12 сервисов для проверки безопасности сайта

Содержание

Введение

Интернет — глобальная система объединенных компьютерных сетей для хранения и передачи данных. Сам дизайн и основы функционирования интернета открыли двери между нашими «защищенными» корпоративными сетями и самой Сетью. Это все та же сеть, построенная на TCP/IP. И руководители ИБ, и специалисты по сетевой безопасности хорошо знают, как сделать интернет безопасным для своей организации.


Всемирная паутина (www), веб — это распределенная система связи «документов», расположенных на сотнях миллионов веб-серверов, подключенных к интернету. Это давно уже не просто веб-страницы и веб-сайты, а полноценные информационно-коммуникационные системы с веб-интерфейсом. В минимальной конфигурации есть веб-сервер (например, Apache или IIS), операционная система веб-сервера (Windows/Linux), сервер БД (MySQL/MS SQL) и сетевая служба обновления веб-сайта (FTP/SFTP). Все эти компоненты должны быть безопасными, поскольку в случае взлома любого из них злоумышленники могут получить доступ к данным. Веб — всего лишь транспорт, платформа, сервис.

Уязвимость (vulnerability) — ошибка или недостаток в системе, используя который можно намеренно нарушить ее конфиденциальность, целостность или доступность. Речь пойдет не столько о защите самого веб-приложения, а о том, что уязвимости веба позволяют киберпреступникам получать доступ к расположенным за ним сетевым устройствам, серверам приложений, БД и пр. Некоторые уязвимости известны только теоретически, другие же могут активно использоваться при наличии эксплойта (exploit) — программного кода, использующего уязвимость в программном обеспечении и применяемого для проведения атаки на систему. Уязвимости веб-приложений гораздо проще выявить, эффективнее использовать и при этом скрыть свое присутствие. Уязвимости могут эксплуатироваться не только из интернета, но и изнутри (внутренний нарушитель). Не всегда они являются дефектами разработки самого приложения, а часто возникают в результате проблем с безопасностью обработки информации, неправильных конфигураций, слабого администрирования и порой даже отсутствия осведомленности у лиц, ответственных за информационные технологии и их безопасность.

Предлагаемые решения проблемы не всегда очевидны, понятны и доступны — от противоречия друг другу до потери доступности и полного хаоса. Пример популярного подхода:

  • внедрить и поддерживать систему управления информационной безопасностью, в том числе обеспечить постоянное информирование о новых проблемах безопасности (это ведь основа, концепт, а не решение прикладной задачи);
  • проверить все ваши существующие приложения на предмет правильной разработки и обеспечения информационной безопасности (реально ли это сделать, не говоря о стоимости подобного);
  • убедиться, что все обновления/патчи сделаны сразу, и регулярно проверять необходимость в них (бесспорно, но проблему не решает);
  • доверять веб-разработку/поддержку только знающим и опытным/рекомендованным экспертами программистам (как это оценить и проверить);
  • обеспечить тщательную проверку их работы специалистами по безопасности, в том числе с использованием активного исследования программного кода (безопасники не знают веб так, как программисты);
  • передать на квалифицированную поддержку все средства защиты информации;
  • внедрить систему защиты от целевых атак (речь о массовых атаках с простыми сценариями);
  • провести оценку всех информационных систем на предмет их соответствия;
  • и так далее.

Веб-уязвимости сегодня превосходят по количеству и связанным рискам любые другие проблемы информационной безопасности. 20% веб-приложений 10 лет назад — это уже почти 80% общего числа корпоративных приложений сегодня. Веб не только в интернете, ERP, АБС, управление сетями и многое другое используют веб-технологии

Подавляющее большинство внешних атак на корпоративные информационные системы нацелены именно на уязвимости веб-приложений, и с кратным ростом рисков пристальное внимание стало уделяться выявлению и устранению уязвимостей именно в них. И если внутри сети злоумышленнику доступен веб, его задачи упрощаются на порядок

Рисунок 1. Уязвимости веб-приложений

 

Комплексная защита

Нам стало очевидно, что для повышения эффективности защиты от целевых атак веб-угрозы нужно рассматривать не отдельно, а в контексте прочих событий в корпоративной сети. Поэтому новая версия нашего приложения Kaspersky Web Traffic Security 6.1, вышедшая в последних числах прошлого года, позволяет интегрироваться с платформой Kaspersky Anti-Targeted Attack. Работая в тандеме, они дополняют друг друга, укрепляя общую «обороноспособность» сети.

