Красота или безопасность

5574

Август не стал исключением в череде новостей о взломах и утечках, однако, изучая новости этих недель, можно отметить один из любопытных трендов. Сначала исследователи из Shadowserver рекомендовали изолировать серверы, чтобы уменьшить возможности для атак, сообщив, что миллионы серверов баз данных для веб-сайтов MySQL уязвимы. Затем исследователи из Volexity рассказали, что злоумышленники эксплуатировали уязвимости серверов Zimbra, которые, сочетаясь, уже помогли взломать более 1000 серверов. Все это заставляет владельцев бизнесов задуматься, точно ли стоит слишком заботиться о красоте сайта перед его запуском?

Следует заметить, что самые лучшие, красивые и дорогие веб-сайты все равно будут иметь уязвимости в системе безопасности. Это не нуждается в подтверждении, но о чем стоит говорить: чем сложнее веб-сайт, тем выше вероятность утечки данных или успешной атаки программ-вымогателей. Между тем всякий раз, когда бизнес решает создать веб-сайт, основное внимание уделяется дизайну, контенту, UX, продвижению и т. д., тогда как кибербезопасность, к сожалению, рассматривается только в самом конце.

Почему важно это изменить?

Динамические технологии

Изменение технологий и желание иметь совершенный продукт привносят большой пул непроверенного программного обеспечения, ресурсов и стеков технологий, а также все больше персонала, зачастую с низким порогом знаний и ответственности. Типичным примером того, как динамические технологии влияют на разработку веб-сайтов, является WordPress. Это одна из наиболее предпочтительных платформ для веб-сайтов небольших предприятий и поставляется с множеством тем, плагинов и дополнительных ресурсов. Но… с огромным количеством уязвимостей и незакрытых угроз.

Небезопасные настройки доступа

Когда разработчики оставляют важную информацию открытой, веб-сайт становится уязвим. Он уязвим, когда разработчик не кодирует безопасно. Например, распространенной ошибкой является предоставление информации об обработке ошибок. Иногда программисты также оставляют открытой информацию о службах, которые работают на веб-сайте. Порой уязвимость также может быть связана с тем, что вы не обновляете программное обеспечение, которое используете для веб-сайта.

Неконтролируемое использование кода и ПО сторонних производителей

Из-за частого использования стороннего программного обеспечения вы не контролируете полностью ваш стек технологий, а значит, в нем может быть какая-то внутренняя уязвимость, о существовании которой вы не знаете. Чужое ПО расширяет область атаки, используя больше скриптов и незащищенных данных. 

Как устранить уязвимости в системе безопасности вашего веб-сайта?

  • Используйте лучшие методы обеспечения безопасности с самого начала проекта разработки веб-сайта. Одной из таких практик является проект Open Web Application Security Project (OWASP).
  • Вам, возможно, придется разрабатывать код с нуля самостоятельно. Свой код менее знаком преступникам, поэтому он менее подвержен атакам.
  • Проверяйте каждый элемент кода, каждую функцию и компонент. Было бы лучше, если бы вы провели тщательное тестирование перед изменением кода. Проводите тестирование после каждого спринта, а далее – ежеквартально и ежегодно.
  • Защищайте веб-приложения с помощью WAF-технологий.
  • Выделите надежную команду безопасности для проверки веб-сайта. Они проведут тесты, чтобы убедиться, что дополнения не подвержены нарушениям безопасности. Команды также устранят проблемы, как только они возникнут.
   Если вы обнаружили ошибку или опечатку, выделите фрагмент текста с ошибкой и нажмите CTRL+Enter

Орфографическая ошибка в тексте:

Отмена Отправить