Доклад Марии Питерской, коммерческого директора Айри.рф, с секции РИФ 2016 «Практическая безопасность веб-проектов».


На эффективную работу сайта влияет огромное количество факторов. Безопасность сайта для пользователей — один из таких факторов, и немаловажный. На примере технической доступности сайтов и скорости сайтов можно уверенно говорить о ежедневных потерях бизнеса в интернете в районе 40-50% при каких-либо проблемах с сайтом.

Например, при исправлении технических ошибок на сайте интернет-магазина бижутерии сайт в течение 3 дней вернулся в поисковую выдачу, полностью восстановив свои позиции.

При недоступности сайта (из-за проблем хостера или DDoS-атаки) санкции поисковых систем могут быть еще жестче. Например, для сайта облицовки каминов недоступность половину дня привела к потерям в посетителях из поиска в течение двух недель.

Верна и обратная ситуация: если какие-либо технические проблемы на сайте исправляются (например, сайт становится быстрее), то это ведет к значительному увеличению выручки при тех же вложениях в рекламу и продвижение.

Что нас ждет в ближайшее время, к чему стоит готовиться со стороны безопасности сайтов?

Четко прослеживается тренд по полной автоматизации атак. Если ваш сайт взломали — то это, с очень большой вероятностью, произошло при работе автоматического робота-взломщика, который нашел уязвимость, установил соответствующую нагрузку (payload) и даже мог «зачистить» следы взлома (удалить записи о себе из логов доступа к сайту). Для примера: проект CMSmap находит уязвимости в 75% сайтов, взлом полностью автоматизирован.

Другим примером является битва ботов. Если зараженный сайт остается уязвимым, то он будет взломан быстрее и с большей вероятностью, нежели вылечен. И первому «взломщику» выгоднее сохранять полный контроль над ресурсами (и даже проводить лечение зараженного сайта). Известно уже несколько случаев такого «хорошего» поведения. В частности, в 2015 году прошло заражение домашних роутеров, вирус исправлял «дыру» в безопасности. А при недавнем взломе базы данных турецких граждан была оптимизирована сама база данных (чтобы быстрее загрузить конфиденциальные данные).

Сейчас сайт это не просто «скрипты + хостинг». Большое количество сторонних плагинов и расширений создают дополнительные «дыры» в безопасности. Лучшим решением будет полный аудит безопасности новых расширений и скриптов на сайте.

Про опасности поговорили, что с этим можно бюджетно сделать?

Первое — нужно быть в курсе безопасности вашего сайта (или сайтов). Это может быть отдельный человек или отдельная строка ответственности текущего специалиста, но пункт про безопасность должен присутствовать. Сейчас существует большое количество решений, которые автоматизируют процесс и могут быть использованы бесплатно или при небольшом бюджете. Качество предоставляемых услуг при этом позволяет использовать их на регулярной основе.

Второе — это наличие внутренних регламентов для поведения при внештатных ситуациях и дополнительные пункты в инструкции по работе с сайтом. При наличии самих инструкций нагрузка от конкретно безопасности сайта будет минимальной (по сравнению, в целом, с процессом отслеживания и повышения качества работы сайта), но решит множество проблем еще до их появления.

Третье — это правила безопасности при работе с сайтом. Коллеги уже часть из них озвучили, но это никогда не будет законченный свод правил. Ландшафт угроз постоянно меняется, являются новые возможности и новые аспекты безопасности. Необходимо быть в курсе лучших практик обеспечения «здоровья» сайта и своевременно их применять. Например:

1. Виртуальный сервер заразить сложнее, чем виртуальный хостинг.
2. WAF на порядки уменьшает вероятность взлома.
3. Регулярный мониторинг на порядок уменьшает время простоя.
4. Регулярная смена надежного пароля сводит на нет атаки на пароль.

И еще 100+ правил.