Информационная безопасность — основные угрозы
В статье мы рассмотрим мотивацию атакующих и проведем их классификацию. Также классифицируем основные векторы атак, оценим их риски и возможные последствия.
К сожалению, от атак не застрахован ни один веб-проект. Даже если ваш сайт ничем не интересен профессиональным хакерам (денег нет, данных мало и они не ценные), если проект не вызывает яркие негативные эмоции у кого-либо, а монетизация возможной атаки ничтожна по прибыльности, то это лишь снижает риски и всё равно проекту не избежать автоматизированных атак с целью захвата вычислительных ресурсов или для перенаправления трафика.
Мотивация атакующих
- Вымогательство — требуют деньги за прекращение атаки, за возврат зашифрованных / удаленных данных или за сохранение конфиденциальности полученных данных
- Охота за данными — ворованная информация может быть продана или иным образом монетизирована
- Перехват пользовательского трафика — этот тип атаки направлен на посещаемые сайты, трафик с которых выгодно перенаправлять на иные ресурсы с целью монетизации.
- Захват вычислительных ресурсов — атакованная система встраивается в ботнет, нацеленный на осуществление спам-рассылок или DDoS-атак на другие ресурсы, а также в последние годы стало актуальным использование «угнанных» серверных мощностей для майнинга криптовалют.
- Недоброжелатели — мотивация атаки крайне проста: владелец системы чем-то обидел злоумышленника, примеры: «бан на форуме», «блокировка аккаунта в копьютерной игре» и т.д.
- Идеологические противники — похожи на недоброжелателей, но обычно это группа лиц, действующих против
- Just for fun — мотивация атакующего может быть и просто в получении удовольствия от процесса взлома системы.
Виды атакующих
С прикладной точки зранее вполне достаточно наиболее простой и грубой классификации:
- Роботы — полностью автоматический, массовый и обычно простой сценарий атаки, вероятность контакта около 100%
- Скрипт-кидди — простой неадаптивный сценарий атаки с использованием готового инструментария, вероятность контакта высокая для относительно популярных публичных ресурсов
- Профи — адаптивный сценарии атаки с индивидуальным подходом к атакуемой системе. Вероятность контакта зависит от многих факторов: для популярных ресурсов и финансовых приложений — очень высокая, для остальных — зависит по большей части от тематики проекта.
Профи часто разделяют «по цвету шляпы», что отражает их мотивацию.
- White Hat Hacker — это обычно специалисты по информационной безопасности, изучающие уязвимости или атакующие систему с явного разрешения владельца (по должностным обязанностям, по контракту или по баг-баунти программе)
- Black Hat Hacker — злоумышленники, целью которых является нажива или нанесение вреда атакуемой системе по другим соображениям.
- Gray Hat Hacker — весьма сомнительная категория, в которую входят специалисты по информационной безопасности, взламывающие системы, а затем (при успешном взломе) продающие свои услуги жертве. От блэк-хэтов отличаются наличием декларируемой этики, не позволяющей им продавать данные или каким-то другим образом монетизировать полученную ими информацию.
Иногда отдельно выделяют дополнительные группы:
- Script kiddie / Newbie — «недохакеры», освоившие пару программ для нагрузочного тестирования или пентестинга
- Criminal gangs — криминал, обычно охотятся за деньгами и данными на продажу
- Hacktivist — хактивисты, идеологические противники
- Cyberwarfare — кибер-войска
Возможные последствия для проекта
- Снижение производительности / неработоспособность — атаки типа «отказ в обслуживании» могут вывести веб-приложения из строя либо только на момент их проведения, либо проект может сам и не восстановиться после сильной атаки.
- Заражение пользователей вирусами — взломанный сайт может служить площадкой для распространения вредоносного ПО / фишинга или иных
- Перенаправление трафика — пользователи взломанной системы могут быть перенаправлены на другие сайты (обычно, казино, фарма, финансовые услуги и т.д.)
- Присоединение к ботнету — вычислительные мощности могут использоваться для спама, атак на другие системы или для майнинга
- Кража данных и шпионаж — из взломанной системы могут быть украдены данные и может быть установлен бэкдор, позволяющий получать данные из системы и в последующем.
- Взлом учетных записей — учетные записи могут быть скомпрометиованы как в атакованной системе, так и в других системах — к сожалению, у пользователей очень часто одинаковые пароли для нескольких разных систем
- Дефейс — на веб-страницах может быть размещена информация, наносящая репутационный ущерб
Основные методы атак на веб-проекты
- (D)DoS-атаки — атаки типа «отказ в обслуживании»
- Различные инъекции — внедрение произвольного исполняемого кода, загрузка shell / бэкдора, SQL-инъекции…
- Атаки на систему аутентификации и управления сессиями — взлом учетных записей, перехват учетных записей
- Межсайтовые скриптинг и подделка запроса — XSS & CSRF
- Атаки на экспозицию чувствительных данных — получение данных, которые хоть и недоступны из графического интерфейса, но по каким-то причинам всё же могут быть получены без должной авторизации
- Атаки на неверную конфигурацию ПО — поиск «открытых портов», «дефолтных паролей» и т.д.
- MITM и сниффинг — перехват пользовательского трафика, подмена получаемых и отправляемых данных
- Социальная инженерия — большой набор методов, использующих человеческий фактор
Источник: web-creator.ru