Риски для интернет-магазина и способы их избежать

Прослушать новость

Рустэм ХАЙРЕТДИНОВ, генеральный директор компании "Атак Киллер"

Интернет, пожалуй, самый экономичный канал привлечения и обслуживания клиентов, поэтому не удивительно, что большинство торговцев используют его. Кто-то как дополнение к офф-лайновому бизнесу, кто-то как основной канал продаж, кто-то как единственный.

Интернет-магазин имеет три основных аспекта функционирования: медиа, технологии и офф-лайн. Бизнесмены от интернета, владельцы небольших магазинов, делятся как раз по этим акцентам: кто-то из этих трех аспектов лучше всего понимает в продвижении (медиа), кто-то в технологиях (функционал сайта и дополнительные сервисы), кто-то хорошо понимает собственно в товаре и логистике. Поэтому есть магазины, "фишкой" которых является один из аспектов, второй аспект в таких магазинах закрывает младший партнер, а третий - отдается на аутсорсинг. Сильные технари обычно редко запускают свои интернет-магазины, поэтому во многих случаях наименьшее внимание уделяется именно технологической части – считается, что сейчас можно заказать или арендовать готовый магазин и только наполнять его товарами, сосредоточившись на поиске клиентов и их обслуживании.

Часто так оно и есть. Но хорошо бы на фоне «"хакерской" истерии в СМИ взвешенно оценить риски, актуальные для вашего магазина.

"Страусиная" стратегия – "да кому мы нужны, чтобы нас ломать" помогает ровно до тех пор, пока вы не станете кому-то нужны. Кому-то станет интересен ваш магазин, например, конкуренту в дни распродаж может захотеться усилить конкурентные позиции – кризис есть кризис, на войне все средства хороши. Кому-то станет интересна платформа, на которой построен ваш сайт - часто злоумышленники атакуют не конкретные сайты, а конкретные уязвимости, то есть атакуются все подряд сайты, имеющие определенную уязвимость. Кому-то станет интересен дата-центр, в котором вы хоститесь – иногда можно оказаться не целью, но жертвой – можно находиться в одном дата-центре с целью атаки или наоборот, вас могут взломать, как слабое звено, чтобы через вас добраться до настоящей цели.

УГРОЗЫ
Что же может случиться с вашим электронным магазином? Давайте перечислим возможные проблемы и их последствия.

Самый частый и заметный инцидент с электронными магазинами – их недоступность, часто вызванная специальным типом атаки, называемой DDoS (Distributed Denial of Service – распределенный отказ в обслуживании). Для магазинов, в отличие от других видов веб-сервисов, например, сайтов госуслуг или банковских сайтов, такие атаки несут прямой ущерб: клиенты, не получив сервиса, пойдут искать товар в другие магазины. DDoS-атаки достаточно дешевы, поэтому используются часто, но при этом довольно легко детектируются, в том числе и на ранних стадиях и эффективно отбиваются специализированными сервисами, к которым подключены большинство дата-центров.

Однако сделать сайт недоступным можно и другими средствами – например, подсадив на сайт ссылку на внешний ресурс, раздающий вирусы. После такой инъекции сайт магазина довольно быстро попадает в "черные списки" браузерных антивирусов и клиенты при попытке зайти на заражённый сайт будут получать уведомление о небезопасности сайта и предложение игнорировать его. Попасть в такие списки легко, а вот удалиться из них проблематично – антивирусные компании постоянно их синхронизируют и, не договорившись с одной компанией, вы снова окажетесь в этих списках.

Риски несет также и подмена информации на сайте, в том числе и ссылок. Вряд ли владелец интернет-магазина будет рад тому, что после выбора товара покупатель будет перенаправляться для покупки на другой сайт. Или что цены, указанные на сайте, не будут актуальны – или отпугнут покупателя дороговизной, или окажутся нереально низкими и вызовут раздражение покупателя при заказе. Или же на сайте могут быть размещены непристойная информация или экстремистские призывы.

Также при взломе сайта может быть похищена чувствительная информация, включая персональные данные клиентов, включая контактные телефоны и адреса доставки – это не только может доставить неудобство клиентам, но и вызвать санкции со стороны регулирующих органов.

Случаются и мошенничества – например, хакеры могут при заказе товара манипуляциями с сайтом миновать статус оплаты и сразу переходить к доставке, таким образом вы будете считать товар оплаченным и поставлять его покупателю. Конечно, если товар дорогой, и вы через какое-то, возможно, достаточно большое время обнаружите недостачу, то сможете обратиться в полицию и начать расследование, но может получиться и так, что проще будет списать этот товар в убытки – расследование может выйти дороже.

ТОЧКИ КОНТРОЛЯ
Сайт довольно сложно устроенный технический объект с отсутствием единой точки контроля – одни люди конструируют сайт, другие - наполняют его информацией, третьи - организуют его функционирование, четвертые – защиту. Сбой в любом из этих процессов – и вся работа насмарку. А есть ещё и синхронизация с продвижением и реализацией – что толку нагнать на сайт трафик, если вы не сможете его обработать, и что толку принять заказы, если вы не сможете их выполнить.

Владельца интернет-магазина веб-приложение интересует не как технический объект, а как бизнес, средство заработка, из всех технических параметров его интересует в первую очередь его доступность, функционал и производительность. И, как уже отмечено выше, такие люди обычно не являются специалистами в веб-программировании и безопасности веб-приложений, им не до технических деталей. Поэтому обратим внимание на процессы и отметим их болевые точки.

