Как обеспечить информационную безопасность при локализации приложений Как обеспечить информационную безопасность при локализации приложений
Как обеспечить информационную безопасность при локализации приложений Как обеспечить информационную безопасность при локализации приложений
Как обеспечить информационную безопасность при локализации приложений Как обеспечить информационную безопасность при локализации приложений
Как обеспечить информационную безопасность при локализации приложений Как обеспечить информационную безопасность при локализации приложений
Как обеспечить информационную безопасность при локализации приложений Как обеспечить информационную безопасность при локализации приложений
Блог
21 октября 2022

Как обеспечить информационную безопасность при локализации приложений

iiii Tech
123056, Россия, Москва, Москва, 123056, ул. Большая Садовая 5, к. 1, коворкинг SOK
+7 495 663 70 80
В последние полгода российские компании вынужденно пересматривали бюджеты и корректировали программу эксплуатации решений для обеспечения информационной безопасности. Но неизменным осталось одно — вопрос по-прежнему является приоритетным для множества организаций из-за роста взломов и утечек данных. Рассмотрим, как противостоять наиболее популярным угрозам и управлять уязвимостями веб-приложений.

Зачем нужна защита веб-приложений

Веб-приложения — неотъемлемая часть рабочего процесса большинства компаний. АБС-системы банков, CRM, «1C» и другие программы, которыми ежедневно пользуются сотрудники, аккумулируют в себе огромное количество данных, обладающих коммерческой ценностью (речь про информацию, которую пользователи оставляют на сайтах и в приложениях или менеджеры собирают самостоятельно). Поэтому обеспечение безопасности веб-приложений — одна из ключевых задач для минимизации репутационных и финансовых рисков бизнеса.

Например, хакеры могут заполучить лиды из CRM-системы и перепродать их конкурентам. Также злоумышленники могут скачать клиентскую базу (как это было относительно недавно с «Яндекс.Едой»), а потом выложить в открытый доступ или предлагать ее на черном рынке. Обе ситуации подрывают доверие к компаниям, а также могут повлечь ответственность в виде штрафных санкций регуляторов.

Злоумышленники могут получить доступ к данным извне (при попытке взлома) или изнутри (при наличии пользовательского доступа к ИТ-инфраструктуре). Компании с огромными массивами данных регулярно подвергаются двум основным типам информационных угроз:

  • нарушение конфиденциальности, или «слив» данных;
  • нарушение доступности информации для легитимных пользователей, ее удаление или модификация.

Масштабы утечек впечатляют. Аналитики InfoWatch зарегистрировали в прошлом году свыше 330 таких случаев, которые произошли в коммерческих и государственных организациях в России. Общий объем утекших данных — 80,5 млн. записей, каждая из которых — это информация об одном пользователе. И это только зарегистрированные случаи. Вероятно, на самом деле их намного больше. Поэтому так остро для компаний стоит вопрос обеспечения информационной безопасности.


Как обеспечить безопасность веб-приложений


Обеспечение безопасности — непрерывный процесс. Компания должна чётко понимать поверхность атаки и возможности для её сокращения, а также регулярно мониторить веб-приложение на предмет возможных уязвимостей. Также бизнесу следует следить за обновлениями (патчинг). Уязвимости — это, в том числе, результат недоработки вендора, плохо защищенного протокола или недостаточно хорошо спроектированной архитектуры веб-приложения. Поэтому, выбирая ИТ-решение, нужно проверять, выпускает ли обновления разработчик ПО, и как часто он это делает. Эти меры помогут компании обеспечить минимальный уровень безопасности.

Сократить поверхности атаки и защитить сетевой периметр можно с помощью специализированных инструментов. Среди них межсетевые экраны нового поколения, брандмауэры, файерволы (AppFW), системы фильтрации веб-трафика, сервисы блокировки DDoS- и веб-атак. Если мы говорим о бизнес-приложениях, которые собирают и обрабатывают коммерческие персональные данные, то для их хранилищ нужен дополнительный Database Firewall, чтобы добиться защищенности на всех трех уровнях:

  • презентационный — то, что видит пользователь на экране (кнопки, поля для заполнения и прочее);
  • само приложение — его логика, опции и порядок их взаимодействия с пользователем;
  • база данных.

