26.11.2020

О безопасности веб-приложений и веб-сервисов

В современном мире бизнес-процессы и повседневная жизнь все больше и больше зависят от использования веб-приложений и веб-сервисов, поэтому вопросы их безопасности находятся в первой десятке трендов и угроз информационной безопасности.

Специализированных средств защиты веб-приложений немного - Фото: Biljana Jovanovic /

Так как специализированных средств защиты веб-приложений немного, зачастую эту задачу возлагают на разработчиков, которые, к сожалению, не всегда уделяют должное внимание вопросам безопасности и устранению уязвимостей.

Количество и разновидность атак на веб-приложения неуклонно растёт, причём большинство из них направлены на нарушение конфиденциальности и доступности информации. Их основной вектор - эксплуатация существующих уязвимостей с целью отказа в обслуживании. Модель нарушителя может быть крайне разнообразной: от любителей до профессиональных кибер-преступников, которые могут использовать весь арсенал средств взлома, вплоть до автоматических систем эксплуатации уязвимостей. Общедоступные веб-приложения интересны хакерам как ресурсы или инструменты заработка. Спектр применения полученной в результате взлома информации широкий: это может быть платное предоставление доступа к ресурсу, использование в различных бот-сетях и многое другое.

Как защитить свои веб-сервисы от действий злоумышленников? Прежде всего это использование специализированных защитных экранов для веб-приложений Web Application Firewall. Основные требования, предъявляемые к современные экранам, следующие:

  • обработка трафика без задержек в режиме реального времени;
  • независимость от платформы веб-приложений;
  • виртуальный патчинг;
  • актуальные и пополняемые базы сигнатур атак и IP-reputation;
  • блокировка нелегитимных запросов;
  • своевременное выявление бот-активности, брутфорс-атак, краулинга;
  • блокировка DDoS-атак;
  • выявление и блокирование новых атак, в том числе с помощью методов машинного обучения.

Лучшие образцы Web Application Firewall имеют в своем распоряжении интегрированные сканеры уязвимостей, которые могут использоваться в режиме реального времени для быстрой проверки тех уязвимостей, которые «прощупывают» злоумышленники.

И в заключении, как всегда, совет руководителю: Сейчас информационная безопасность перестала быть «вещью в себе» или модным трендом. Это услуга, и необходимая, и доступная для компаний любого размера. А затраты на нее - не статья расходов, а инвестиции в будущее.

Защищайте свои информационные активы, работайте на перспективу и обеспечивайте себе конкурентное преимущество в наш век высоких технологий!

Выпуск подготовил директор департамента проектирования компании «Газинформсервис» Александр Калита. Держитесь безопасного курса и берегите себя!

Поделиться
Комментировать Связь с редакцией
Выделите опечатку и нажмите Ctrl + Enter, чтобы отправить сообщение об ошибке.

Рекомендуем

Об импортозамещении в кибербезопасности
В Российской Федерации проблемой импортозамещения в ИТ и кибербезопасности всерьёз занялись после обмена санкциями.
О хранении документов с электронной подписью
Среди трех видов электронной подписи на особом месте находится усиленная квалифицированная подпись.
О безопасности веб-приложений и веб-сервисов
В современном мире бизнес-процессы и повседневная жизнь все больше и больше зависят от использования веб-приложений и веб-сервисов, поэтому вопросы их…
О процедуре подписания электронного документа и проверки электронной подписи
Основой доверия к электронной подписи является строгая процедура личной идентификации владельца сертификата.

Комментарии

    Выделите опечатку и нажмите Ctrl + Enter, чтобы отправить сообщение об ошибке.