Облачные инфраструктура и сервисы для безопасности интернет-магазина


Интернет-магазины — лакомый кусочек для кибермошенников, так как агрегируют большое количество данных пользователей. ФИО, номера телефонов, данные платёжных карт пользователей находятся под угрозой, ведь раз есть спрос, будет и предложение. Стоимость БД крупного интернет-магазина на чёрном рынке может стоить несколько миллионов рублей.

ИТ-команде магазина необязательно привлекать штат специалистов по информационной безопасности. Часть задач по защите данных пользователей можно делегировать провайдерам облачных услуг. Какие сервисы защиты существуют на рынке и когда они нужны? Давайте разбираться.

Угрозы интернет-магазинам

Пытаясь найти уязвимые места любого сайта, хакеры пробуют разные подходы. Они тестируют формы на сайте, сканируют сетевые порты, проверяют уязвимости в установленном ПО на веб-сервере и СУБД. Очень часто обнаруженные уязвимости являются следствием невнимательности и халатности (например, сисадмин забыл закрыть какой-то порт или не установил вовремя нужный патч) или недоработанной архитектуры приложения.

Среди способов атаки на интернет-магазины выделяют следующие:

1. DDoS. Атаки, которые приводят к перегрузке и выходу из строя инфраструктуры. Злоумышленники генерируют большой объём мусорных запросов, обращающихся к сайту магазина. В результате перегрузки ИТ-оборудование начинает отказывать. Часто DDoS-атаки проводятся с участием ботнета — большого количества хостов (компьютеров) с запущенными ботами. Участниками ботнет-сети могут быть даже обычные пользователи, чей компьютер оказался заражён. Чем более доступен интернет-магазин для активности неавторизованных пользователей, тем больше точек возможного проникновения. Интересно, что DDoS-атаки часто используются как «показательная порка». Злоумышленники добиваются падения сайта, после чего требуют деньги за то, чтобы атака прекратилась или не повторялась.

2. Боты-парсеры. Это не совсем прямая атака, но тоже опасное явление. Боты-парсеры ищут только определённую информацию: цены на сайте, email покупателей и сотрудников. А могут искать открытые порты или проверять формы на предмет доступа в инфраструктуру.

3. SMS-бомбинг. Здесь есть две ситуации. Первая — когда злоумышленники атакуют системы рассылки SMS, чтобы пользователи не могли получить сообщение о заказе или авторизоваться в системе при двухфакторной авторизации. Вторая — когда выполняется компрометация инфраструктуры с целью массовой рассылки SMS по всей базе пользователей. Даже если SMS будут безобидными, то есть не содержащими вредоносных ссылок, интернет-магазин всё равно понесёт большие убытки.

4. Эксплуатация уязвимостей в коде сайта. Киберпреступники освоили большое количество способов атак на слабые места семейства протоколов HTTP. Есть даже автоматические системы наподобие OSINT-SAN, упрощающие задачу в том числе и злоумышленникам. Ответной реакцией стала публикация рейтингов наиболее серьёзных угроз для веба. Веб-разработчикам рекомендуется следить за этими списками и своевременно реагировать на новые угрозы.

Бывает и так, что к компрометации данных пользователей хакеры непричастны. Человеческий фактор часто становится причиной частичного и полного удаления БД, утечке данных наружу. Причём это может коснуться любую компанию. Вспомнить можно историю с GitLab, когда администратор перепутал консоли и удалил БД PostgreSQL с пользовательскими данными. Нечто похожее однажды произошло и с облаком Яндекса, когда были случайно удалены виртуальные сервера.

Сбой оборудования тоже может привести к потере данных. Даже оборудование Hi-End- класса не защищено от сбоев. Если не предусмотреть риски, сайт может ощутимо пострадать. Поэтому важно, чтобы был план аварийного восстановления на резервной инфраструктуре. У облачных провайдеров, как правило, есть сервисы для решения подобных задач.

Инструменты защиты интернет-магазинов

1. NGFW. Межсетевой экран нового поколения, который рекомендовано использовать в корпоративной среде. NGFW мониторит трафик пользователей на предмет обращений к потенциально опасным ресурсам, а также могут стать решением для организации VPN-туннелей. С точки зрения защиты интернет-магазинов NGFW нужны для создания щита от внешнего проникновения в инфраструктуру и доступа к критически важным сетевым компонентам.

Кроме того, на такие файерволы возлагается задача по защите сервера от заражения во время его подключения к интернету и препятствованию перехвата трафика при взаимодействии сетевых сегментов между собой. Если корпоративная инфраструктура магазина размещена в облаке, есть резон создать отдельный сегмент для работы сотрудников с локальными ресурсами на базе NGFW.

2. Системы анти-DDoS. Эти программные решения используются для фильтрации «мусорного» трафика, не позволяя подозрительным запросам перегрузить оборудование. Необходимы для защиты ИТ-инфраструктуры, веб-приложений и онлайн-сервисов от DDoS-атак любой мощности. С помощью анти-DDoS систем интернет-магазин может защититься от атак на пропускную способность канала, сетевую инфраструктуру, протоколы.

