Utrzymanie integralności witryny

Celem jest EveryWebsite i jej serwery. Antagonistami mogą być studenci, aktywiści, terroryści, niezadowoleni byli pracownicy lub niezadowoleni klienci, a także podmioty państwowe. Ponieważ strony internetowe są najbardziej publiczną twarzą przedsiębiorstwa, stanowią niezwykle pożądane cele. Utrzymanie integralności wymaga, aby aktualizacje i zmiany w witrynie były przeprowadzane w zdyscyplinowany sposób. Dostęp do zapisu w witrynie musi być ograniczony, a osoby upoważnione muszą korzystać z bezpiecznych metod dostępu do serwerów internetowych. Wydaje się, że większość zgłoszonych incydentów jest wynikiem słabych zabezpieczeń procesu aktualizacji. Na przykład niezabezpieczony dostęp FTP z ogólnego Internetu jest złą praktyką. Bezpieczniejsze mechanizmy obejmują:

* FTP z określonego węzła w wewnętrznej zaporze

* KERMIT na bezpośrednio przewodowym porcie lub przez zabezpieczone połączenie

* Loginy i transfery plików (np.SFTP) przez bezpieczne uwierzytelnione połączenia za pośrednictwem podstawowego transportu SSH

* Fizyczne transfery mediów

Większość technologii z natury nie wymaga, aby osoba na miejscu przeprowadzała aktualizacje serwera, co wykluczałoby zdalną konserwację. Oznacza to, że aby dostać się do maszyny, z której można przeprowadzić aktualizację, konieczne jest przejście przez wirtualną sieć prywatną z protokołem tunelowania punkt-punkt lub protokołem tunelowania warstwy 2 (VPN PPTP / L2TP) uwierzytelnionym przez at co najmniej jedną z bezpiecznych bram

Konserwacja witryny

Utrzymywanie i aktualizowanie Witryny wymaga dużej staranności. Bezpośredni charakter sieci WWW sprawia, że ​​błąd jednoznakowy w dużej aplikacji korporacyjnej może w ciągu kilku chwil spowodować szkody o wartości setek tysięcy dolarów. Serwery internetowe należy traktować z szacunkiem; całe przedsiębiorstwo jedzie na elektronicznym obrazie wyświetlanym przez serwer. Cyberwandalizm, który najczęściej polega na zniszczeniu strony głównej znanej witryny, wymaga nieautoryzowanej aktualizacji plików wchodzących w jej skład. Tylko w 2000 r. Poszkodowane zostały w ten sposób znane podmioty publiczne i prywatne, w tym FBI, OPEC, Światowa Organizacja Handlu i NASA, a także instytucje edukacyjne, w tym Uniwersytet w Limerick. Ataki te nadal stanowią zagrożenie, zarówno jeśli chodzi o uszkodzenie wizerunku organizacji, jak i potajemnie, ponieważ wykorzystuje witrynę WWW jako platformę startową dla exploitów internetowych. Internet jest z natury środowiskiem o wysokim stopniu dźwigni. Niewielkie zmiany w zawartości jednej strony pojawiają się w całej sieci w ciągu kilku minut. Informacje są rozpowszechniane łatwo i szybko przy niskich kosztach. Dźwignia bardzo pomaga, gdy sprawy idą dobrze; kiedy sprawy idą źle, dźwignia dramatycznie potęguje szkody.

