Сучасна торгівля вже освоїла такий канал залучення і обслуговування клієнтів, як Інтернет. Перевага цього каналу оцінили вже навіть найбільш консервативні продавці і з екзотичної іграшки електронна комерція перетворилася в бізнес з багатомільйонними оборотами. Заступник генерального директора ГК InfoWatch Рустем Хайретдінов в своїй статті розповідає про те, як уникнути основних ризиків, пов'язаних з web-захистом вашого магазину.
Економічна криза тільки прискорив зростання електронної комерції - продажу через Інтернет дозволяють продавцям оптимізувати складські запаси, а також заощадити на торгових площах і персоналі. Деякі рітейлери навіть перетворюють вже наявні магазини в шоу-руми, в яких немає складів, а після вибору вподобаного товару покупець замовляє його через Мережу з терміналу, встановленого в магазині.
доступність магазина
Перший фокус захисту - це постійна доступність магазину. Немає сенсу проводити рекламні компанії та оптимізувати складські замовлення, якщо користувачі, пройшовши по рекламованому адресою, не отримають доступу до сайту. Без сумніву інженерні служби веб-магазинів професійно забезпечують працездатність інфраструктури, тому мова в подальшому піде тільки про зовнішні дії, тобто атаках.
Є десятки різних способів зробити магазин недоступним для покупців. Можна, наприклад, організувати DDoS-атаку (Distributed Denial of Service) - направити на сайт велику кількість запитів з заражених комп'ютерів, керованих зловмисниками, так званих бот-мереж. Атакуючі запити формуються так, щоб обробляючи їх, сервер додатки витрачав на них багато часу, але не відхиляв. Зайнятийобробкою атакуючих запитів сервер не зможе обробити запити справжніх покупців. Небезпека таких атак ще і в тому, що зараз вартість досить потужною DDoS-атаки становить на ринку CaaS (Crime-as-a-Service) десятки доларів на годину, що відкриває чималі можливості для нечесної конкуренції.
Того ж ефекту зловмисники можуть досягти і іншими способами: наприклад, використовуючи уразливість або зламавши пароль адміністратора, поставити на сайт посилання, заражає комп'ютери відвідувачів шкідливим програмним забезпеченням - через деякий час сайт потрапить в бази даних антивірусних компаній, як небезпечний і браузери будуть блокувати доступ до нього.
Іноді, розуміючи, що атака на доступність сайту може приносити колосальні збитки, атакуючі вимагають гроші за припинення атаки. Відомі випадки успішних розслідувань таких вимагань поліцією і ФСБ, з публічних історій можна пригадати атаки на Аерофлот і Банк Тінькофф-Кредитні системи.
Конфіденційність інформації про клієнтів
Але і сайт, який зберігає свою доступність, теж може нести в собі загрозу. На сайті може зберігатися конфіденційна інформація - дані облікових записів (особистих кабінетів) клієнтів сайту, які можуть містити не тільки персональні дані - прізвища, імена, по батькові, номер мобільного телефону, адресу доставки і т.п., але і дані прив'язаних до особистого кабінету платіжних карт, які зловмисники можуть використовувати для оплати товарів.
Чим більше електронний магазин, чим більше у нього зареєстрованих користувачів, тим більший інтерес представляє база облікових записів клієнтів компанії, яка зберігається на сайті. Така інформація коштує хороших грошей тому, що з її допомогою можна отримати пряму вигоду - використовувати дані кредитної картки для оплати своїх покупок або оплачувати товари від імені легальних користувачів, але вказувати іншу адресу доставки.
Несанкціонований доступ до такої цінної інформації хакери зазвичай отримують за допомогою експлуатації вразливостей на сайті або зломом облікового запису адміністратора. Від таких атак не застраховані навіть найбільші компанії - жертвою витоку більш десятків мільйонів облікових записів стали такі компанії, какTarget і Home Depot, великі рітейлери США.
А зовсім недавно був зламаний сайт компанії Uber. І зловмисники розплачувалися за свої поїздки засобами кредитних карт, прив'язаних до облікових записів нічого не підозрюють користувачів. Зрозуміло, що такі інциденти не додають клієнтам, особливо постраждалим, лояльності до сервісу
Цілісність інформації на сайті магазина
Важливо, щоб інформація на сайті відповідала тому, що хотіли розмістити його розробники. Це особливо важливо для комерційних сайтів - спотворення інформації про товар може привести до відмови клієнта від покупки або відмови магазину від поставки оплаченого по неправильно виставленої ціною товару. Трапляються більш складні атаки, ніж підміна ціни або опису товару: наприклад, зловмисники підміняють телефон «гарячої лінії» або посилання з кнопки «купити» на відповідні дані реального або шахрайського магазину, перенаправляючи на нього покупців, вже готових купити товар після ознайомлення на атакується сайті .
