Деловые ведомости
Подписаться всего за 3.99 €
Деловые ведомости
Мой ДВ
  • OMX Baltic0,08%311,06
  • OMX Riga0,11%879,64
  • OMX Tallinn0,04%2 056,51
  • OMX Vilnius0,64%1 362,44
  • S&P 5000,89%6 586,81
  • DOW 300,66%46 648,16
  • Nasdaq 1,34%21 878,91
  • FTSE 1001,85%10 364,79
  • Nikkei 2255,24%53 739,68
  • CMC Crypto 2000,00%0,00
  • USD/EUR0,00%0,86
  • GBP/EUR0,00%1,15
  • EUR/RUB0,00%92,99
  • OMX Baltic0,08%311,06
  • OMX Riga0,11%879,64
  • OMX Tallinn0,04%2 056,51
  • OMX Vilnius0,64%1 362,44
  • S&P 5000,89%6 586,81
  • DOW 300,66%46 648,16
  • Nasdaq 1,34%21 878,91
  • FTSE 1001,85%10 364,79
  • Nikkei 2255,24%53 739,68
  • CMC Crypto 2000,00%0,00
  • USD/EUR0,00%0,86
  • GBP/EUR0,00%1,15
  • EUR/RUB0,00%92,99
  • 19.10.23, 11:29

Как защитить свой сайт от кибератак? 

30 000 сайтов по всему миру ежедневно подвергаются кибератакам, нацеленным на то, чтобы заблокировать их работу либо украсть, повредить или удалить данные. Об угрозах, связанных с такими атаками, и о том, как максимально эффективно защитить от них свою веб-среду, рассказывает инженер по решениям кибербезопасности Telia Танель Киндсиго.  
К киберзащите надо подходить комплексно.
  • К киберзащите надо подходить комплексно.
  • Foto: Raul Mee
В программном обеспечении регулярно обнаруживаются слабые места с точки зрения безопасности, которыми могут воспользоваться киберпреступники. Более половины сайтов в мире создаются с помощью программного обеспечения для управления контентом, в подавляющем большинстве случаев – конкретно WordPress, в котором тоже обнаруживается много недоработок. Киберпреступники могут начать использовать слабые места, не выдавая себя, и нанести ущерб предприятию до того, как изъяны в системе безопасности будут выявлены и устранены.
Эксперт Telia подчеркивает, что сегодня к киберзащите надо подходить комплексно. «Такие элементарные меры, как, например, регулярное обновление ПО или ограничение доступа к данным просто необходимы, но их недостаточно, чтобы обеспечить необходимый уровень защиты», – сказал Танель Киндсиго.
Ниже мы рассмотрим распространенные виды кибератак на коммерческие веб-сайты и основные принципы защиты от них.

Статья продолжается после рекламы

Кража данных

Утечка данных может нанести компании как репутационный ущерб, так и крупные финансовые потери. Например, преступники могут попытаться продать украденную коммерческую тайну вашему конкуренту. Персональные данные клиентов в случае утечки также используются в преступных целях, для перепродажи или разглашения. Это, в свою очередь, может привести к расследованию со стороны Инспекции по защите данных и даже штрафу.

Подмена информации или повреждение данных

Если сайт удается взломать, преступники могут изменить контент, распространяя через него, например, нежелательную рекламу или просто ложную информацию. Также злоумышленники могут повредить данные и потребовать выкуп за их восстановление. Вдобавок ко всему этому преступники могут изменить код сайта таким образом, что при авторизации пользователя его пароли отправлялись бы на их сервер, что открывает доступ к контенту.

Подбор имени и пароля пользователя

В глубинах интернета ведется торговля базами данных идентификаторов и паролей пользователей. Эти данные могут быть использованы для попыток авторизоваться на сайте компании путем перебора паролей. Если человек использует один и тот же пароль для разных систем, риск взлома вполне реален.

Нарушение работы сайта

Смысл атаки состоит в том, что в результате отправки на веб-сервер огромного количества запросов, сервер не успевает на них реагировать, и сайт начинает работать очень медленно или становится полностью недоступен. Такие атаки типа «отказ в обслуживании» (англ. Denial of Service, или DoS) предпринимаются чаще всего на веб-серверы госсектора и поставщиков жизненно важных услуг с целью парализовать общество. Хотя иногда таким образом атакуют и небольшие частные компании, в работе которых функционирование сайта имеет жизненно важное значение, чтобы потребовать у них выкуп. И эти атаки часто заканчиваются успешно, если организация не предусмотрела защиту от таких угроз.

Распространение вредоносного ПО

Сайты часто используются для распространения вредоносного ПО. Внешне сайт может выглядеть нетронутым и вполне корректным, но на самом деле его посетители незаметно для себя скачивают вредоносное ПО. Многие сайты используют JavaScript, который незаметно запускается в браузере и облегчает ситуацию, но риск заражения все же остается.