Kontrola dostępu

Publicznie dostępne systemy są zarówno przedmiotem wysiłków organizacji w zakresie bezpieczeństwa, jak i głównym celem prób złamania tego zabezpieczenia. Liczba osób upoważnionych do wprowadzania zmian w systemach oraz sposoby wprowadzania zmian muszą być uważnie kontrolowane, zgłaszane i monitorowane. Weryfikowane osoby powinny korzystać z kont indywidualnych, a dostęp do funkcji wrażliwych za pośrednictwem takich kont powinien zostać natychmiast unieważniony, jeśli dostęp danej osoby nie jest już autoryzowany lub jeśli pracownik zaprzestaje zatrudnienia, jest badany z powodu niewłaściwego działania lub z innego powodu. Najbardziej wydajnym i skutecznym sposobem implementacji tych wymagań jest kontrola dostępu oparta na rolach, która wykorzystuje podstawowy model ochrony systemu operacyjnego do wymuszenia bezpieczeństwa plików. Kluczowym aspektem ochrony opartej na rolach jest to, że dostęp do plików jest chroniony rolą, a nie identyfikatorem. W ten sposób można usunąć dostęp użytkownika do plików produkcyjnych za pomocą jednego polecenia. Kontrola dostępu to nie tylko kwestia tradycyjnej kontroli opartej na rolach. Coraz częściej klienci mają bezpośredni dostęp do aplikacji. Taki bezpośredni dostęp wymaga więcej środków ostrożności i staranności niż personel obsługi klienta. Często personel obsługi klienta powinien mieć dostęp do większości kont; równie niewłaściwe jest udzielanie odpowiedniego, nieograniczonego dostępu klientom końcowym, którzy powinni mieć dostęp tylko do swojego konkretnego konta. Ataki na poziomie aplikacji (np. Wstrzyknięcie SQL) stają się coraz bardziej niebezpieczne. Przejście na interfejsy oparte na przeglądarce internetowej i urządzeniach mobilnych wymaga dodatkowych środków ostrożności. Klienci zdalni podlegają kompromisom i inżynierii wstecznej. Na przykład, używając zwykłego tekstu, informacje dostarczone przez klienta w celu kontroli dostępu (np. Pliki cookie lub zakodowane w adresie URL) mogą łatwo doprowadzić do ataku SQL (lub równoważnego), po prostu edytując niezakodowane informacje. Przełączenie na odpowiedni zmienny, oparty na sesjach schemat numerowania sprawiłby, że manipulacje byłyby znacznie mniej skuteczne (w rzeczywistości większa liczba błędów wynikających z zastosowania takiej nieprzezroczystej liczby byłaby łatwo wykrywalna przez aplikacje i systemy rejestrowania bezpieczeństwa). Wyzwaniem dla takich systemów jest to, że zabezpieczenia muszą być wdrożone w aplikacji. Takie zabezpieczenia są potrzebne, aby zapewnić bezpieczeństwo aplikacji. Tego typu ataki typu SQL injection miały miejsce w dużych organizacjach. W 2011 roku dane 200 000 rachunków kart kredytowych w Citibanku zostały w ten sposób przejęte

Ukryte podsieci

Serwery bezpośrednio obsługujące Serwis muszą być dostępne ze świata zewnętrznego, a zatem generalnie muszą mieć normalne, widoczne z zewnątrz adresy internetowe. Alternatywnie dyrektorzy ruchu, zapory lub podobne urządzenia mogą mapować numer portu zewnętrznego na adres wewnętrzny i numer portu. Jednak w większości przypadków inne systemy obsługujące serwery internetowe generalnie nie mają uzasadnionej potrzeby nieograniczonego dostępu z lub do sieci publicznej. Najbezpieczniejszymi przypisywanymi adresami dla wspierających, niewidocznych z zewnątrz systemów są adresy IPv4 przydzielone do użytku w prywatnych sieciach internetowych i ich równoważne adresy IPv6. 29 Nie trzeba dodawać, że systemy te powinny znajdować się w przedziale bezpieczeństwa oddzielonym z publicznie dostępnych serwerów internetowych, a przedział ten powinien być odizolowany od przedziału publicznie dostępnego za pomocą bardzo restrykcyjnej zapory ogniowej

Systemy odsłonięte

Odsłonięte systemy stanowią z natury zagrożenie bezpieczeństwa. Systemy bez dostępu z lub do sieci publicznej nie mogą zostać naruszone z sieci publicznej. Tylko systemy, które absolutnie muszą być publicznie dostępne, powinny być tak skonfigurowane. Minimalizacja liczby odsłoniętych systemów jest ogólnie pożądana, ale najlepiej jest rozważać to w kategoriach ról maszyn, a nie faktycznej liczby systemów. Zwiększenie obciążenia każdego publicznie dostępnego serwera poprzez zwiększenie rozmiaru serwera, a tym samym zwiększenie pojemności, na którą ma wpływ pojedyncza awaria systemu, nie jest korzyścią. Należy to jednak zrównoważyć z nowym trendem w kierunku wirtualizacji serwerów, który nie zwiększa rozmiaru serwera, ale zwiększa jego wykorzystanie, w celu obniżenia kosztów i poprawy niezawodności. Wprowadzenie opartych na SSL implementacji i usług VPN obsługujących zdalny dostęp za pośrednictwem bezpiecznych połączeń HTTPS (np. Gotomypc.com) tworzy zupełnie nową klasę zagrożenia bezpieczeństwa. SSL i inne zaszyfrowane techniki zostały wykorzystane do wydobycia danych z penetracji zabezpieczeń. Chociaż zaszyfrowane połączenia mogą być trudne lub niemożliwe do zaobserwowania, połączenia z nieoczekiwanymi lokalizacjami są sygnałem możliwego naruszenia bezpieczeństwa