Защита веб-приложения на всех трех уровнях позволяет исключить вероятность наиболее распространенных атак, таких как SQL-инъекция, перебор паролей (брутфорс), инъекция кода, межсайтовый скриптинг. Эти и другие инструменты сокращают поверхность атаки и увеличивают стоимость несанкционированных попыток кражи и повреждения конфиденциальной информации. Чем больше таких средств защиты использует бизнес, тем выше вероятность, что злоумышленники не будут испытывать интерес к его веб-приложениям — они больше потеряют, чем заработают.

О дополнительной защите данных стоит позаботиться компаниям, чьи сотрудники работают на удаленке. Поскольку массивы корпоративной информации фактически «переехали» на персональные компьютеры, бизнес получил дополнительные риски и уязвимости: взломать домашнюю сеть или ноутбук достаточно легко. Решить проблему могут комплексные решения, многие из которых сейчас работают с использованием облачных технологий, а значит, к ним легко подключиться и настроить для всех пользователей вне зависимости от их месторасположения. Обслуживание таких сервисов происходит удаленно, антивирусные базы автоматически обновляются в фоновом режиме, не влияя на работоспособность сети. Более того, подобное облачное решение поможет сэкономить бюджет на обеспечение информационной безопасности, поскольку всю ответственность за сохранность и конфиденциальность данных берет на себя провайдер.

И последнее, на что обязательно стоит обратить внимание, — контроль за тем, как приложение передает трафик между внутренними компонентами инфраструктуры, например, серверами компании. Такие точки интеграции — одни из наиболее уязвимый мест. Стоит заранее позаботиться о мониторинге — тогда будет понятно, как именно работает в нормальном режиме сайт, что может являться девиацией и на какие нестандартные вещи следует обращать внимание. Как пример: сайт работает для внутреннего рынка страны, предполагается, что посетители сайта — жители одного региона, и, соответственно, трафик из других стран не ожидается. Благодаря процессу мониторинга видно, что идет очень много запросов со стороны других стран — значит, эти запросы мы можем просто не обрабатывать, снизить нагрузку на сайт и избежать возможных проблем.

Средства защиты, безусловно, обновляются и совершенствуются, но неизменными остаются принципы работы на трех уровнях веб-приложений. Некоторые классические подходы меняются из-за того, что злоумышленники фокусируются на современных приложениях. Например, проактивный мониторинг сложно организовать, если использовать только традиционные инструменты. Это может привести к замедлению скорости работы приложений за счет статического сканирования, росту расходов, снижению производительности и качества сервиса. Однако услуги и инструменты обеспечения информационной безопасности всегда будут востребованы, поскольку объемы персональных данных только растут, как и квалификация злоумышленников.

Павел Яшин, руководитель службы информационной безопасности iiii Tech (“Форайз”)

CyberSecurity
Читайте также
/events/lokalizaciya-bi-reshenij/
Локализация BI-решений Локализация BI-решений
Локализация BI-решений Локализация BI-решений
Локализация BI-решений Локализация BI-решений
Вебинар
Локализация BI-решений
01 декабря 2022
/about/media/blog/kiberbezopasnost-sistem-ispolzuemykh-v-marketinge/
Кибербезопасность систем, используемых в маркетинге Кибербезопасность систем, используемых в маркетинге
Кибербезопасность систем, используемых в маркетинге Кибербезопасность систем, используемых в маркетинге
Кибербезопасность систем, используемых в маркетинге Кибербезопасность систем, используемых в маркетинге
Блог
Кибербезопасность систем, используемых в маркетинге
21 ноября 2022
/about/media/blog/oblachnaya-arkhitektura-11-samykh-vazhnykh-tendentsiy-na-2022-god/
Облачная архитектура: 9 самых важных тенденций на 2022 год Облачная архитектура: 9 самых важных тенденций на 2022 год
Облачная архитектура: 9 самых важных тенденций на 2022 год Облачная архитектура: 9 самых важных тенденций на 2022 год
Облачная архитектура: 9 самых важных тенденций на 2022 год Облачная архитектура: 9 самых важных тенденций на 2022 год
Блог
Облачная архитектура: 9 самых важных тенденций на 2022 год
11 ноября 2022
Подпишитесь на рассылку!
Отправляем только полезные письма
Нажимая на кнопку, я соглашаюсь с политикой обработки персональных данных
Продолжая использовать этот сайт и нажимая на кнопку «Принимаю», вы даете согласие на обработку файлов cookie