза. При этом чаще всего злоумышленники выбирают для нападения веб-приложение, то есть продающий сайт магазина. Такие ресурсы нередко содержат уязвимости, которые позволяют проникнуть в инфраструктуру организации. 

При этом, как показывают проводимые экспертами «Ростелеком-Солар» тестирования на проникновение, большая часть таких уязвимостей совсем несложная в эксплуатации, то есть может использоваться для атаки даже киберхулиганами с низкой квалификацией. 

О том, как ритейлеру защитить свое веб-приложение и предотвратить кибератаку, рассказывает Тимур Ибрагимов, руководитель направлений Anti-DDoS и WAF платформы сервисов кибербезопасности Solar MSS компании «Ростелеком-Солар».


В чем уязвимость веб-приложений?

Регулярные тестирования на проникновение, показывают, что веб-приложения – это самый слабый элемент на ИТ-периметре большинства организаций. 

57% таких ресурсов содержат критические ошибки, позволяющие хакерам реализовать успешную атаку. Это может быть доступ в локальную сеть компании, получение контроля над сервером, нарушение работы самого приложения, распространение вредоносного ПО, хищение базы данных, проведение мошеннических транзакций и многое другое. 

По оценке экспертов «Ростелеком-Солар», чаще всего в веб-приложениях встречается некорректная настройка прав доступа. Благодаря этой уязвимости пользователь может выполнять действия, на которые у него не должно быть прав. Например, повысить свою учетную запись до уровня администратора. Такие ошибки обусловлены сложной логикой современных веб-приложений, которые предполагают большое количество пользовательских ролей с различным функционалом и привилегиями.

Еще одна распространенная уязвимость - раскрытие конфигурационных данных веб-приложения. В этом случае злоумышленник получает информацию о структуре атакуемого ресурса (внутренние IP-адреса, API-ключи, отладочные сценарии, журналы приложений). Эта информация также помогает ему взломать ресурс и получить доступ к серверу, кроме того, в журналах приложений иногда хранятся данные клиентов и сотрудников компаний. 

Некоторые обнаруженные уязвимости позволяют проникнуть в сеть компании даже без полного «захвата» приложения. Например, подделав запрос на стороне сервера. С помощью данной уязвимости злоумышленник может отправлять от имени сервера запросы как к внешним, так и к внутренним ресурсам и извлекать закрытую информацию из системы. Это происходит из-за того, что приложение, получив URL-адрес или HTTP-сообщение, не проверяет адреса назначения перед отправкой запроса. 

Также в некоторых системах эксперты нашли ошибки, позволяющие совершить атаку непосредственно на пользователя (например, межсайтовый скриптинг). Атаки работают так: в приложение внедряется JavaScript-код, который затем исполняется в браузере жертвы. Цели у хакеров могут быть разные: выполнение действий от имени пользователя, кража его личных данных, майнинг криптовалют и многое другое. Подобные атаки могут сильно подорвать репутацию ритейлера, который не смог защитить своих клиентов. Кроме того, утечка пользовательских данных может привести к проверкам со стороны Роскомнадзора.



 
Как защитить приложение?

Во многих организациях сегодня используют межсетевые экраны, которые стоят на границе доверенной внутренней сети и фильтруют трафик, который поступает в организацию из интернета. Казалось бы, такой фильтр должен защитить и веб-приложения, но его функционал для этого не подходит. Межсетевые экраны ориентированы на угрозы сетевого и транспортного уровней. Это атаки непосредственно на канал связи или сетевую инфраструктуру, например, сервер. Веб-приложения же работают на более высоком прикладном уровне, который взаимодействует с пользователем. 

В некоторых компаниях есть система предотвращения вторжений, но она тоже не учитывает логику работы приложений (наличие множества сессий, cookies и т. д.), а применяемые там сигнатуры не учитывают 0-day-уязвимости, то есть те, против которых еще не выстроены механизмы защиты. 