Теперь при необходимости можно настроить двунаправленную связь между решением для защиты веб-шлюза и решением, защищающим от целевых угроз. Благодаря этому, во-первых, приложение, работающее на шлюзе, получает возможность отправлять подозрительный контент для углубленного динамического анализа. Во-вторых, Kaspersky Anti-Targeted Attack теперь имеет дополнительный источник информации от шлюза, практически еще один сенсор. В результате это позволяет гораздо раньше обнаруживать файловые компоненты сложных атак и блокировать коммуникации с управляющими серверами, а следовательно, нарушать сценарии сложных целевых атак.

В идеале можно реализовать сценарий комплексной защиты на всех уровнях: настроить платформу защиты от целевых угроз так, чтобы она получала и анализировала данные с рабочих станций, физических и виртуальных серверов, а также с почтового сервера. В случае обнаружения угрозы результаты ее анализа могут быть переданы Kaspersky Web Traffic Security и использованы для автоматической блокировки аналогичных объектов (и их попыток связи с управляющими серверами) на уровне шлюза.

Больше информации о приложении для защиты шлюзов можно узнать на странице Kaspersky Web Traffic Security.

В чём опасность?


• Фрод (мошенничество). Когда юзер оплачивает покупки или услуги банковской картой на вредоносном сайте, создатели ресурса могут получить доступ к реквизитам пользователя.

• Взлом аккаунтов. Тот случай, когда злоумышленники получают логины и пароли от почты, онлайн-банкинга или социальной сети.

• Утечка данных. Сбор личной информации человека для передачи третьим лицам. В такой скандал попадал Facebook. Социальная сеть допустила массовую передачу данных 50 миллионов пользователей, которым потом показывалась политическая таргетированная реклама.

• Проникновение. Обеспечение удалённого доступа для мошенников на персональный компьютер через вредоносное ПО.

• Фишинг. Сайты-подделки под популярные сервисы: социальные сети, платёжные ресурсы, онлайн-банки. Рассылки, которые маскируются под рассылку от авторитетных сайтов (Google, Mail.ru, Facebook, VK). Они рассчитаны на невнимательность человека и пытаются заполучить доступ к конфиденциальным данным — логинам и паролям.

Что помогает защитить себя в интернете?

Чтобы защитить себя в интернете не нужно выстраивать оборону против каждого вида проникновения – достаточно соблюдать комплексные меры безопасности и использовать здравый смысл. Это сократит вероятность утечки персональной информации и не даст вредоносному программному обеспечению начать работу.

Миф №3: сетевой сканер защищенности веб-приложений

Сетевые сканеры безопасности предназначены для выявления небезопасных конфигураций, отсутствия необходимых обновлений и наличия уязвимостей серверов и сетевых устройств, а не уязвимостей веб-приложений. Архитектура решений, огромное количество правил и признаков, подлежащих проверке при сканировании сети, все же иногда позволяют производителям сетевых сканеров предлагать дополнительную функциональность по поиску уязвимостей веб-приложений в рамках отдельной лицензии (например, у Qualys, Tenable и др.) или даже бесплатно. Но удобство использования и качество их работы далеки даже от среднего уровня профессиональных сканеров веб-приложений, и доверие к таким продуктам не может быть восстановлено после нахождения критических уязвимостей там, где универсальный сканер отработал на 100%. Средства фаззинга, тестирования протоколов, поиска эксплойтов, генераторы атак, анализаторы памяти и дебаггеры также не являются полноценными средствами анализа защищенности веб-приложений.

Методика

Отчет содержит результаты исследования 38 полнофункциональных веб-приложений, для которых в 2019 году проводился углубленный анализ с наиболее полным покрытием проверок. Результаты проектов по тестированию на проникновение, инструментальному сканированию и исследованию систем ДБО не вошли в статистику: эта информация представлена в других наших отчетах. Кроме того, в выборке не представлены системы, владельцы которых не дали своего согласия на использование результатов анализа защищенности в исследовательских целях.

