Три уровня безопасности вашего сайта
Когда предприниматель запускает офлайн-бизнес, вопрос безопасности обычно даже не обсуждается — это базовая необходимость. Например, при открытии магазина сразу ставят сигнализацию, систему видеонаблюдения, нанимают охрану. Никто не ждет, пока произойдет ограбление — меры предпринимают заранее.
В онлайне угрозы не кажутся такими очевидными, поэтому безопасность часто уходит на второй план. Компании в первую очередь стремятся попасть в топ поиска, привлечь покупателей, настроить рекламу, а про защиту забывают. При этом достаточно всего несколько кибератак — и можно потерять не только деньги, но и доверие клиентов.
В статье расскажем, какие угрозы сегодня актуальны для любого сайта и как от них защититься.
DDoS-атаки
Новости о DDoS-атаках часто мелькают в СМИ. Вот лишь несколько примеров крупных инцидентов за осень 2024 года.
- Сентябрь 2024: DDoS-атака на Rutube вывела платформу из строя. Даже после восстановления пользователи еще несколько дней жаловались на многочисленные ошибки при загрузке видео.
- Октябрь 2024: DDoS-атака на интернет-платформу Министерства иностранных дел РФ вынудила представителей МИДа перенести запланированный брифинг для СМИ. Не открывался основной ресурс и сайты посольств России в некоторых странах.
- Ноябрь 2024: серверы новосибирского телеком-провайдера не выдержали натиска хакеров. Основной сайт оператора был недоступен. У клиентов не работал или сильно тормозил интернет.
В новостях публикуют самые громкие случаи, поэтому создается впечатление, что угроза актуальна только для крупного бизнеса. Однако за 2024 год эксперты «Солара» зафиксировали 508 тысяч DDoS-атак на российские организации — в среднем это около 1390 инцидентов в день! Под атаки попадали организации разного масштаба — от самых маленьких до гигантов.
Нашествие ботов
Эта угроза, пожалуй, даже более актуальна, чем DDoS-атаки. «Дидосят» не каждый сайт, а вот боты есть на всех ресурсах, где не используют антибот-защиту. Они приходят с разными целями, большая часть которых предполагает нанесение вреда сайту или его пользователям:
- Подбор логинов, паролей, телефонных номеров, промокодов в полях ввода и формах авторизации.
- Извлечение данных с веб-ресурса в обход правил использования контента.
- Сканирование цен конкурентов для последующего демпинга.
- Мгновенная скупка ограниченного товара, например новых моделей телефонов или билетов на концерты, для перепродажи по завышенной стоимости.
- Автоматическое бронирование товаров — для реальных покупателей они становятся недоступны.
- Искажение аналитики: вы видите рост трафика, а конверсия падает. Начинаете думать, что реклама не работает.
- Сканирование на уязвимости, чтобы найти слабые места (формы обратной связи, ошибки в конфигурации ПО), которые хакеры потом используют для взлома сайта, подмены контента, кражи чувствительных данных.
Сканирование на уязвимости — одна из самых серьезных угроз для онлайн-бизнеса. Владельцы сайтов даже не узнают, что боты изучили их ресурс и нашли слабые места. Когда и для чего киберпреступники захотят использовать найденные лазейки, предсказать невозможно. Эти вредоносные действия называются эксплуатацией уязвимостей, и это третья из самых распространенных угроз для сайтов.
Эксплуатация уязвимостей и проблемы популярных CMS-систем
Список атак, в которых злоумышленники разными способами используют уязвимости веб-ресурсов, постоянно растет. Примеры наиболее актуальных и часто встречающихся:
- SQL-инъекции — в формы для заполнения на сайте вводят вредоносный код, чтобы завладеть конфиденциальной информацией, изменить или удалить данные.
- Межсайтовый скриптинг (XSS) — в веб-страницу внедряют вредоносный скрипт, который начинает выполняться, как только пользователь открывает эту страницу. Целью таких атак обычно становятся личные данные посетителей сайта.
- Межсайтовые подделки запросов (CSRF) — вынуждают браузер пользователя осуществить нежелательное действие на сайте, где он авторизован, например выполнить денежный перевод на сайте своего банка. Для этого достаточно нажать на фишинговую ссылку, которая содержит нужный мошеннику запрос.
- Удаленный запуск кода (RCE) — позволяет злоумышленнику дистанционно запустить вредоносный код на уязвимой системе, чтобы завладеть чувствительными данными, перехватить управление системой или ее отдельными компонентами.
- Атака обхода каталога (Directory Traversal) — в этом случае уязвимость позволяет хакерам получить доступ к защищенной информации на сервере.
В зоне особого риска — сайты на базе популярных CMS: 1С-Битрикс, Wordpress, Joomla, Drupal и других.
В мае 2023 года произошел один из самых громких инцидентов, в результате которого пострадали сайты, созданные с помощью 1С-Битрикс. Украинские хакеры разместили провокационную надпись на главных страницах. Такая атака с подменой контента называется дефейсом.
Жертвами стали сайты известных в России компаний — интернет-магазины «Леруа Мерлен», «Глория джинс», «Буквоед» — и множество представителей малого и среднего бизнеса, использующих устаревшую версию 1С-Битрикс.
Оказалось, злоумышленники задолго до атаки с помощью сканирующих ботов обнаружили в CMS уязвимость и через нее внедрили вредоносный бэкдор — техническое средство, которое позволило получить доступ к управлению системой. 26 мая 2023 года хакеры активировали его и подменили контент на главной странице сайтов.
Разработчики CMS регулярно выпускают обновления. Но многие пользователи либо не знают об этом, либо просто забывают обновлять систему. Поэтому тысячи сайтов остаются уязвимыми даже для начинающих хакеров.
Эшелонированная защита сайта: 3 щита безопасности
Киберпреступники часто действуют в несколько этапов: сначала они сканируют на уязвимости с помощью ботов, затем организуют DDoS-атаку, чтобы отвлечь внимание владельца, а в это время используют найденные уязвимости. Например, для кражи данных или подмены контента.
Для максимальной безопасности стоит использовать эшелонированную защиту сайта — систему, состоящую из нескольких уровней, на каждом из которых отсеивается своя часть угроз, и в результате трафик доходит до сайта максимально качественным.
Так работает Solar Space — решение для эшелонированной защиты сайтов. Оно предполагает три уровня фильтрации:
- Первый уровень — WEB AntiDDoS обеспечивает защиту сайта от DDoS-атак.
- Второй уровень — антибот-система проверяет трафик более чем по 100 параметрам. Подозрительным пользователям, похожим на ботов, сервис дополнительно покажет капчу и пропустит на сайт только после ее прохождения.
- Третий уровень — сервис анализирует каждый запрос к сайту и выявляет в них признаки атак, направленных на эксплуатацию уязвимостей. Такие обращения блокируются и не могут навредить защищаемому веб-ресурсу.
Заблокированные атаки отображаются в личном кабинете Solar Space
Solar Space защитит ваш веб-ресурс от самых распространенных киберугроз. Листайте дальше, чтобы зарегистрироваться в личном кабинете и подключить или протестировать трехуровневую защиту вашего сайта