Информационная безопасность

Информационная безопасность перестала быть опцией — это обязательное требование для любого веб‑проекта. Мы на практике сталкивались с большим количеством разнообразных атак на веб‑приложения, поэтому хорошо знаем как с ними справляться и, самое главное, как их предотвращать. Подавляющее большинство атак на обычные веб‑проекты — это автоматизированные DDoS, сканирование типовых уявимостей и попытки эксплуатации известных «дыр» в безопасности используемых программных продуктов. Этот класс проблем решается достаточно тривиально — помогает настройка сетевого экрана веб‑приложений (WAF), проверка существующей кодовой базы на наличие уязвимостей и своевременное обновление используемого ПО. При атаках более высокого уровня сложности уже полезна установка системы обнаружения и предотвращения вторжений, а для приложений финансового сектора, крупного бизнеса и государственных систем требуются ещё более комплексные решения.

Информационная безопасность — это в первую очередь комплекс профилактических мероприятий, а не отражение атак и устранение последствий инцидентов. Для того, чтобы обеспечить защиту информационных систем, обычно требуется внесение изменений в организационные процессы, в процессы разработки, тестирования, системного администрирования и мониторинга, а также часто необходима доработка кодовой базы проектов и перестройка используемой инфраструктуры.