Именно поэтому для противостояния веб-угрозам нужно специальное решение – Web Application Firewall (WAF), то есть межсетевой экран уровня веб-приложений. Он защитит от сложных угроз, например, попыток кражи и изменения данных приложений, от DDoS-атак уровня приложений и атак 0-day. Кроме того, WAF позволяет заблокировать уязвимости до тех пор, пока разработчики их не закроют.

Эти ИБ-угрозы особенно актуальны для онлайн-ритейлеров. Интернет-магазины, как правило, включают много прикладных систем, часто обновляются и содержат объемные базы данных. Взлом таких ресурсов критичен для бизнеса и может вылиться в десятки миллионов рублей ущерба. Именно поэтому WAF сейчас становится необходимым атрибутом для обеспечения информационной безопасности именно в онлайн-торговле.


 

Как работает WAF?

Пропуская весь трафик через себя, WAF блокирует подозрительные запросы. Например, от ненадежного IP-адреса или трафик с признаками ботнета, фрода, атак подбора пароля и т.д. 

Организация может установить и эксплуатировать WAF самостоятельно, а может приобрести соответствующий сервис у сервис-провайдера (например, «Ростелеком-Солар» предоставляет сервис WAF на платформе управляемых сервисов кибербезопасности Solar MSS). 

В первом случае компания интегрирует в свою сеть физическое устройство WAF или виртуальную машину (то есть ПО WAF и оборудование, на котором оно будет развернуто). Также при самостоятельной установке потребуется регулярное обновление ПО (до нескольких раз в год), а при использовании физического устройства – его замена в среднем раз в 5 лет.

Кроме того, для корректной работы WAF требуется грамотная настройка правил фильтрации, а это сложный и долгий процесс, который не всегда может быть реализован силами штатных безопасников. Это значит, что организации придется нанять компанию-интегратора для регулярной настройки и отладки оборудования. Это, между тем, необходимо делать после каждого внесенного изменения на веб-сервере, включая обычное обновление текста или иллюстраций на сайте, корректировку количества пользователей приложения, обновление защиты при появлении новых уязвимостей и многое другое.
   
В случае если WAF приобретается в рамках сервисной модели, то есть из облака, его настройку и эксплуатацию обеспечивает сервис-провайдер. Компании же не нужно покупать собственное железо и ПО. При такой модели нет необходимости переносить сам веб-ресурс в облако – он продолжает функционировать на сервере ритейлера.

 

Что дешевле?

Техническая сторона вопроса играет важную роль в выборе того или иного ИБ-решения. Однако для многих компаний ключевой становится стоимость услуги и возможность сэкономить. Сравним траты на WAF по традиционной и сервисной моделям. 

Итак, при самостоятельной установке WAF затраты компании делятся на:

● единовременные на старте проекта (разработка архитектуры решения, закупка оборудования и обучение сотрудников для работы с WAF);

● регулярные (зарплата и содержание штата сотрудников, лицензии на ПО);

● стоимость замены всего аппаратного решения через 5 лет.

---

Читайте также: Сколько и как можно сэкономить на кибербезопасности и каналах связи

---

Сервис, напротив, не требует от владельца бизнеса крупных капитальных затрат на страте проекта, так как не нужно тратиться на собственное оборудование и его подключение. При этом и по совокупным затратам услуга по подписке позволяет компании значительно сэкономить на WAF.

На примере клиентов «Ростелеком-Солар» мы видим, что в первый год эксплуатации сервис WAF обходится в среднем на 50% дешевле, чем собственный in-house проект. В перспективе 5 лет экономия составит примерно 30% ежегодно. К тому же сервисная модель позволяет не только сэкономить, но и спрогнозировать расходы, равномерно распределив их на весь период эксплуатации. 

Таким образом, WAF как сервис дает ритейлеру возможность решить специфическую задачу по ИБ-защите онлайн-ресурса по приемлемой цене, и при этом не отвлекаться от основного вида деятельности.

Тимур Ибрагимов, 
руководитель направлений Anti-DDoS и WAF платформы сервисов кибербезопасности Solar MSS компании «Ростелеком-Солар».

Для New Retail