Co należy ujawnić?

Dostępne publicznie Strony internetowe potrzebują publicznie dostępnych serwerów WWW do wykonywania swoich funkcji. Wyzwaniem jest dostarczenie pożądanych usług społeczeństwu bez jednoczesnego zapewniania dostępu, który można wykorzystać w nieautoryzowany sposób do osłabienia witryny. Incydent związany z penetracją może prowadzić do znacznych strat finansowych, zażenowania oraz finansowej i (w niektórych przypadkach) odpowiedzialności karnej. Ogólnie rzecz biorąc, serwery sieci Web nie powinny być podłączane do publicznego Internetu (chyba że można sprawdzić, czy wszystkie inne porty są zamknięte dla ruchu). Wszystkie połączenia z siecią publiczną powinny być nawiązywane przez system firewall, który powinien być skonfigurowany tak, aby przekazywał do tych hostów tylko ruch sieciowy. Strefa DMZ chroniona przez zaporę ogniową często tworzy łatwiejszą do kontrolowania bramę bezpieczeństwa. Wiele witryn zdecyduje się umieścić serwery sieci Web widoczne z zewnątrz w oddzielnym przedziale bezpieczeństwa, na oddzielnym porcie zapory (jeśli nie w całkowicie oddzielnej zaporze), używając oddzielnej strefy DMZ od innych publicznie dostępnych zasobów. Te środki ostrożności mogą wydawać się przesadne, ale posiadanie niewłaściwie zabezpieczonych systemów może prowadzić do naruszeń bezpieczeństwa, które są niezwykle trudne do naprawienia i mogą prowadzić do dłuższych przestojów podczas analizowania i usuwania problemów. W tym przypadku uncja prewencji jest warta znacznie więcej niż funt lekarstwa.

Wiele domen zabezpieczeń

Serwery sieci Web pierwszej linii oraz serwery baz danych obsługujące ich działania obejmują dwie różne domeny bezpieczeństwa. Jak wspomniano wcześniej, serwery sieci Web muszą być dostępne globalnie za pośrednictwem protokołów HTTP, HTTPS i ICMP (chociaż nie są potrzebne do rzeczywistych operacji, protokół ICMP jest często potrzebny do rozwiązywania problemów z łącznością zarówno przez klientów, jak i dostawców). Z kolei muszą mieć dostęp do serwerów aplikacji lub baz danych i tylko do tych serwerów. W środowisku produkcyjnym zalecane jest, aby serwery aplikacji lub bazy danych współpracowały z serwerami sieci Web za pomocą dedykowanego protokołu o ograniczonym użyciu. Prawidłowo wdrożone ograniczenie takie uniemożliwia przejętemu serwerowi WWW wykorzystanie jego dostępu do aplikacji lub serwera bazy danych. Te serwery drugiego poziomu powinny znajdować się w domenie bezpieczeństwa oddzielonej restrykcyjnymi zaporami ogniowymi od zewnętrznie dostępnych serwerów pierwszej linii sieci Web. Wydaje się to dużym wydatkiem, ale często wiąże się z mniejszymi kosztami i mniejszym ryzykiem niż koszty związane z naprawą pojedynczego znaczącego incydentu

