«Спасибо за взлом, Бен»: как извлечь пользу из хакерских атак и выстроить киберзащиту в e-commerce
Оценки ущерба российских компаний от кибератак исчисляются десятками миллиардов рублей в год. Рост киберугроз стал серьезным вызовом для бизнеса, требующим равновесных ответных затрат. Внедрение комплексной системы защиты данных — это уже не инвестиция на будущее, а насущная необходимость. Практика показывает, что излишней бдительности здесь не бывает.
В начале самостоятельного пути мы в Industrial.Market — маркетплейсе для бизнеса — столкнулись со взломом, ставшим катализатором для ускоренного развития системы защиты платформы и внедрения процессов кибербезопасности. Все началось с письма от некоего Бена: он утверждал, что нашел уязвимость в системе. Мы сразу переместили системы за VPN-канал, чтобы минимизировать риск повторной атаки, и начали общение, ожидая худшего.
Изначально Industrial.Market был создан для упрощения закупок «Северстали» и развивался внутри контура головной компании, а наш IT-отдел занимался только разработкой платформы и ее улучшением под нужды заказчика. Безопасность обеспечивал зашифрованный интранет «родителя», и мы мало занимались защитой данных. Ситуация изменилась, когда мы вышли на внешний рынок, предложив крупным предприятиям перевести их закупки на единую платформу. В компании быстро сформировались команды полного цикла разработки со своими целями и задачами: бизнес, продуктовый и технический департамент. Последний прицельно занялся защитой платформы. Однако в переписке с Беном выяснилось, что он получил доступ к данным сотрудников. Проверка подтвердила — бреши в защите были глубоко скрыты в коде системы, которой мы пользовались на тот момент. Хакер запросил компенсацию, но, узнав о санкциях, мешающих этой «выплате», согласился подождать их снятия.
Нам удалось переиграть киберпреступника, и этот опыт стал ценным уроком для нашей команды. Мы поняли, что были сосредоточены на функциональности платформы, не учитывая, что интерес к маркетплейсам может быть и криминальным. После устранения угрозы мы привлекли «белых хакеров» для аудита и испытания кода. Результаты говорили не в нашу пользу: команда выявила ряд уязвимостей и вредоносных зависимостей, которые могли бы быть использованы злоумышленниками.
Мы пересмотрели весь подход к созданию платформы и внедрили методологию Secure Software Development Lifecycle. Она подразумевает обеспечение безопасности на каждом этапе жизненного цикла ПО. Оценка рисков по списку OWASP Top-10 помогла выделить основные угрозы, такие как утечка информации и несанкционированный доступ, связанные с недостатками в аутентификации и авторизации пользователей.
Подход к разработке и эксплуатации платформы в Industrial.Market сегодня базируется на девяти принципах:
1. Моделирование угроз.
Тщательная оценка архитектуры платформы стала для нас регулярной практикой. Каждая задача из бэклога разработки проходит через процесс оценки рисков, что позволяет предугадывать возможные уязвимости.
2. Правила безопасного кодирования.
Командам разработки полезно иметь свои «кодексы» безопасного кодирования. В Industrial.Market мы определили принципы для B2B-маркетплейсов, которые включают:
3. Аутентификация и авторизация.
Для нашей специфики подошла многофакторная аутентификация с использованием отечественного решения «Мультифактор». Дополнительно мы создали ролевую модель для пользователей, которая обеспечила разграничения прав доступа к информации.
4. Шифрование данных.
Использование протоколов шифрования, таких как HTTPS/TLS, давно стало лучшей практикой построения веб-приложений. На Industrial.Market вся информация хранится в зашифрованном виде благодаря алгоритмам, похожим на гомоморфное шифрование. При работе данные выглядят как незашифрованные, а при краже — превращаются в тыкву.
5. Межсетевой экран прикладного уровня (WAF).
Использование WAF для фильтрации веб-трафика позволяет эффективно предотвращать атаки, включая SQL-инъекции и межсайтовое выполнение скриптов (XSS). Мы фиксируем множество попыток атак и ботовых активностей, в том числе на исчерпание ресурсов сайта.
6. Управление сессиями.