Оценка защищенности проводилась вручную методами черного, серого и белого ящика с использованием вспомогательных автоматизированных средств. Метод черного ящика заключается в проведении работ по оценке защищенности информационной системы со стороны внешнего атакующего без предварительного получения какой-либо дополнительной информации о ней от владельца. Метод серого ящика аналогичен, но в качестве нарушителя рассматривается пользователь, имеющий определенные привилегии в системе. При анализе методом белого ящика для оценки защищенности информационной системы используются все имеющиеся данные о ней, включая исходный код приложений.

Обнаруженные уязвимости классифицированы по системе Common Weakness Enumeration (CWE). Для удобства, поскольку эта классификация уязвимостей очень подробная, мы выделили из их числа те, которые входят в рейтинг OWASP Top 10−2017, — и проанализировали, как часто они встречались в исследованных нами веб-приложениях.

В настоящем документе приведены только уязвимости, связанные с ошибками в коде и конфигурации веб-приложений. Другие распространенные проблемы информационной безопасности (к примеру, недостатки процесса управления обновлениями ПО) не рассматриваются. В статистике также не учтены уязвимости из категории A10 — Insufficient Logging & Monitoring рейтинга OWASP Top 10−2017, так как в рамках работ по анализу защищенности веб-приложений мы не оценивали достаточность журналирования и мониторинга. Степень риска уязвимостей оценивалась согласно системе Common Vulnerability Scoring System (CVSS) версии 3.1; на основе этой оценки выделялись качественные оценки высокого, среднего и низкого уровней риска.

  1. owasp.org/images/7/72/OWASP_Top_10-2017_%28en%29.pdf
  2. ptsecurity.com/ru-ru/research/analytics/cybersecurity-threatscape-2019-q3/

ПРИЗНАКИ


Не стоит, впрочем, диагностировать интернет-зависимость у каждого ребёнка, получившего доступ в Сеть. То, что современные дети некоторое время проводят онлайн и черпают информацию из интернета, – это нормально. Всё-таки мы живём в век цифровых технологий, и многие процессы действительно проще и удобнее осуществить виртуально.

Если поведение ребёнка не изменилось, успеваемость в школе не ухудшилась, настроение и самочувствие хорошее – причин для тревоги, скорее всего, нет. Когда же стоит обеспокоиться?

  • Если ребенок стал проводить за компьютером больше времени, чем прежде (более 6 часов в неделю);
  • Если виртуальное общение стало для него важнее, чем реальное – он пропускает школу, перестал выходить во двор и т.д.;
  • Если наблюдаются нарушения сна, аппетита, изменение привычного режима;
  • Если ребёнок стал склонен к частым перепадам настроения, неадекватно (агрессивно) реагирует на просьбу выключить компьютер;
  • Если при невозможности быть онлайн он тревожен, угнетён, постоянно вспоминает о делах «в сети»;
  • Если ребёнок неохотно рассказывает или вообще скрывает, чем занимается в сети, что ищет, во что играет.

Для детей наиболее характерны три формы интернет-зависимости:

Проверка доступности сайта для взлома и эксплуатации хакерских атак.

Для чего нужна оценка безопасности сайта

Оценка безопасности, как и защита, прежде всего необходима популярным сайтам, либо ресурсам, тематика которых может стать поводом для взлома.

Злоумышленник, выбирая себе сайт — жертву для последующей атаки, как правило, руководствуется следующими критериями:

  • популярность, известность сайта
  • посещаемость сайта (чем больше — тем лучше)
  • доступность сайта для «легкого» и быстрого взлома

Для чего и зачем взламывают сайты, мы постарались подробно написать на этой странице.

Последующие действия атакующего будут направлены на поиск поверхностных уязвимостей сайта — жертвы. В случае их обнаружения, для злоумышленника это станет сигналом, что сайт уязвим, и его можно атаковать. Если он ничего не обнаружит, то уйдет искать другой ресурс для взлома, соответствующий требуемым критериям и параметрам. Никогда, ни один злоумышленник, не станет тратить много времени на сайт, с сомнительными перспективами успешного взлома, если его целью не является именно этот сайт (заказной взлом), и никакой другой не интересен.

