Информационная безопасность — основные угрозы

В статье мы рассмотрим мотивацию атакующих и проведем их классификацию. Также классифицируем основные векторы атак, оценим их риски и возможные последствия.

К сожалению, от атак не застрахован ни один веб-проект. Даже если ваш сайт ничем не интересен профессиональным хакерам (денег нет, данных мало и они не ценные), если проект не вызывает яркие негативные эмоции у кого-либо, а монетизация возможной атаки ничтожна по прибыльности, то это лишь снижает риски и всё равно проекту не избежать автоматизированных атак с целью захвата вычислительных ресурсов или для перенаправления трафика.

Мотивация атакующих

  • Вымогательство — требуют деньги за прекращение атаки, за возврат зашифрованных / удаленных данных или за сохранение конфиденциальности полученных данных
  • Охота за данными — ворованная информация может быть продана или иным образом монетизирована
  • Перехват пользовательского трафика — этот тип атаки направлен на посещаемые сайты, трафик с которых выгодно перенаправлять на иные ресурсы с целью монетизации. 
  • Захват вычислительных ресурсов — атакованная система встраивается в ботнет, нацеленный на осуществление спам-рассылок или DDoS-атак на другие ресурсы, а также в последние годы стало актуальным использование «угнанных» серверных мощностей для майнинга криптовалют.
  • Недоброжелатели — мотивация атаки крайне проста: владелец системы чем-то обидел злоумышленника, примеры: «бан на форуме», «блокировка аккаунта в копьютерной игре» и т.д.
  • Идеологические противники — похожи на недоброжелателей, но обычно это группа лиц, действующих против 
  • Just for fun — мотивация атакующего может быть и просто в получении удовольствия от процесса взлома системы.

Виды атакующих

С прикладной точки зранее вполне достаточно наиболее простой и грубой классификации:

  • Роботы — полностью автоматический, массовый и обычно простой сценарий атаки, вероятность контакта около 100%
  • Скрипт-кидди — простой неадаптивный сценарий атаки с использованием готового инструментария, вероятность контакта высокая для относительно популярных публичных ресурсов
  • Профи — адаптивный сценарии атаки с индивидуальным подходом к атакуемой системе. Вероятность контакта зависит от многих факторов: для популярных ресурсов и финансовых приложений — очень высокая, для остальных — зависит по большей части от тематики проекта.

Профи часто разделяют «по цвету шляпы», что отражает их мотивацию.

  • White Hat Hacker — это обычно специалисты по информационной безопасности, изучающие уязвимости или атакующие систему с явного разрешения владельца (по должностным обязанностям, по контракту или по баг-баунти программе)
  • Black Hat Hacker — злоумышленники, целью которых является нажива или нанесение вреда атакуемой системе по другим соображениям.
  • Gray Hat Hacker — весьма сомнительная категория, в которую входят специалисты по информационной безопасности, взламывающие системы, а затем (при успешном взломе) продающие свои услуги жертве. От блэк-хэтов отличаются наличием декларируемой этики, не позволяющей им продавать данные или каким-то другим образом монетизировать полученную ими информацию.

Иногда отдельно выделяют дополнительные группы:

  • Script kiddie / Newbie — «недохакеры», освоившие пару программ для нагрузочного тестирования или пентестинга
  • Criminal gangs — криминал, обычно охотятся за деньгами и данными на продажу
  • Hacktivist — хактивисты, идеологические противники
  • Cyberwarfareкибер-войска

Возможные последствия для проекта

  • Снижение производительности / неработоспособность — атаки типа «отказ в обслуживании» могут вывести веб-приложения из строя либо только на момент их проведения, либо проект может сам и не восстановиться после сильной атаки. 
  • Заражение пользователей вирусами — взломанный сайт может служить площадкой для распространения вредоносного ПО / фишинга или иных 
  • Перенаправление трафика — пользователи взломанной системы могут быть перенаправлены на другие сайты (обычно, казино, фарма, финансовые услуги и т.д.)
  • Присоединение к ботнету — вычислительные мощности могут использоваться для спама, атак на другие системы или для майнинга
  • Кража данных и шпионаж — из взломанной системы могут быть украдены данные и может быть установлен бэкдор, позволяющий получать данные из системы и в последующем.
  • Взлом учетных записей — учетные записи могут быть скомпрометиованы как в атакованной системе, так и в других системах — к сожалению, у пользователей очень часто одинаковые пароли для нескольких разных систем
  • Дефейс — на веб-страницах может быть размещена информация, наносящая репутационный ущерб