Міняють вміст сайту і не з комерційних, а з хуліганських чи політичних мотивів. Хакери можуть просто написати щось непристойне на сторінці сайту, а можуть і розмістити екстремістські заклики, рекламу наркотиків, логотипи і гасла заборонених в Росії терористичних організацій. Такі «витівки» зовсім не невинні - сайти з екстремістським інформацією заносяться в «чорні списки» регуляторів і можуть блокуватися.
зловживання програмістів
Довіряючи програмістам реалізовувати бізнес-процеси, компанії часто не перевіряють додаток, що запускається на наявність так званих «декларованих можливостей» - функціоналу, не передбаченого в технічному завданні. Це можуть бути як службові функції, наприклад, налагодження гілки, що спрощують деякі операції в процесі тестового функціонування сервісу, так і навмисні «закладки», що реалізують можливості зловмисних операцій.
Автор статті брав участь в експертизі у кримінальній справі, згідно з яким, програмісти, звільнені з компанії, що займається торгівлею електронікою, викрали товару на мільйони рублів, використовуючи ними ж створену функцію обходу платежу. Причому це не була спеціальна «закладка»: щоб на етапі налагодження платіжного сервісу сайту не ганяти гроші з платіжної картки на рахунок, в програму було внесено можливість поставити замовлення статус «сплачено» без перекладу грошей, а просто шляхом натискання певної комбінації клавіш. Після запуску програми в продуктив, ця можливість не була видалена або заблокована і скривджені програмісти нею скористалися.
Як захищатися?
Щоб вищезгадані загрози не реалізувалися, необхідно так реалізувати процеси створення та постійного оновлення веб-магазину, а також процеси настройки систем захисту веб-сайту, щоб недоліки і уразливості, які неминуче будуть з'являтися при оновленнях, «закривалися» системами безпеки.
Бізнес електронної торгівлі вимагає постійних змін веб-сайту: нові клієнти, нові товари, нові ціни, нові маркетингові програми, новий функціонал, зворотний зв'язок з клієнтами - все це змінює сайт, його вміст і функціональність. Лідери галузі роблять в день уже тисячі змін своїх налаштувань. Герман Греф на гайдарівського форумі стверджував, що лідер он-лайн рітейлу компанія Amazon.com щодня проводить до сорока тисяч змін в своїх інформаційних системах.
Кожна зміна несе потенційну загрозу. Новий клієнт може відкрити новий особистий кабінет з простим і легко зламував паролем. Новий функціонал на сайті може нести в собі вразливість. Нова публікація відкликання або новий опис товару можуть містити шкідливе посилання. Але ми не можемо зупинити затребувані бізнес-функції на кілька днів або тижнів для додаткового тестування - швидкість змін в цьому бізнесі дуже важлива.
Існує багато систем захисту веб-додатків, як інтегрованих, так і спеціалізованих: різного роду сканери, анти-DDoS продукти і сервіси, міжмережеві екрани прикладного рівня (WAF-web application firewall). Сьогоднішня проблема зовнішніх (на сленгу - "навісних") систем захисту в тому, що вони не встигають перебудовуватися так швидко, як змінюється об'єкт захисту.
Два основних способи зміни налаштувань систем захисту - це зміни вручну і самонавчання. Жоден з цих способів не працює при частоті змін навіть сто змін на добу. За експлуатаційної документації на WAF, наприклад, самонавчання такого продукту займає від одного до трьох годин, тобто якщо об'єкт захисту змінюється частіше ніж один раз на годину, то все нові функції будуть сприйматися системою захисту як аномалії і блокуватися. Для того ж, щоб постійно налаштовувати систему захисту вручну, треба мати солідну професійну команду, яка працює в цілодобовому режимі.
Через те, що захищаються бізнес-системи змінюються все частіше, а системи захисту налаштовані за замовчуванням і змінюють настройки значно рідше, кількість атак на прикладному рівні (тобто з вивченням атакуючими способів функціонування об'єкта атаки і пошуку проломів в його захист на рівні бізнес -функціонала) стрімко зростає - за даними компанії Qrator Labs, кількість DDoS-атак на прикладному рівні в 2015 році зросло на 40% в порівнянні з 2014 роком.
