Найкращі практики захисту e-commerce сайтів

Інтернет-магазини завжди залучали зловмисників: це і джерело даних кредитних карток (зараз практично неактуальне); даних користувача; даних про замовлення та ринкові тренди (купівельний попит); джерело трафіку; маніпуляція зі знижковими купонами тощо. E-commerce сайт може бути атакований як зловмисниками у «вільному полюванні» (нецільова атака), так і на замовлення недобросовісних конкурентів. Останнім часом популярні різного роду DoS/DDoS атаки, як для виведення конкурента з ладу, так і у вигляді інструменту для шантажу.

У цій топіці я опишу найкращі практики захисту e-commerce сайтів.

Основні вектори атаки

Векторів атаки на веб-додаток досить багато, умовно їх можна розділити на прямі і непрямі.

Прямі - коли атака спрямована на веб-додаток:

  • Експлуатація веб-вразливостей (CMS, плагіни, теми, модулі, службові скрипти).
  • Брутфорс форм авторизації (адмін-панелі, дані користувача).
  • DDoS/DoS/full browser stack.
  • Різного роду fraud операції, race condition тощо.

Непрямі - коли для атаки на інтернет-магазин використовуються суміжні сервіси:

  • Експлуатація вразливостей веб-сервера.
  • Брутфорс службових сервісів (ftp/ssh).
  • Крадіжка облікових даних технічного персоналу (трояни, перехоплення у WiFi мережах, соціальна інженерія).
  • Крадіжка облікових даних підрядних організацій персоналу - веб-студії, контент-менеджерів, seo-фахівців, технічної підтримки (трояни, перехоплення у WiFi мережах, соціальна інженерія).
  • Виявлення вразливостей у суміжній інфраструктурі (наприклад, через «сусідів» на хостингу при невірно виставлених правах).
  • Злом хостинг-провайдера (рідкісний випадок, але і таке зустрічається).

Хостинг

В першу чергу необхідно вибрати надійного хостинг-провайдера. Багато провідних гравців ринку мають спеціалізовані пропозиції для інтернет-магазинів. Важливо щоб ваш хостинг-провайдер підтримував регулярне резервування; вів всебічні журнали дій; виконував моніторинг мережевої активності. Також одним з важливих факторів є система повідомлень про аномальні дії на акаунті, можливе зараження сайту тощо. Технічна підтримка (зазвичай в рамках тарифу) повинна повідомити про порушення і забезпечити хоча б мінімальними інструкціями (або посиланням на базу знань) про методи вирішення проблеми, що виникла, і сприяти в її вирішенні. Оптимальним рішенням буде використання VPS/VDS-хостингу.

CMS

За можливості використовуйте безпечну e-commerce платформу. Вона повинна підтримувати складну систему автентифікації (2F, OTP тощо), можливість обмеження адміністративної зони тощо.

Сама CMS, її плагіни, модулі і т. д. повинні бути актуальних версій. Оптимальний варіант CMS - можливість автовідновлення (особливо це стосується критичних вразливостей). Важливим фактором має стати нативне використання WAF/детектора аномалій/блокувальника атак з коробки, або додатковим модулем або плагіном.

Додатковим плюсом буде використання в CMS різного роду механізмів перевірки та санітайзингу даних, фреймворків або бібліотек типу HTML Purifier.

SSL/TLS

Використовуйте захищене з'єднання - шифруйте канал зв'язку між сайтом і браузером клієнта для передачі інформації. У наш час актуальним є використання TLS (Transport Layer Security - безпека транспортного рівня), який за звичкою багато хто досі називає SSL (Secure Sockets Layer - рівень захищених сокетів).

Важливо використовувати останні (актуальні) версії криптографічних протоколів для належного захисту даних.

Відмінною практикою буде використання HSTS (HTTP Strict-Transport-Security) - механізм, що активує форсоване захищене з'єднання за HTTPS. Ця політика безпеки дозволяє відразу ж встановлювати безпечне з'єднання, замість використання HTTP. Механізм використовує особливий заголовок HTTP Strict-Transport-Security, для перемикання користувача, який зайшов HTTP, на HTTPS-сервер.

Дані

Не зберігайте критичні дані. Ніяких кодів CVV, зараз не початок нульових. Більш того, стандарт PCI DSS це прямо забороняє: такі елементи як CVV2 (Card Verification Value 2 - код перевірки справжності картки платіжної системи Visa) і CVC2 (аналогічний код платіжної системи MasterCard) належать до критичних автентифікаційних даних, а значить не підлягають зберіганню.

Якщо щось доводиться зберігати - мінімізуйте обсяг зберіганих даних і за можливості застосовуйте шифрування. Це стосується, в основному, обробки ПДн загальної категорії - ПІБ, адреса, замовлення тощо.

Парольна політика

Вимагайте використання надійних паролів - цифро-буквені комбінації різного регістру, використання спецсимволів, обмеження мінімальної довжини пароля. Таким чином і клієнт буде більш надійно захищений від дій зловмисників. Найчастіше питання юзабіліті (конверсії, відмов) ставиться на чільне місце і дозволяє користувачам використовувати будь-які паролі - це є поганою практикою, необхідно використовувати складні комбінації для захисту даних користувача.

