Александр
Свадковский

CEO компании is*hosting
© ComNews
30.11.2020

Когда дело доходит до бизнеса, защита данных и конфиденциальной информации является ключевым моментом в онлайн-пространстве. Пандемия внесла свои коррективы, и все, кто не был представлен в онлайне еще в марте, к сентябрю уже перешли в диджитал. Вопрос защиты бизнеса от кражи данных был актуальным всегда, но сейчас, ввиду все возрастающей необходимости использования цифровой публичной инфраструктуры, он находится в центре внимания. Особенно безопасность волнует недавно прибывших в онлайн предпринимателей и компании. О том, как защитить бизнес от кражи данных, рассказал CEO компании is*hosting Александр Свадковский.

SSL(TLS) шифрование

Одна из самых распространенных и основных мер, к которым может прибегнуть бизнес для защиты своих онлайн-каналов, — это использование SSL-сертификата. Это цифровая подпись сайта, которая обеспечивает шифрованное соединение между пользователем и сайтом. С помощью этого сертификата подтверждается подлинность сайта — пользователь может проверить, какой компании на самом деле принадлежит ресурс, а также шифруются сами запросы клиент-сервера. Этот сертификат предоставляют удостоверенные центры сертификации, но его можно заказать и через вашего хостинг провайдера: обычно это проще, а иногда еще и дешевле. К тому же, с точки зрения маркетинга, сайты с SSL шифрованием имеют приоритет у поисковых систем и доверие у пользователей.

Безопасный хостинг

Следующая мера — использование надежного хостинга. В сущности веб-хостинг позволяет отдельным лицам и организациям делать свои веб-сайты доступными в сети. Надежные службы хостинга должны регулярно обновлять системное ПО на своих серверах, имеют встроенные меры безопасности, например, анализ и автоматическое отсечение подозрительного (вредоносного) трафика. Одним из важных критериев при выборе хостинга должен быть квалифицированный персонал. Ведь профильные специалисты правильно настроят сервера, хостинг-окружение и панели доступа, всегда будут на связи и помогут оперативно решить технические вопросы.

Актуальные плагины, библиотеки, фреймворки и CMS

Компании также должны использовать проверенные плагины, библиотеки, фреймворки, CMS и сторонние модули, так как более известные и популярные продукты подвергаются более тщательному анализу с точки зрения безопасности кода. Помимо того важно постоянно обновлять их до последних релизных версий, поскольку обновления зачастую содержат в себе исправления известных уязвимостей. Поддержание этих инструментов в актуальном состоянии так же важно, как использование фильтрации трафика, межсетевых экранов, надежных паролей и тд.

Автоматизированная защита от наиболее популярных атак

Важным пунктом является применение методов защиты от SQL-инъекций и XSS-атак, которые напрямую угрожают защищенности данных пользователей, а также обеспечение ведения логов доступа к ресурсу и мониторинг событий безопасности. Существуют готовые инструменты, которые обеспечат базовую защиту от типичных атак, например "mod_security". Они более детально анализируют трафик и позволяют отказывать в обслуживании подозрительным и вредоносным запросам. Лог файлы позволяют веб-мастерам отслеживать все действия на ресурсе и оперативно выявлять любые подозрительные действия.

Шифрование данных и резервных копий

Не стоит забывать делать регулярные резервные копии веб-сайта и всех важных данных, чтобы минимизировать потери в случае компрометации и (или) их удаления. Резервные копии помогут не только восстановить данные в случае их потери, но и найти различия между актуальной версией данных и версией до взлома, что поможет более точно определить способ взлома. Резервное копирование — это базовое правило для отказоустойчивой и безопасной работы сервиса.

Шифрование резервных копий — еще одна важная задача, поскольку иногда бывает намного проще получить доступ к резервным копиям, чем к реальному сайту. Если они зашифрованы, они станут дополнительным барьером для хакера.

Для усложнения доступа к резервным копиям самым оптимальным решением будет совместить шифрование и отсутствие публичного доступа к ним. Для таких целей вполне могут использоваться решения в виде приватных подсетей, списков контроля доступа и межсетевых экранов.

Пароли и двухфакторная авторизация

Говоря о паролях, компании всегда должны отслеживать, чтобы пароли периодически менялись, были достаточно сложные. Также не лишним будет применять защиту от дублирования паролей.

Если помимо паролей есть еще возможность внедрения двухфакторной авторизации, ее так же крайне желательно использовать.

Еще одна полезная практика — использование систем для хранения и управления "секретами", паролями и другими конфиденциальными данными. Hashicorp Vault — это хороший пример такой системы: она обеспечивает надежное хранение и управление секретными данными.

Для доступа к инфраструктуре также предпочтительно использовать доступ по ключам, так как они менее уязвимы ко взлому, в частности к атакам по перебору паролей.

Защита доступа к административным панелям

Если у веб-сайта есть административная панель, неплохой идеей будет изменить адрес входа по умолчанию и обеспечить контроль доступа (а также добавить двухфакторную авторизацию, при наличии). Хотя это может показаться очевидным, многие веб-мастера игнорируют это общее правило и поэтому оставляют свои административные панели практически открытыми для атак. Использование продуктов knocker или fail2ban для защиты доступа к панелям администрирования и каналам управления, например, SSH, должно быть скорее правилом, чем исключением, поскольку панель администратора зачастую позволяет получить доступ как к возможности управления инфраструктурой в целом, так и обеспечить доступность к данным в частности.

Выводы

Защита цифровой инфраструктуры играет ключевую роль для бизнеса во всем мире, где киберпреступность выросла на 600% в 2020 году, согласно отчету PurpleSec. И выполнения некоторых простых рекомендаций вполне может быть достаточно, чтобы минимизировать риски и обезопасить себя от таких опасных и неприятных ситуаций, как кража данных.