Проблемы с корректным функционированием сайта могут прийти с нескольких сторон:

1. Плохо спроектированное и/или плохо написанное приложение (ответственные за ошибки и их исправление – разработчики сайта).
2. Плохо спроектированная и/или плохо настроенная инфраструктура (ответственные за ошибки и их исправление – ИТ-служба или хостер).
3. Некорректное наполнение приложения информацией (ответственные за ошибки и их исправление – контент-служба).
4. Хакерские атаки (ответственные за пропущенную атаку – служба информационной безопасности).
5. DDoS-атаки (ответственные за пропущенную атаку – служба информационной безопасности).

Мы разделяем хакерские и DDoS-атаки, поскольку они различаются по способу обнаружения, результату и методу противодействия. Разница между ними, как между ограблением и карманной кражей – DDoS виден сразу и противодействие можно организовать немедленно, результаты взлома же могут не быть обнаружены многие месяцы и при этом вы будете терять информацию и клиентов.

Упомянутые проблемы могут идти в комбинациях, например, хакеры и дидосеры могут обнаружить и затем использовать ошибки программистов (уязвимости). Такие атаки называются атаками на прикладном уровне и от них не защищают стандартные средства защиты, поскольку они не могут отличить ошибку от функции - они просто не знают, что хотел программист от функционала. Или плохо выставленные настройки (нестойкие пароли, настройки по умолчанию, не установленные патчи и т.п.) могут сделать приложение легкой добычей хакеров. Программист мог оставить недекларированную возможность для своего удобства, например, для ускоренной отладки или быстрого восстановления после сбоев, а потом эту возможность нашел кто-то другой или сам программист сменил намерения – и вот у вашего сайта появился "черный ход", который можно использовать для мошенничества, например, для проставления статуса "оплачено" на неоплаченных товарах.

За каждую функцию обычно отвечает своя группа сотрудников: за функционал - разработчики, за настройку инфраструктуры - ИТ, за защиту от хакерских атак - сотрудники информационной безопасности, за защиту от DDoS - провайдер и т.д. Обеспечить координацию между этими группами при атаке совершенно нереально, поэтому большинство атак небольшие компании не отражают, а пережидают, когда они закончатся. По мере роста функционала и сложности приложения и соответствующего увеличения количества разработчиков и сложности инфраструктуры проблемы начинают копиться экспонентциально.

Эта ситуация осложняется кратно при переходе на современные методы разработки, типа эджайл. Частые изменения объекта защиты требуют синхронных изменений в инфраструктуре и средствах защиты, иначе могут начаться ложные срабатывания систем защиты, которые не могут определить, это новая функция или аномалия поведения пользователя. Большие компании, чтобы решить такую проблему, заводят огромные службы мониторинга, которые в режиме онлайн наблюдают за приложением и трафиком. Если сайт работает круглосуточно, то штат такой службы мониторинга увеличивается втрое – по числу рабочих смен. Такой штат довольно трудно набрать и практически невозможно удержать по мере накопления опыта – интернет-экономика растет, и крупные игроки нуждаются в таких защитниках всё больше и больше – Яндекс, Мейл.ру, Ростелеком, Сбербанк и другие крупные игроки регулярно "пылесосят" рынок.

ПРОТИВОДЕЙСТВИЕ
Что делать компаниям, которые хотят использовать Интернет как удобный и выгодный канал привлечения и обслуживания клиентов, но не хотят при этом инвестировать в непроизводительную службу мониторинга. Есть ли выход?

Самый популярный подход сегодня – отдать защиту сайта на аутсорсинг. Часть задач, например, защиту от DDoS и хакерских атак на платформу это действительно может довольно недорого решить –тарифы такой "облачной" защиты начинаются с нескольких тысяч рублей в месяц. Методы атак, которые уже известны и которые не учитывают специфику вашего сайта, будут отражены достаточно эффективно. Именно из-за бурного развития таких сервисов многие типы атак сошли на нет, а новые алгоритмы атак появляются не так часто, и хакеры их придерживают для атак на заметные или денежные объекты. Так что к тому времени, как новый тип атаки дойдет до небольшого интернет-магазина, алгоритмы противодействия ему, скорее всего, будут уже найдены и будут использоваться в большинстве облачных средств защиты.

Но именно благодаря неэффективности традиционных атак, хакеры смещают атаки на прикладной уровень – то есть используют ошибки программистов конкретного сайта, а не инфраструктуры, которая обновляется и защищается уже достаточно надежно. Облачные средства при этом не понимают вашей бизнес-логики и никак не могут вас защитить: при фильтрации трафика они не знают, как говорят программисты "это фича или бага", то есть не понимают – это ошибка или программист именно это и хотел запрограммировать.

Электронный магазин – динамичный бизнес, поэтому изменения на сайте происходят постоянно, иногда по нескольку раз в день. Каждое изменение несет в себе потенциальную угрозу – уязвимый код, некорректный новый процесс, настройки "по умолчанию", нестойкий пароль и т.д. Проверять каждое изменение на уязвимость и исправлять ее или перенастраивать системы защиты так, чтобы закрывать такие уязвимости на трафике – утомительная рутина, но её приходится делать.

И тут может вскоре наступить технологический прорыв, да такой, о котором совсем недавно писали только фантасты. Искусственный интеллект уже научился делать эту работу лучше, чем человек. Он не устает, не ошибается, не отходит покурить, не болеет, и, что важно для бизнеса – не требует повышения зарплаты. Еще год назад такие решения были дороги, но сегодня они уже соизмеримы с годовой зарплатой сотрудников информационной безопасности. Вполне возможно, что довольно скоро у вашего интернет-магазина появится персональный робот-защитник. Только не говорите пока об этом своим сотрудникам, не провоцируйте на луддизм и оставление себе "черных ходов".