Парольна політика технічного персоналу (адміністратори сайту) повинна бути ще суворішою - крім більш суворих вимог до генерації пароля необхідно проводити регламентні процедури зі зміни паролів, наприклад, раз на місяць.

Після проведення підрядних робіт необхідно видаляти невикористовувані облікові записи. Також необхідно змінювати паролі після звільнення ключових співробітників.

Антифрод

Використання системи попереджень і оповіщень про підозрілу активність - безліч операцій з одного IP, зміна реквізитів доставки і безліч інших факторів, зазвичай вузькоспеціалізованих в тій чи іншій сфері онлайн торгівлі. Тут же може застосовуватися холд/перевірка чистоти угоди та інше.

Хорошою практикою буде використання 3-D Secure, MasterCard SecureCode, J/Secure і SafeKey. За кордоном найчастіше використовується система AVS (Address Verification System).

Захисні механізми

Хорошим рішенням буде превентивне використання AntiDDoS, IDS, IPS і WAF механізмів для захисту від використання вразливостей мережевої архітектури, сервісів і додатків.

Ці системи здатні виявити і запобігти більшості детектованих (сигнатурних) атак, але панацеєю не є. Необхідний комплекс заходів і аналітична робота з аналізу аномалій/детекту шкідливої активності.

Важливим фактом є грамотне і кастомізоване налаштування цих систем.

PCI DSS

Слідування вимогам стандарту PCI DSS і регламентні перевірки.

PCI DSS (Payment Card Industry Data Security Standard) - стандарт безпеки даних індустрії платіжних карток. Стандарт розроблений міжнародними платіжними системами Visa і MasterCard. Будь-яка організація, що планує приймати і обробляти дані банківських карток на своєму сайті, повинна відповідати вимогам PCI DSS

Стандарт являє собою сукупність 12 деталізованих вимог щодо забезпечення безпеки даних про власників платіжних карт, які передаються, зберігаються і обробляються в інформаційних інфраструктурах організацій. Вжиття відповідних заходів щодо забезпечення відповідності вимогам стандарту передбачає комплексний підхід до забезпечення інформаційної безпеки даних платіжних карт.

Аудит безпеки

Інтернет-магазин, як основний інструмент торгівлі, повинен стабільно і безперебійно працювати. Забезпечити ці умови можливо лише приділяючи належну увагу безпеці ресурсу, а саме такій процедурі, як аудит безпеки сайту.

Регламентна процедура (наприклад, раз на квартал) проведення аудиту безпеки інформаційної системи дозволяє оцінити зрілість системи управління ІБ і виявити вразливості для їх оперативного усунення. Один з основних етапів - проведення зовнішнього Blackbox тестування на проникнення.

Комплексний аудит безпеки сайту необхідний для виконання вимог 6.3, 6.5, 6.6, 11.3.2 стандарту PCI DSS.

До компаній, що працюють тільки з платіжним шлюзом і не приймають на своєму даних банківських карток клієнтів, належать тільки вимоги департаменту ризиків платіжного шлюзу (ПЦ) і вимоги до проведення аудиту не такі жорсткі, як у стандарті PCI DSS, але і в цьому випадку необхідно проводити роботи з виявлення можливих вразливостей e-commerce сайту.

Патч менеджмент

Необхідно підтримувати актуальність використовуваних компонентів інформаційної системи - як версії CMS і її складових, так і всього іншого - версії серверної ОС і додатків тощо.

Важливість оновлень та їх своєчасної установки очевидна для підтримки належного рівня інформаційної безпеки.

Гарною практикою буде тестування оновлень у dev-середовищі, перед оновленням продакшену, деякі оновлення можуть містити або вносити помилки, в тому числі ті, що містять критичні вразливості.

Резервування

Важливими параметрами є схема резервування і планування. Необхідно проводити регулярне резервування, як інкрементного, так і диференційного типу. Періодично перевіряти актуальність і працездатність поточних резервних копій, забезпечувати їх надійне і безпечне зберігання, поза контуром резервованого об'єкта.

Обізнаність персоналу

Необхідно проводити інструктаж персоналу і підрядників з існуючих загроз ІБ. Одним з важливим факторів буде пояснення основних соціо-технічних векторів атаки і прийомів маніпулювання.

Ув'язнення

Безпека ресурсу - це безперервний процес, що дозволяє захистити e-commerce від більшості існуючих загроз, що включає в себе наступні дії:

  • аудит безпеки сайту і моніторинг;
  • негайна реакція на виявлені проблеми та їх фіксація;
  • перевірка усунення виявлених проблем;
  • проведення регламентних робіт.

Тільки при комплексному підході до безпеки ресурсу ваші клієнти та їх дані будуть знаходиться в безпеці, звівши на мінімум ймовірність компрометації ресурсу і фінансові та репутаційні ризики, що виникли внаслідок цього.

COM_SPPAGEBUILDER_NO_ITEMS_FOUND