Основные методы атак на веб-проекты

  • (D)DoS-атаки — атаки типа «отказ в обслуживании»
  • Различные инъекции — внедрение произвольного исполняемого кода, загрузка shell / бэкдора, SQL-инъекции…
  • Атаки на систему аутентификации и управления сессиями — взлом учетных записей, перехват учетных записей
  • Межсайтовые скриптинг и подделка запроса — XSS & CSRF
  • Атаки на экспозицию чувствительных данных — получение данных, которые хоть и недоступны из графического интерфейса, но по каким-то причинам всё же могут быть получены без должной авторизации
  • Атаки на неверную конфигурацию ПО — поиск «открытых портов», «дефолтных паролей» и т.д.
  • MITM и сниффинг — перехват пользовательского трафика, подмена получаемых и отправляемых данных
  • Социальная инженерия — большой набор методов, использующих человеческий фактор

Ни один проект не застрахован от кибер-атак. Для оценки рисков важно понимать, что в вашем проекте может быть интересно злоумышленникам и с какими угрозами в результате можно столкнуться.

Информационная безопасность — обеспечение конфиденциальности, целостности и доступности информации.

Конфиденциальность — обеспечение исключительно авторизованного доступа к информации: информация не должна предоставляться и не должна раскрываться неавторизованным физическим лицам, организациям или процессам. Целостность — поддержание и обеспечение точности и полноты данных на протяжении всего жизненного цикла: данные не должны быть изменены неавторизованным или незаметным способом. Доступность — обеспечение беспрепятственного доступа к информации авторизованным пользователям: системы хранения и обработки информации, интерфейсы работы с информацией, системы обеспечения авторизованного доступа и каналы связи должны функционировать корректно.

Узнать больше →

Информационная безопасность — очень важное направление в информационных технологиях. В современном мире достаточно много угроз лежит именно в сфере обеспечения безопасности данных.

Под безопасностью веб-приложений понимается обеспечение сохранности данных, их недоступность для посторонних лиц, а также способность сервиса сохранять работоспособность при кибератаках.

Безопасность веб-приложений зависит от качества программного кода (это ответственность веб-разработчиков), от квалификации системного администратора и регулярности обсуживания серверов, а также от компетенций всех пользователей, имеющих доступ к чувствительной информации.

Узнать больше →

Безопасность веб-приложений — очень важное направление для любого бизнеса, зависящего от информационных технологий. Утечка данных или неработоспособность приложения из-за атаки обычно очень дорого обходится.

Cтатьи по теме:

DDoS — распределенные атаки типа «отказ в обслуживании»
DoS-атака / Denial of Service attack — это атака типа «отказ в обслуживании», суть которой состоит в том, чтобы «перегрузить» атакуемый сервер или каналы связи и тем самым ухудшить качество работы сервиса или вообще прекратить его работу. Distributed DоS или DDoS — это атака того же типа, производящаяся с более чем одного атакующего компьютера.
Вирусы на сайтах
Откуда берутся вирусы на сайтах? Как с ними бороться?
Процессы, которые важны для информационной безопасности
Информационная безопасность очень важна практически для любого бизнеса. В современном мире деятельность почти всех компаний существенно зависит от информационных технологий. Взломы, утечки данных и неработоспособность ключевых систем приводит как к финансовых потерям, так и к репутационным издержкам.
Надёжность, доступность и отказоустойчивость сайтов и веб-приложений
Действительно серьёзные проекты должны работать без перебоев даже в случае отказа отдельных подсистем. Причин для сбоев в работе немало: выход из строя «железа», сбои программного обеспечения, аварии на уровне дата-центров. Всех этих рисков можно избежать или минимизировать их последствия.
SSH — сетевой протокол для управления серверами
SSH или Secure Shell («безопасная оболочка») — сетевой протокол прикладного уровня, позволяющий производить удалённое управление операционной системой и туннелирование TCP-соединений (например, для передачи файлов).
XSS — атаки на веб-системы типа «межсайтовый скриптинг»
XSS-атаки — это внедрение в страницу вредоносного кода, который будет выполнен на компьютере пользователя при открытии им этой страницы.
SQL-инъекции — распространённый метод взлома веб-приложений и сайтов
SQL-инъекции — это один из распространённых способов взлома сайтов и веб-приложений, работающих с реляционными базами данных. Этот способ основан на внедрении в выполняемый приложением запрос к базе данных произвольного SQL-кода, переданного злоумышленником.

Тематические технологии:

Язык программирования Ruby
Фреймворк Ruby on Rails
Язык разметки HTML
CSS — каскадные таблицы стилей
Язык программирования JavaScript
Библиотека React
Библиотека MobX
Библиотека MobX State Tree