SEO Conference: как обеспечить безопасность клиентских сайтов
На SEO Conference 2016, которая проходит с 29 по 30 сентября в Казани, обсуждались не только вопросы поискового продвижения. Григорий Земсков (Ревизиум) выступил с докладом «Как обеспечить безопасность клиентских сайтов в процессе оказания услуг».
Свое выступление Григорий начал с заявления, что около 20% сайтов сайтов взламываются по вине их владельцев или администраторов. Ведь чаще всего до безопасности сайта никому нет дела. Владелец сайта занимается организационными вопросами, а специалистам, работающим над продвижением и развитием ресурса, обычно не до того или просто не хватает компетенций.
Отношение сотрудников рядовой компании к безопасности наглядно демонстрирует схема «миграции» паролей:
Клиент передает пароль менеджеру/рабочей группе, рабочая группа обращается к внешним подрядчикам или другой рабочей группе. Стоит взломать аккаунт одного из агентов – злоумышленник получает доступ ко всем данным.
Какими еще способами утекают пароли? Есть несколько вариантов:
1. Уязвимости ПО/хостинга
2. Заражение роутера
3. Компропетация сервера
4. Взлом почтового ящика
5. Взлом или заражение компьютера
6. Социальная инженерия
7. Перехват доступов по wi-fi
8. Подбор пароля (брутфорс атака)
9. Раскрытие доступов третьим лицам
Халатное отношение к безопасности сайта может повлечь разные последствия, начиная от технических проблем и заканчивая потерей бюджетов.
Еще одна проблема, с которой сталкиваются владельцы сайтов, − повторный взлом сайтов. Причины:
- Не поменяли пароли
- Восстановили сайт из резервной копии
- Перенесли на prod-сервер зараженную версию с dev-сервера
- Отключили защиту
- Любая из причин, по которой взломали в первый раз
Комплексная безопасность сайта состоит из технических средств и организационных мер.
Подробно Григорий рассказал про организационные меры:
- Безопасное рабочее место (выбор ОС, регулярное обновление ОС, антивирусное ПО, использование менеджеров паролей, отдельный рабочий компьютер или терминал, мониторинговые расширения);
- Сетевое подключение (выбор безопасного сетевого подключения (роутер, 3G/LTE), использование VPN для открытых сетей);
- Управление доступами (регулярная смена паролей от панели хостинга, FTP, SSH, админ-панели сайта, базы данных, сложные и разные пароли, включить логгирование операций, у подрядчиков минимальные необходимые доступы с минимальным сроком валидности, заменить доступы сразу после завершения работы, двухфакторная аутэнтификация, SSH-ключи для подключения, не использовать FTP);
- Инструктаж (составить инструкцию по безопасности, познакомить субподрядчиков с предписаниями и инструкцией, проверить выполнение);
- Резервное копирование (выбрать стратегию резервного копирования, выбрать место для хранения (не на сервере), проверить резервные копии);
- Аудит безопасности (аудит перед публичным анонсом проекта, регулярные проверки на вирусы и взлом в процессе работы, аудит после работы подрядчиков).
В завершение выступления Григорий напомнил о том, что «словарные пароли» сложно считать безопасными:
Читайте и другие доклады обзоры с конференции:
Случилось что-то важное? Поделитесь новостью с редакцией.