Благодаря распределённой архитектуре сети, которую строят анти-DDoS решения, атаки блокируются за несколько секунд, а трафик на конечном сетевом оборудовании не превышает заданные лимиты. Важно, что для обычного пользователя задержка не ощущается или минимальна.

3. WAF. Межсетевые экраны для веб-приложений (Web application firewall) необходимы для отражения сложных атак на сайты. Проводя глубокий анализ и фильтрацию трафика по протоколам HTTP/HTTPS, WAF обезвреживает уязвимости, которые не устранены на уровне кода. WAF — это защита от атак из OWASP TOP-10, попыток эксплуатации уязвимостей веб-приложений и целенаправленных попыток взлома интернет-магазина. WAF является частью облачной платформы Cloud4Y, поэтому хорошо интегрируется в бизнес-процессы. Для защиты инфраструктуры на сетевом и программном уровне можно использовать связку решений. Например, на WAF можно загрузить список найденных сканером уязвимостей и нейтрализовать их, пока они ещё не закрыты на уровне кода. А программная защита усиливается с помощью сервиса анти-DDoS.

4. Системы резервного копирования. Правильно организованное бэкапирование позволяет минимизировать ущерб от атак вирусов-шифровальщиков, случайного или намеренного повреждения баз данных. Для интернет-магазина эти решения необходимы, поскольку защищают от:

  • Удаления файлов и папок, необходимых для работы сайта;
  • Неудачной установки обновлений;
  • Последствий проникновения вируса в инфраструктуру;
  • Комплексных атак на интернет-магазин.

Существует большое коилчество моделей работы систем резервного копирования. Наибольшее распространение получила модель «3-2-1». Чтобы не углубляться в вопрос, можно доверить создание бэкапов облачному провайдеру. Настроить расписание, выбрать площадку для хранения. Также можно весь процесс администрирования системы резервного копирования поручить провайдеру.

5. Восстановление после аварии. Решения Disaster Recovery защищают интернет-магазин от недоступности в результате сбоя инфраструктуры. Если вдруг серьёзный сбой, интернет-магазин переключается на резервную площадку и продолжает работать. В отличие от бэкапов, Disaster Recovery отвечает за быстрое (буквально за несколько секунд) восстановление работоспособности интернет-магазина, и лишь затем — за сохранность защищаемых данных. Использование облачных катастрофоустойчивых систем позволяет без серьёзных последствий пережить падение инфраструктуры.

6. Сканеры уязвимостей. Название говорит само за себя. Есть решения (вышеупомянутый OSINT-SAN, например), который позволяют ИТ-специалистам проверять серверы, приложения и вообще всю веб-инфраструктуру. С помощью таких «комбайнов» удобно тестировать внутреннюю сеть, находить неустановленные патчи и опасные пароли, обнаруживать открытые порты и т.д. И закрывать обнаруженные уязвимости. Для интернет-магазинов это решение является простым способом быстро найти проблемы на сервере или в коде, про которые забыли или не знали разработчики.

Разумеется, есть и другие сканеры. Из наиболее часто обнаруживаемых уязвимостей можно назвать следующие: 

  • SQL-инъекции. Уязвимость, позволяющая отправлять обращённые к БД запросы через сайт.
  • Межсайтовый скриптинг (XSS). Уязвимости, которые позволяют злоумышленнику размещать JS-скрипты на страницах интернет-магазина.
  • Отправка формы с логином/паролем без шифрования или по незащищённым каналам.
  • Использование компонентов с известными уязвимостями.

Информацию, подготовленную сканером, можно загружать в баг-трекер или добавить в бэклог для устранения уязвимостей. Кстати, существуют сканеры, интегрируемые в инфраструктуру компании и работающие из облака.

Если возможности установки сканера нет, рекомендуем использовать короткий чек-лист, описывающий необходимый минимум действий для защиты интернет-магазина.

Чек-лист безопасности для интернет-магазина

  1. Следите за новостями про уязвимости в библиотеках
  2. Автоматически проверяйте уязвимости, про которые становится известно
  3. Проверяйте код используемых библиотек
  4. Не используйте малоизвестные библиотеки для критичных сервисов
  5. Проверяйте лицензии используемых библиотек и ресурсов
  6. Ограничивайте использование внешних сервисов, которые могут быть скомпрометированы
  7. Экранируйте данные, получаемые от пользователей
  8. Используйте HttpOnly Cookie для аутентификации и авторизации
  9. Используйте защиту от CSRF-атак
  10. Ограничивайте доступ к локальному серверу разработки
  11. Настройте мониторинг вашего приложения
  12. Используйте HTTPS и WSS всегда, когда это возможно
  13. Используйте SSL-сертификаты и PCI DSS

Полезный материал?
1
0
автор: Андрей Огурчиков
опубликовано: 14.01.2022
Читайте нас: 
Последние статьи
Вверх!