Атаки через интерфейс прикладного ПО

По разным данным, трафик через интерфейс прикладного программного обеспечения (API) уже составляет 50–80% всего интернет-трафика. Таким образом, безопасность API больше нельзя упускать из виду. В основном через API взаимодействуют между собой сами веб-приложения. Этот интерфейс очень удобен для того, чтобы приложения могли получать необходимые данные с сайта, обрабатывать их или сохранять. К сожалению, API все чаще пользуются и киберпреступники.  API — это, по сути, программный код на веб-сервере, и если разработчики при его создании недостаточно продумали вопросы безопасности, он позволяет заполучить даже данные с ограничением доступа или их удалить.
Хорошая новость состоит в том, что предприятия могут сами многое сделать для противодействия перечисленным киберугрозам. Поэтому приведем здесь 9 рекомендаций по защите соей веб-среды.
1. Делайте резервные копии данных

Горячие новости

  • 29.03.26, 12:15
«Зимой на счету бывала однозначная сумма». Предприниматель развивает рыбный туризм на Эмайыги
  • 31.03.26, 08:22
Несколько дронов залетело ночью в воздушное пространство Эстонии
  • 30.03.26, 06:00
Эстонский бизнес готовится к блэкаутам: у одних есть план, у других – вопросы
  • KM
  • 23.03.26, 15:55
Новый район в Виймси привлекателен не только для жилья, но и для инвестиций
Общий объём проекта оценивается в 20 миллионов евро

Статья продолжается после рекламы

Никто не захочет оказаться в ситуации, когда при взломе сайта вся база данных окажется удалена или зашифрована, а резервной копии нет. Поэтому всегда стоит делать резервные копии важных для компании данных. Чтобы резервные копии не могли быть удалены при кибератаке, важно хранить их отдельно от веб-систем. Кроме того, стоит периодически проверять целостность копий на предмет возможных повреждений.
2. Установите ограничения на доступ к данным
Доступ к важным данным должен быть только у авторизованных пользователей. Ограничение доступа к данным реализуется методами MFA (Multi-Factor Authentication) и авторизацией. Для этого нужно классифицировать данные, четко распределив между определенными пользователями разрешения на доступ к одним данным и предоставив свободный доступ к другим.
3. Применяйте меры по контролю вводимой информации
Веб-сайт легче атаковать, если информация, вводимая пользователем в формы для заполнения, не контролируется. С помощью введенного в форму специального кода можно проводить множество атак различного типа, например SQL-инъекцию, которая дает киберпреступникам практически неограниченный доступ к базе данных компании. Поэтому нужно максимально точно определить для веб-приложения, какие именно данные нужны от посетителей сайта в каждом конкретном случае, и в случае несоответствия запрограммировать отмену запроса.
4. Обновляйте программное обеспечение сервера
Время от времени в программном обеспечении серверов обнаруживаются слабые места, которыми могут воспользоваться киберпреступники. Важно следить за выходом новых версий программного обеспечения и своевременно его обновлять.
5. Обновляйте прикладное ПО

Статья продолжается после рекламы

Пользуетесь ли вы ПО для управления контентом или пишете код самостоятельно, очень важно регулярно обновлять прикладное программное обеспечение. В случае собственного программного кода нужно иметь в виду, что дыры в безопасности сами по себе не выявятся, кто-то должен специально искать их и тестировать.
6. Сканируйте веб-приложения на предмет безопасности
Регулярное сканирование безопасности в первую очередь необходимо тем, кто сам разрабатывает код своих веб-приложений. Сканирование позволяет быстро обнаружить самые известные уязвимости, чтобы успеть устранить их до того, как злоумышленники начнут их эксплуатировать.
7. Закажите сквозное тестирование на проникновение для критически важных приложений
Помимо сканирования на наличие уязвимостей, для наиболее критичных приложений стоит заказать тестирование на проникновение у поставщика, который специализируется на поиске уязвимостей и других возможностей взломать сайт. При обнаружении проблем специалист составляет отчет, на основании которого можно приступить к устранению уязвимостей.
8. Используйте шифрование трафика
Будьте осторожны в общедоступной сети Wi-Fi – может оказаться, что киберпреступники ее уже взломали и отслеживают и скачивают весь трафик. Поэтому важно всегда использовать шифрованную передачу данных. Веб-трафик подчиняется протоколу https. Любой сайт должен использовать достаточно безопасные криптографические алгоритмы, которые невозможно взломать.
9. Используйте файрвол для веб-приложения
Файрвол для веб-приложений или WAF (Web Application Firewall) устраняет многие опасные моменты. Это одно из самых сложных решений, которое создает на оборудовании безопасности многоуровневую защиту. Оно обнаруживает и отражает атаки на сайт и составляет соответствующие логи и отчеты, дающие обзор того, что происходит в вашем веб-приложении.
Данная тема вас интересует? Подпишитесь на ключевые слова, и вы получите уведомление, если будет опубликовано что-то новое по соответствующей теме!