Оценка безопасности сайта

Методом получения оценки уровня безопасности является исследование сайта на возможность эксплуатации уязвимостей, которые можно обнаружитьобнаружить методом «черного ящика», не прибегая к глубокому аудиту безопасности ресурса.

Основные уязвимости и атаки, входящие в исследование:

  • Authentication Bypass
  • RCE — Remote Code Execution
  • PHP инъекция
  • RFI — Remote File Include
  • LFI — Local File Include
  • PHP Include
  • SQL инъекция
  • XPath инъекция
  • XSS Cross Site Sсriрting
  • СSRF — Сross Site Request Forgery

Получение оценки безопасности сайта

Главным критерием общей оценки безопасности исследуемого сайта является обнаружение либо отсутствие уязвимостей по классификации и , составленным специалистами нашей компании. Итоговая оценка будет выведена в соответствии с уровнем угроз обнаруженных уязвимостей для исследуемого сайта, их количеством, а также сложностью или наоборот простотой техники их эксплуатации.

Отчет по результатам исследования

По результатам проведенного исследования, в рамках оценки безопасности сайта предоставляется отчет, который содержит детальную информацию о всех обнаруженных уязвимостях, примеры эксплуатации, а также практические приемы программирования и способы их устранения.

Гарантии

  • Компания inSafety гарантирует 100% работоспособности всех найденных уязвимостей и методов взлома обнаруженных на сайте.
  • Компания inSafety гарантирует выставление адекватной оценки безопасности сайта, точно соответствующей уровню обнаруженных угроз.
  • Компания inSafety гарантирует сохранение конфиденциальности информации, предоставленной заказчиком аудита безопасности сайта.
  • Компания inSafety гарантирует нераспространение любой конфиденциальной информации, полученной в процессе оказания услуг.

Условия предоставление услуги

  • Заказчик услуги, предоставляет гарантии, что является владельцем ресурса, либо уполномоченным лицом собственника сайта.
  • Для исследования в рамках получения оценки безопасности сайта не требуются никаких учетных данных доступа к сайту.

Как проверить, является ли сайт безопасным

Чтобы помочь вам защитить свою персональную информацию, мы можем предложить семь параметров, проверка которых поможет выяснить, является ли сайт безопасным.

1. Безопасный URL

Когда предоставляется такая возможность, большинство людей выбирают безопасный URL в качестве индикатора надежности веб-сайта, но как часто они на самом деле проверяют URL при вводе информации о своей банковской карте? Как вы можете сказать, что URL безопасен?

URL-адрес является безопасным, если он имеет правильное написание, использует защищенный протокол (https) и имеет индикатор надежности в виде замочка. Хотя https не является синонимом безопасности, все же эти три фактора стоит проверять с самого начала, когда вы хотите выяснить безопасность сайта. Эти факторы должны проверяться для каждого сайта, который вы посещаете, особенно если вы находитесь на сайте банка или вводите конфиденциальную информацию в онлайн-магазинах.

2. Хороший внешний вид сайта

Веб-сайты, которые выглядят неважно, как правило, являются и небезопасными. Если владелец сайта не инвестирует достаточно средств во внешний вид и удобство работы с ним, то вполне вероятно, что он не инвестирует достаточных средств и в безопасность

Такие плохо созданные сайты подвержены вредоносным программам и могут представлять угрозу для вас. Убедитесь, что на вашем компьютере установлена антивирусная программа, которая не позволит вам пасть жертвой данной угрозы.

Также важно отметить, чтобы на сайте не было грамматических и орфографических ошибок. Если есть заметные ошибки, то это может быть сигналом того, что сайт поддельный или мошеннический.

3. Предлагаются знакомые способы оплаты

К дополнительным факторам доверия к онлайн-магазину стоит отнести и наличие на нем знакомых методов оплаты. Эти логотипы надежных систем оплаты должны присутствовать там, где вы вводите данные своей карты. К таким надежным формам оплаты стоит отнести Visa, MasterCard, Discover и American Express. Если сайт предлагает только неизвестные методы оплаты, то такой сайт может быть мошенническим.