Атаки на идентификаторы сессии — разновидность brute force атак, при которых хакер угадывает действующий идентификатор сессии, а не пароль для входа. Для защиты от таких атак мы внедрили следующие меры:
7. Мониторинг безопасности и реагирование на инциденты.
Лучшим решением для раннего обнаружения атак являются системы EDR (Endpoint Detection and Response) в сочетании с SIEM (Security Information and Event Management). Последние автоматически отслеживают тревоги, обрабатывают данные, выявляют отклонения и оповещают операторов.
В Industrial.Market мы используем Wazuh — open-source-решение класса XDR, объединяющее функции EDR и SIEM. Оно собирает и визуализирует логи, позволяя администраторам проводить первичный анализ аномалий и передавать его профильным ИБ-специалистам, включая:
8. Безопасное развертывание и управление исправлениями.
Для защиты от взломов через стандартные или устаревшие настройки безопасности мы используем инструменты CSPM (Cloud Security Posture Management), которые мониторят и оценивают настройки безопасности, что снижает инциденты на 80% и автоматически исправляет ошибки совместно с системой XDR.
9. Регулярные проверки безопасности и тестирование на проникновение.
В конце разработки мы проводим оценку уязвимостей и тестирование на проникновение, включая анализ конфигурации, взаимодействия с системами, удаленное сканирование и моделирование действий злоумышленника, что позволяет обоснованно принимать решение о запуске новой версии платформы.
В 2024 году мы видим рост атак программ-вымогателей и их сложных форм — DDoS-атак. Преступники используют машинное обучение и генеративный ИИ, усовершенствовавший методы социальной инженерии. Чтобы достойно противостоять этим угрозам, необходимо внедрять новые подходы, включая использование глубокого машинного обучения. B2B-маркетплейсы — как и банки, мобильные операторы, сервисные компании — обязаны с удвоенной силой следить за безопасностью и конфиденциальностью данных своих клиентов. Это непростая задача, но системный подход и современные технологии позволяют ее решить.
Этот материал опубликован на платформе бизнес-сообщества Forbes Экспертиза
В начале самостоятельного пути мы в Industrial.Market — маркетплейсе для бизнеса — столкнулись со взломом, ставшим катализатором для ускоренного развития системы защиты платформы и внедрения процессов кибербезопасности. Все началось с письма от некоего Бена: он утверждал, что нашел уязвимость в системе. Мы сразу переместили системы за VPN-канал, чтобы минимизировать риск повторной атаки, и начали общение, ожидая худшего.
Изначально Industrial.Market был создан для упрощения закупок «Северстали» и развивался внутри контура головной компании, а наш IT-отдел занимался только разработкой платформы и ее улучшением под нужды заказчика. Безопасность обеспечивал зашифрованный интранет «родителя», и мы мало занимались защитой данных. Ситуация изменилась, когда мы вышли на внешний рынок, предложив крупным предприятиям перевести их закупки на единую платформу. В компании быстро сформировались команды полного цикла разработки со своими целями и задачами: бизнес, продуктовый и технический департамент. Последний прицельно занялся защитой платформы. Однако в переписке с Беном выяснилось, что он получил доступ к данным сотрудников. Проверка подтвердила — бреши в защите были глубоко скрыты в коде системы, которой мы пользовались на тот момент. Хакер запросил компенсацию, но, узнав о санкциях, мешающих этой «выплате», согласился подождать их снятия.
Нам удалось переиграть киберпреступника, и этот опыт стал ценным уроком для нашей команды. Мы поняли, что были сосредоточены на функциональности платформы, не учитывая, что интерес к маркетплейсам может быть и криминальным. После устранения угрозы мы привлекли «белых хакеров» для аудита и испытания кода. Результаты говорили не в нашу пользу: команда выявила ряд уязвимостей и вредоносных зависимостей, которые могли бы быть использованы злоумышленниками.
Мы пересмотрели весь подход к созданию платформы и внедрили методологию Secure Software Development Lifecycle. Она подразумевает обеспечение безопасности на каждом этапе жизненного цикла ПО. Оценка рисков по списку OWASP Top-10 помогла выделить основные угрозы, такие как утечка информации и несанкционированный доступ, связанные с недостатками в аутентификации и авторизации пользователей.