Ograniczenia

Wszystkie serwery WWW powinny znajdować się za firewallem w strefie DMZ. Usługi przychodzące i wychodzące powinny być ograniczone przy użyciu protokołów, takich jak HTTP, HTTPS i Internet Control Message Protocol (ICMP). Do celów rozwiązywania problemów pożądane jest zaimplementowanie protokołu ICMP, który jest używany przez PING, requester echa, jako sposób sprawdzania łączności. Wszystkie nieużywane porty powinny być wyłączone. Ponadto wyłączone porty powinny być blokowane przez zapory ogniowe oddzielające strefę DMZ od świata zewnętrznego. Informacje o klientach powinny, w miarę możliwości, być przechowywane w systemach oddzielonych od systemów faktycznie zapewniających obsługę sieci Web. Wiele epizodów związanych z bezpieczeństwem wykorzystywało błędy ochrony plików na serwerach WWW, aby uzyskać bezpośredni dostęp do baz danych. Oddzielenie danych klientów na oddzielnych maszynach i upewnienie się, że jedynym sposobem uzyskania dostępu do danych klientów jest udokumentowane ścieżki, prawdopodobnie poważnie utrudni niewłaściwe próby uzyskania dostępu do informacji i ich modyfikacji. Te zabezpieczenia są szczególnie ważne w przypadku informacji o wysokim stopniu bezpieczeństwa, takich jak numery kart kredytowych. Liczba incydentów, w których przestępcy pobrali numery kart kredytowych bezpośrednio z Serwisu, świadczy o znaczeniu takich środków ostrożności. Systemy faktycznie przechowujące wrażliwe informacje nigdy nie powinny być dostępne z publicznego Internetu. Przechowywanie i przetwarzanie informacji o kartach płatniczych również podlega wytycznym branżowym, w szczególności PCI DSS. Sprawa TJX, na którą zwrócono uwagę opinii publicznej na początku 2007 r., Była jednym z serii włamań na dużą skalę do informacji przechowywanych elektronicznie w systemach back-office i e-commerce. Przede wszystkim wydaje się, że sprawa TJX rozpoczęła się od niedostatecznie zabezpieczonej sieci korporacyjnej i powiązanych z nią systemów zaplecza, a nie od penetracji strony internetowej. Naruszenie to przerodziło się w naruszenie bezpieczeństwa korporacyjnych systemów danych. Na stronie internetowej TJX podano, że co najmniej 45,7 mln kart kredytowych zostało przejętych (oryginalne raporty w USA Today i inne publikacje podają 94 mln numerów kart kredytowych jako przejęte). W dniu 30 listopada 2007 r. Poinformowano, że TJX, organizacja macierzysta sklepów, w tym TJ Maxx i Marshall’s, zgodziła się uregulować roszczenia bankowe związane z kartami VISA na kwotę 40,9 mln USD.26 Ponadto od marca 2008 r. Pozew zbiorowy proces w imieniu klientów był w trakcie załatwiania. Wezwał do wniesienia opłat na rzecz każdego ze powodów za monitorowanie kredytu i kradzież tożsamości oraz za licencje dla nowego kierowcy, a także 6,5 miliona dolarów na rzecz obrońcy powoda. Pomimo kilku tak głośnych ataków wydaje się, że nie wyciągnięto wniosków. Jeszcze w marcu 2008 r. Firma Hannaford Bros. Co. poinformowała, że ​​ujawniono 4,2 miliona numerów kart kredytowych, a na ten dzień zgłoszono około 1800 przypadków nieuczciwego użycia. Incydent z udziałem sieci obsługującej konsolę Sony PlayStation 327 ujawnił dane osobowe około 70 milionów subskrybentów. Oczywiście potrzebne są bardziej rygorystyczne kontrole, opieka i zabezpieczenia.