Статистика по хакерських атак не так достовірна - багато успішних атаки або не стають відомі взагалі або замовчуються постраждалою стороною - але і вона говорить про постійне зростання атак саме на функціонал, написаний власними розробниками компаній, менше тренованих писати безпечний код, ніж співробітники компаній-виробників програмного забезпечення.
Дві парадигми захисту
Неможливість «включити захист і забути про неї» диктує дві виграшних стратегії: пасивну та активну.
Пасивна стратегія полягає в тому, щоб включити всі системи захисту в пасивний режим, тобто відключити можливість блокування шкідливих операцій. При цьому трафік (а точніше - його копія) до торгового сайту та операції на ньому аналізується різними системами - від анти-DDoS до антіфрода, збираючи, нормалізує і корелюючи повідомлення про події. За подіями стежить чергова зміна інформаційної безпеки, яка, запідозривши атаку, приймає рішення її відобразити і робить це вручну - наприклад, перемикає трафік на центр очищення від трафіку DDoS-атаки, скидає підозріле з'єднання, блокує скомпрометовану обліковий запис і т.п.
Плюсом такого підходу є можливість використання паралельно багатьох систем захисту (котрась із них так визначить атаку). Мінусом же є делегування прийняття рішення операторам системи контролю. Це вимагає наймати дорогу команду інформаційної безпеки, що при інтенсивному трафіку не гарантує відсутності інцидентів - буває, що рішення операторами приймаються, коли вже пізно - атака вже пройшла.
Активна стратегія виражається у виборі рішень, здатних без помилкових спрацьовувань працювати в режимі блокування, і інтеграції їх таким чином, щоб настройки змінювалися автоматично. Будь-яка зміна на захищається сайті повинно негайно досліджуватися на предмет наявності вразливостей, знайдені вразливості повинні відправлятися на виправлення відповідальним за цей функціонал - адміністраторам, інженерам або програмістам - а до виправлення можливість зловмисної експлуатації функціоналу має блокуватися «навісними» системами інформаційної безпеки. Найбільш часта зв'язка активних систем безпеки - статичний сканер досліджує код додатка, знаходить в ньому уразливості, які аналізуються динамічним сканером для відкидання помилкових спрацьовувань, далі знайдені і підтверджені можливістю експлуатації уразливості передаються WAF і анти-DDoS, які блокують небезпечні звернення до ці вразливостей. Паралельно інформація про уразливість до рекомендацій щодо виправлення передається програмістам або інженерам, в залежності від того, що треба міняти - функціонал додатка, вміст сайту або налаштування інфраструктури.
Плюсом такого рішення є активність, інтегрованість і незалежність від людини - одного разу налаштоване рішення працює само собою, без помилкових спрацьовувань відбиваючи атаки. Клієнти таких рішень про атаки дізнаються зі звітів і можуть використовувати своїх кваліфікованих фахівців для більш творчої роботи, ніж чергування. Такі рішення особливо стали затребувані в умовах економічної кризи, коли не кожна торгова площадка може дозволити собі кілька змін кваліфікованих фахівців інформаційної безпеки для цілодобових чергувань.
Мінусом такої системи є технічні труднощі інтеграції систем, які є у власників веб-сайту або його хостингу. Інтегрованих рішень «від краю до краю від одного виробника» на ринку немає, і самі виробники окремих рішень не поспішають інтегруватися. Тому інтеграцію зазвичай проводять системні інтегратори, які зазвичай досконально знають одне-два рішення і не можуть інтегрувати «що завгодно з чим завгодно».
З настанням фінансової та економічної кризи компанії почали економити на дорогому персоналі і дивитися в бік активних інтегрованих автоматичних рішень. Відповіддю на це стали продуктові альянси, які об'єднують вже на рівні виробників, а не інтеграторів, сильні нішеві рішення: статичні і динамічні сканери, WAF і anti-DDoS.
Пасивні ж рішення з ручним керуванням під час кризи все частіше віддаються на аутсорсинг - тобто всі інформаційні потоки про аномалії в трафіку і транзакціях передаються зовнішньому підряднику, який і сигналізує про початок атаки з рекомендаціями щодо її відображенню.
Обидва підходи мають своїх шанувальників і налагоджені процеси. Вибір підходу, а потім і інструментів його реалізації повинен проводитися на основі аналізу ризиків конкретного web-додатки, як технічних, так і бізнес-ризиків.
джерело: http://new-retail.ru/
Як захищатися?