4. Содержит знак доверия

Возможно, ранее вы уже видели такие знаки доверия, но не понимали, что это означает. Знаки доверия – это символы или значки, которые обычно показываются на страницах оформления заказов и показывают, что данная страница сайта обеспечивает безопасность вводимой вами информации. Среди наиболее распространенных знаков доверия — Paypal, Better Business Bureau и Verisign.

Такие знаки доверия добавляют доверие к сайту, чтобы покупатели чувствовали себя спокойно при вводе конфиденциальной информации через Интернет. При заказе на сайте, проверьте, имеет ли сайт знак доверия.

5. Доступна контактная информация

Чтобы убедиться в безопасности сайта, проверьте, доступна ли на сайте контактная информация. К ней относятся: название компании или ФИО человека, адрес, номер телефона и адрес электронной почты. Если нет никакого способа получить данные о владельце сайта (компании), то что вы будете делать в том случае, если с вашим заказом возникнет какая-либо проблема?

6. Доступна политика конфиденциальности

Поскольку конфиденциальность является очень серьезным вопросом, важно знать, что именно отслеживает сайт, на котором вы находитесь. Вы можете найти эту информацию в его политике конфиденциальности

Как правило, ссылка на эту политику расположена в самом низу главной страницы.

Политика конфиденциальности обязательно должна присутствовать на сайте, потому что если сайт собирает информацию, то необходимо, чтобы она была защищена. То, как сайт будет защищать вашу информацию, описано в этой политике. Если веб-сайт, на котором вы находитесь, не имеет ее, то есть большие сомнения в его легитимности и безопасности. Если же она имеется, но формулировки достаточно расплывчаты или непонятны, то имеются определенные опасения относительно того, как именно будет обеспечиваться безопасность вашей информации.

Тенденции

2019 году значительно (на 17 процентных пунктов по сравнению с 2018 годом) снизилась доля веб-приложений, содержащих уязвимости высокого уровня риска. Число критически опасных уязвимостей, которое в среднем приходится на одно приложение, снизилось по сравнению с прошлым годом почти в полтора раза.

Рисунок 1. Доли уязвимых сайтов в зависимости от максимальной степени риска уязвимостей

Анализируя данные за последние пять лет, мы видим закономерное снижение доли сайтов, содержащих критически опасные веб-уязвимостей, и, соответственно, общее повышение уровня защищенности.

Рисунок 2. Доли сайтов с уязвимостями различной степени риска

Временная анонимная почта

Временная почта – это ящик со случайным адресом и ограниченным сроком жизни. Он удобен, когда нужен доступ к сервису с регистрацией, а вы не планируете им долго пользоваться. Кроме того, сами «времянки» обычно не просят логиниться или указывать личную информацию. Просто заходишь на сайт и применяешь.

Сервисов временной почты много и найти удобный вариант не трудно

Обратить внимание стоит на эти:. Такая почта не защищает от последствий после перехода по подозрительным ссылкам и не предотвращает «слив» данных на фишинговом ресурсе

Но она помогает снизить до минимума поступающий спам, в котором часто скрываются подобные опасности

Такая почта не защищает от последствий после перехода по подозрительным ссылкам и не предотвращает «слив» данных на фишинговом ресурсе. Но она помогает снизить до минимума поступающий спам, в котором часто скрываются подобные опасности.

Раздел «Информационная безопасность»Родителям (законным представителям) обучающихся


Информационная памятка для родителей (законных представителей) обучающихся

 Информационный раздел сети образовательных учреждений Ярославской области, посвященный безопасной работе в сети Интернет

Сайт «Азбука цифрового мира»Азбука цифрового мира. Увлекательные комиксы, специализированные тренажёры и интересные игры!

Сайт «Подросток и закон»Баннер акции «Мы – ЗА безопасный Интернет» Участниками Интернет-акции «Мы – ЗА безопасный Интернет» могут стать образовательные организации, детские и молодежные клубы и объединения, а также каждый неравнодушный пользователь сети Интернет.