Подход к разработке и эксплуатации платформы в Industrial.Market сегодня базируется на девяти принципах:
1. Моделирование угроз.
Тщательная оценка архитектуры платформы стала для нас регулярной практикой. Каждая задача из бэклога разработки проходит через процесс оценки рисков, что позволяет предугадывать возможные уязвимости.
2. Правила безопасного кодирования.
Командам разработки полезно иметь свои «кодексы» безопасного кодирования. В Industrial.Market мы определили принципы для B2B-маркетплейсов, которые включают:
- полное недоверие к пользовательскому вводу;
- строгий контроль нажатий клавиатуры и заполнения форм;
- проверка и кодирование данных перед выводом на веб-страницы;
- внедрение интеллектуальной валидации;
- избежание хранения критически важной информации в скрытых полях страницы.
3. Аутентификация и авторизация.
Для нашей специфики подошла многофакторная аутентификация с использованием отечественного решения «Мультифактор». Дополнительно мы создали ролевую модель для пользователей, которая обеспечила разграничения прав доступа к информации.
4. Шифрование данных.
Использование протоколов шифрования, таких как HTTPS/TLS, давно стало лучшей практикой построения веб-приложений. На Industrial.Market вся информация хранится в зашифрованном виде благодаря алгоритмам, похожим на гомоморфное шифрование. При работе данные выглядят как незашифрованные, а при краже — превращаются в тыкву.
5. Межсетевой экран прикладного уровня (WAF).
Использование WAF для фильтрации веб-трафика позволяет эффективно предотвращать атаки, включая SQL-инъекции и межсайтовое выполнение скриптов (XSS). Мы фиксируем множество попыток атак и ботовых активностей, в том числе на исчерпание ресурсов сайта.
6. Управление сессиями.
Атаки на идентификаторы сессии — разновидность brute force атак, при которых хакер угадывает действующий идентификатор сессии, а не пароль для входа. Для защиты от таких атак мы внедрили следующие меры:
- длинные и непредсказуемые идентификаторы сессий, что значительно усложняет подбор значения;
- запрет на использование предсказуемых алгоритмов генерации (счетчиков);
- установка тайм-аутов сессий — ограничение времени их жизни.
7. Мониторинг безопасности и реагирование на инциденты.
Лучшим решением для раннего обнаружения атак являются системы EDR (Endpoint Detection and Response) в сочетании с SIEM (Security Information and Event Management). Последние автоматически отслеживают тревоги, обрабатывают данные, выявляют отклонения и оповещают операторов.
В Industrial.Market мы используем Wazuh — open-source-решение класса XDR, объединяющее функции EDR и SIEM. Оно собирает и визуализирует логи, позволяя администраторам проводить первичный анализ аномалий и передавать его профильным ИБ-специалистам, включая:
- IP-адреса атакующих;
- целевые ресурсы;
- уязвимости, на которые направлены атаки.
8. Безопасное развертывание и управление исправлениями.
Для защиты от взломов через стандартные или устаревшие настройки безопасности мы используем инструменты CSPM (Cloud Security Posture Management), которые мониторят и оценивают настройки безопасности, что снижает инциденты на 80% и автоматически исправляет ошибки совместно с системой XDR.
9. Регулярные проверки безопасности и тестирование на проникновение.
В конце разработки мы проводим оценку уязвимостей и тестирование на проникновение, включая анализ конфигурации, взаимодействия с системами, удаленное сканирование и моделирование действий злоумышленника, что позволяет обоснованно принимать решение о запуске новой версии платформы.
В 2024 году мы видим рост атак программ-вымогателей и их сложных форм — DDoS-атак. Преступники используют машинное обучение и генеративный ИИ, усовершенствовавший методы социальной инженерии. Чтобы достойно противостоять этим угрозам, необходимо внедрять новые подходы, включая использование глубокого машинного обучения. B2B-маркетплейсы — как и банки, мобильные операторы, сервисные компании — обязаны с удвоенной силой следить за безопасностью и конфиденциальностью данных своих клиентов. Это непростая задача, но системный подход и современные технологии позволяют ее решить.