Защита

Уязвимостью веб-ресурса или иной информационной системы называется любое его свойство, позволяющее реализоваться угрозе информационной безопасности. Используя уязвимость веб-ресурса, злоумышленники могут повлиять на его работу: сделать веб-ресурс недоступным для конечных пользователей, завладеть конфиденциальными данными или нарушить их целостность.

Каждый веб-ресурс имеет свои уязвимости, однако осознанный подход владельца к его эксплуатации и защите позволяет радикально снизить риски реализации угроз.

Зачем злоумышленники атакуют веб-ресурс?

Атаки на сайты можно условно разделить на два типа — нецелевые и целевые. Первые — это атаки, в которых злоумышленники действуют наугад, например, используя автоматизированный софт для сканирования веб-ресурсов на наличие известных уязвимостей (Metasploit, Shodan.io и др.) Он ищет бреши в инфраструктуре – ПО хостинг-провайдера, сетевого оборудования, сайта.

Зачем злоумышленникам нужен доступ к чужому сайту? Возможностей его использования много: распространение вирусов, использование вычислительных мощностей для майнинга, организации VPN-гейта, DDoS-атак или рассылки спама, вымогательство и др.

Второй тип — атаки, которые направлены на конкретные сайты и имеют четкие задачи. В них обычно участвуют злоумышленники с более высоким уровнем подготовки. Например, они могут использовать DDoS, чтобы отвлечь внимание от взлома сайта, или внедрить вредоносный код, чтобы перехватывать данные клиентов банка или интернет-магазина. Часто такие атаки осуществляются по заказу недоброжелателей или бизнес-конкурентов. Как исполнителя, так и заказчика найти очень сложно, а потери «жертвы» могут оказаться весьма существенны.

С технологической точки зрения атаки можно разделить на две категории:

  • направленные на исчерпание сетевых или вычислительных ресурсов инфраструктуры,

  • направленные на эксплуатацию уязвимостей программного обеспечения.

Атаки на исчерпание ресурсов инфраструктуры

Распределенные атаки, направленные на отказ в обслуживании, или DDoS (Distributed Denial of Service) – одни из самых распространенных типов атак. В чем причина такой популярности? Во-первых, универсальность. Злоумышленникам гораздо легче вызвать отказ в обслуживании веб-сайта, чем искать возможность получить доступ к системе. Затраты на проведение DDoS-атак низкие – цены на организацию DDoS начального уровня начинаются с нескольких десятков долларов. Такую атаку легко можно заказать в интернете, чем часто пользуются недоброжелатели или недобросовестные конкуренты.

Волюметрические DDoS-атаки создают большой входящий поток нелегитимного трафика, который превышает пропускную способность канала связи и сетевых устройств. Из-за большого количества сетевых пакетов сайт «захлебывается» в трафике и обычные пользователи не могут получить к нему доступ. Защита от волюметрических DDoS-атак с помощью локально установленных средств защиты ограничена пропускной способностью входящего канала и производительностью сетевого оборудования.

В случае атаки на уровне протокола TCP целью злоумышленников становится исчерпание ресурсов операционной системы. Для этого на сайт жертвы могут посылаться множественные запросы на установление соединения (Syn Flood), зачастую c поддельными IP-адресами отправителя. В результате исчерпания ресурсов операционной системы обработка легитимных запросов становится невозможной.

DDoS-атаки уровня приложений – это отправка большого количества запросов, которые выглядят как результат действий обычных пользователей. Для их осуществления злоумышленники используют ботнеты из зараженных компьютеров и другие автоматизированные инструменты. Во время подобных атак запросы к одному объекту могут повторяться сотни или тысячи раз в секунду. Системы защиты от DDoS-атак, работающие на сетевом уровне, не обладают средствами для детектирования атак уровня приложений. Межсетевые экраны уровня приложений (WAF) не имеют достаточной производительности для того, чтобы проанализировать большой входящий поток запросов, и сами могут выйти из строя, делая веб-ресурс недоступным.

Часто целью DDoS-атак является система DNS. Сделать веб-сайт недоступным для пользователей можно, атаковав не саму площадку, а обслуживающий ее авторитативный DNS-сервер (систему, которая перенаправляет запрос к домену на нужный IP-адрес). Если в ваших DNS-серверах есть уязвимости или они некорректно настроены, злоумышленники могут задействовать их для атаки на другие элементы инфраструктуры. Чтобы противостоять современным угрозам, инфраструктура DNS должна быть устойчивой и масштабируемой.

Эксплуатация уязвимостей приложений

Использование уязвимостей программного обеспечения может нанести максимальный вред владельцу веб-ресурса. На взломанном ресурсе могут быть перехвачены конфиденциальные данные пользователей (персональных данные, контакты, логины и пароли), может появиться несанкционированная или запрещенная информация. Сайт могут заразить, и он, в свою очередь, будет распространять вирусы. Зараженный сервер могут использовать для бот-сетей или майнинга криптовалюты, создавая на него паразитную нагрузку. Также взломанный сайт могут просто «стереть».

Если злоумышленникам удалось взломать DNS-сервис, они могут подменить реальные IP-адреса веб-ресурса. В результате интернет-пользователь, переходящий по ссылке, содержащей верное доменное имя, попадет на фейковую страницу. Он совершит заказ, оставит свои данные, введет пароли, не подозревая, что все это попадет к злоумышленникам.