Рекомендуемые настройки защиты от угроз по сети

Защита от почтовых угроз

По умолчанию компонент Защита от почтовых угроз включен и работает в рекомендованном режиме:

Параметр Рекомендуемые настройки Инструкция
Область защиты Входящие и исходящие сообщения Как сформировать области защиты компонента Защита от почтовых угроз
Дополнительно: расширение в Microsoft Office Outlook Включено
Проверять вложенные архивы Включено Как настроить проверку составных файлов в сообщения электронной почты
Проверять вложенные файлы офисных форматов Включено
Фильтр вложений Переименовывать вложения указанных типов Как фильтровать вложения в сообщениях электронной почты
Эвристический анализ Средний
Действие при обнаружении угрозы Лечить; удалять, если лечение невозможно Как изменять действия над зараженными сообщениями электронной почты

Защита от веб-угроз

По умолчанию компонент Защита от веб-угроз включен и работает в рекомендованном режиме:

Параметр Рекомендуемые настройки Инструкция
Проверять ссылки по базе вредоносных веб-адресов Включено Как проверить ссылки по базам фишинговых и вредоносных веб-адресов
Проверять ссылки по базе фишинговых веб-адресов Включено
Эвристический анализ для обнаружения вирусов Средний Как использовать эвристический анализ в работе компонента Защита от веб-угроз
Эвристический анализ для обнаружения фишинговых ссылок Включено
Действие при обнаружении угрозы Запрещать загрузку Как изменить действия над вредоносными объектами веб-трафика

Миф №1: шлюз безопасности

Безопасность веб-приложений отличается от безопасности сети, даже если не брать в расчет единую точку отказа UTM и его возможное влияние на время отклика и пропускную способность сети, и, как следствие, снижение доступности. Веб-приложения должны быть доступны всем, поэтому остается только разрешить весь входящий трафик на порты 80 (HTTP) и 443 (HTTPs) и надеяться, что все будут играть по правилам. Мониторинг сессий на наличие, идентификацию и блокирование исполняемого кода не заменяет анализ трафика веб-приложений, поэтому эксплуатация уязвимости посредством легитимного веб-запроса не составляет труда при наличии шлюза безопасности «всё в одном».

Заключение

Подводя итоги, отметим, что уровень защищенности большинства веб-приложений продолжает оставаться низким. В каждом втором сайте присутствуют уязвимости высокого уровня риска. Впрочем, мы видим, что с каждым годом постепенно снижается доля веб-приложений, содержащих критически опасные уязвимости. Число уязвимостей, которое в среднем приходится на одно приложение, снизилось по сравнению с 2018 годом в полтора раза. Положительная тенденция заключается еще и в том, что компании начинают серьезней относиться к защите веб-приложений, причем не только публичных, но и используемых для внутренних нужд. Мы надеемся, что в следующем году уровень защищенности сайтов продолжит расти, а количество успешных атак на веб-приложения пойдет на спад

Достижение и последующее поддержание высокого уровня защищенности веб-приложения — это непростой процесс. На наш взгляд, наиболее эффективно его можно выстроить, придерживаясь двух главных правил:

  • исправлять выявленные уязвимости как можно раньше;
  • автоматизировать процессы, где это возможно.

Для их выполнения, помимо проведения анализа защищенности веб-приложений, компаниям стоит уделить внимание обучению разработчиков методам безопасной разработки и использовать инструменты для автоматизированного анализа исходного кода. Это позволит сократить количество ошибок и уязвимостей еще на этапе разработки

Кроме того, для защиты от атак на веб-приложения мы всегда рекомендуем применять превентивные меры защиты, такие как межсетевой экран уровня приложений (web application firewall, WAF). Веб-приложения постоянно модернизируются, а вместе с новыми «фичами» в них могут появляться и новые уязвимости. Использование WAF позволит снизить соответствующие риски. При этом WAF должен не только обнаруживать и предотвращать известные атаки на уровне приложения и бизнес-логики, но и выявлять эксплуатацию уязвимостей нулевого дня, предотвращать атаки на пользователей, анализировать и сопоставлять множество событий для выявления цепочек атак.


С этим читают