Похожие статьи

О размере выкупа, назначенного хакерами BlackCat, до сих пор нет никакой достоверной информации.
  • 03.09.22, 14:09
Связанные с Россией хакеры требуют выкуп от энергетического агентства Италии
Вид от жилого дома Joaoru Residentsid на замок Германа.
  • KM
  • 01.04.26, 12:36
Рынок недвижимости Нарвы меняется: спустя тридцать лет завершен первый новый жилой проект

Самые читаемые

1
Новости
  • 29.03.26, 12:15
«Зимой на счету бывала однозначная сумма». Предприниматель развивает рыбный туризм на Эмайыги
2
Новости
  • 31.03.26, 08:22
Несколько дронов залетело ночью в воздушное пространство Эстонии
3
Новости
  • 31.03.26, 08:57
Кристьян Марусте, ведущий Tuul к банкротству: я потерял все, что у меня вообще когда-либо было
4
Новости
  • 31.03.26, 11:34
Eesti Energia закрывает карьер Narva и сокращает 100 человек
добавлен комментарий профсоюза
5
Новости
  • 30.03.26, 17:16
Сергей Аникин ушел с поста технического директора Bolt спустя пять месяцев
6
Эпицентр
  • 30.03.26, 06:00
Эстонский бизнес готовится к блэкаутам: у одних есть план, у других – вопросы

Последние новости

Подсказка
  • 01.04.26, 18:53
Эксперт объясняет: на что смотрит банк при выдаче кредита компании?
Биржа
  • 01.04.26, 18:29
Акции Nike упали до минимума за последние 11 лет
Новости
  • 01.04.26, 18:03
Немецкий «единорог» получил разрешение приобрести контрольный пакет эстонской оборонной компании
Новости
  • 01.04.26, 17:52
Тармо Сильд пожертвовал автомобилем Porsche ради бизнеса. «Позже я выкупил его обратно»
Новости
  • 01.04.26, 17:01
Эстонский ученый получил докторскую степень в Гарварде и основал стартап в США. «Построить компанию – это супертрудно»
Подсказка
  • 01.04.26, 16:31
Пропущенные налоговые сроки: чем оборачивается забывчивость бухгалтера
Новости
  • 01.04.26, 15:03
Глава сети ломбардов: люди закладывают все больше вещей, такого не было за все 20 лет работы
Новости
  • 01.04.26, 14:21
Осиновский окончательно проиграл спор по трамвайному тендеру

Сейчас в фокусе

Российский «криптокороль» Дмитрий Васильев (слева) и владелец российской криптошифровальной компании Антон Рудов (справа) столкнулись в эстонском суде.
Эпицентр
  • 31.03.26, 06:00
Загадка на миллион: ИТ-подрядчик российских силовиков, обосновавшийся в Таллинне, выиграл суд у скандального криптобизнесмена
«На самом деле удар постиг нас еще в конце 2023 года», – сказал Кристьян Марусте Äripaev. На фото – Марусте в 2023 году.
Новости
  • 31.03.26, 08:57
Кристьян Марусте, ведущий Tuul к банкротству: я потерял все, что у меня вообще когда-либо было
Ночью в воздушное пространство Эстонии попало несколько дронов, которые, по всей видимости, принадлежали Украине. Поэтому населению были разосланы оповещения об опасности, а с базы в Эмари в воздух были подняты истребители НАТО. Иллюстративное фото.
Новости
  • 31.03.26, 08:22
Несколько дронов залетело ночью в воздушное пространство Эстонии
Около 70 человек продолжат работать на карьере Narva – они будут заниматься деятельностью, связанной с его закрытием и рекультивацией. Эти работы продлятся до 2029 года.
Новости
  • 31.03.26, 11:34
Eesti Energia закрывает карьер Narva и сокращает 100 человек
добавлен комментарий профсоюза
На вопрос, что произойдет, если разблокированные деньги успеют снять со счета, Кийск ответила, что теоретически эмитент может до завтра сообщить Nasdaq CSD о сокращении объема эмиссии, в случае, если не получит всю сумму.
Биржа
  • 31.03.26, 14:40
Кийск – о ситуации с облигациями Coop Pank: произошла фундаментальная ошибка
Арестованные криптопредприниматели Сулев Кохьюс (слева) и Мартин Мандер (справа) рассказали в своем манифесте о «новом движении», которое они представляют как альтернативу нынешнему миру и системе.
Новости
  • 30.03.26, 15:24
Манифест на 80 страниц: находящиеся под следствием криптобизнесмены обещают «пробудившимся» новый мир
Сергей Аникин заявил, что хочет работать с основателями компаний и небольшими командами.
Новости
  • 30.03.26, 17:16
Сергей Аникин ушел с поста технического директора Bolt спустя пять месяцев
Система Workwear Flex использует цифровую идентификацию, например, чип-карту сотрудника, с помощью которой регистрируется выдача и возврат одежды. Таким образом у предприятия формируется реальное представление о том, как используется рабочая одежда и какова фактическая потребность в различных моделях и размерах.
  • KM
Content Marketing
  • 27.03.26, 13:05
Как сократить административную нагрузку и расходы, связанные с рабочей одеждой

Подписаться на рассылку

Подпишитесь на рассылку и получите важнейшие новости дня прямо в почтовый ящик!

На главную

Деловые ведомости

Vana-Lõuna 39/1, 19094 Tallinn

(+372) 667 0111

[email protected]

Помимо экономического контента, «Деловые ведомости» предлагают широкий спектр политической аналитики и зарубежных новостей.

© AS Äripäev 2000-2026