Zaopatrzenie

Chociaż dzisiejszy sprzęt ma bezprecedensową niezawodność, każda awaria sprzętu między klientem a centrum danych wpłynie negatywnie na obecność przedsiębiorstwa w Internecie. W przypadku strony internetowej pierwszej linii o wysokiej dostępności efektywnym wymogiem są co najmniej dwa zróżnicowane obiekty, każdy z co najmniej dwoma serwerami. Niekoniecznie jest to kosztowna propozycja. Dość wydajne serwery internetowe można kupić za mniej niż 5000 USD, więc całkowity koszt sprzętu na cztery serwery jest rozsądny, znacznie mniejszy niż roczny koszt pojedynczego technika. Przetwarzanie w chmurze, dostępność serwerów wirtualnych w centrum danych jako usługi (np.Amazon, Verizon, RackSpace, Google) stanowi kolejną opcję o niskich kosztach wejścia. W większości przypadków koszt dodatkowego sprzętu jest więcej niż rekompensowany przez biznesowy koszt przestoju, który czasami może przekroczyć całkowity koszt powielanego sprzętu nawet o 100 razy w pojedynczym odcinku. Zduplikowany sprzęt i różnorodność geograficzna zapewniają klientom stały dostęp do pewnego stopnia funkcjonalności. Stopień funkcjonalności, którą należy zachować, zależy od rynku i klientów. Firmy finansowe obsługujące handel akcjami online mają inne wymagania operacyjne, regulacyjne i prawne niż supermarkety. Kluczem jest dopasowanie poziomu wsparcia do działań. Pewien stopień planowanej degradacji jest ogólnie akceptowalny. Całkowita niedostępność nie wchodzi w grę. Usługi zdalnego hostingu określane ogólnie jako „przetwarzanie w chmurze” nie eliminują zagrożeń. Wynajem czasu i innych zasobów od dostawcy zmniejsza kapitał i koszty operacyjne, ale wiąże się to z utratą widoczności i kontroli. Awaria w zdalnym obiekcie obsługiwanym przez sprzedawcę może spowodować przerwanie krytycznej usługi. W zależności od aplikacji, branży, środowiska regulacyjnego i prawnego, ryzyko związane z przetwarzaniem w chmurze może być policzalne lub niewymierne. Trudności w relacjach z dostawcami mogą powodować sytuacje związane z „danymi zakładników”. Z punktu widzenia bezpieczeństwa i zapewniania informacji, planowanie z wyprzedzeniem w celu uwzględnienia zmian u dostawców chmury powinno być częścią planowania. Istnieją również nierozwiązane kwestie prawne dotyczące korzystania ze wspólnych urządzeń komputerowych obsługiwanych przez strony trzecie. Jeśli nakaz przeszukania zostanie doręczony w obiekcie wewnętrznym, organizacja będzie wyraźnie świadoma tego, co się stało. Jeśli sprzedawca obiektów wspólnych otrzyma nakaz, pozostaje kwestią otwartą, czy ma on chęć (lub możliwość) do przedstawienia środków ochronnych w sposób przejrzysty i dostępny z danymi przechowywanymi w firmie.

Projektowanie aplikacji

Ochrona witryny internetowej zaczyna się od najbardziej podstawowych kroków. Po pierwsze, witryna przetwarzająca informacje poufne powinna zawsze obsługiwać protokół HTTPS (Secure Hypertext Transfer Protocol), zwykle przy użyciu portu 443 protokołu kontroli transmisji (TCP). Prawidłowe wsparcie protokołu HTTPS wymaga obecności odpowiedniego certyfikatu cyfrowego. Gdy wymagania dotyczące bezpieczeństwa są niepewne, projekt witryny powinien być błędny po stronie korzystania z protokołu HTTPS do komunikacji. Podsłuchiwanie w Internecie jest zawsze obecnym zagrożeniem. Zdarzały się przypadki manipulacji bazą danych routingu i nadzoru sponsorowanego przez państwo. Epizody Hannaford i TJ Maxx opisane wcześniej w tym rozdziale obejmowały zastosowanie czegoś, co można opisać jedynie jako techniki klasycznej inteligencji sygnałowej (SIGINT). Chociaż szczegóły dotyczące takich ataków często nie są upubliczniane, obszerna literatura historyczna na temat wywiadu komunikacyjnego (COMINT) i SIGINT z okresu II wojny światowej wyjaśnia jedno: Szyfrowanie całego potencjalnie wrażliwego ruchu jest jedynym sposobem ochrony informacji. Szyfrowanie powinno być również stosowane w organizacji, możliwie z innym certyfikatem cyfrowym, do poufnej komunikacji wewnętrznej i transakcji. Wcześniej zauważono, że organizacje nie są monolitycznymi domenami bezpieczeństwa. Nigdzie nie jest to dokładniejsze niż w przypadku zasobów ludzkich, ocen pracowników, wynagrodzeń, świadczeń i innych wrażliwych informacji o pracownikach. Istnieją pozytywne wymagania, aby te informacje były chronione, ale niewiele organizacji naprawdę zabezpieczyło swoje sieci wewnętrzne przed wewnętrznym monitorowaniem. O wiele bezpieczniej jest kierować całą taką komunikację przez bezpiecznie zaszyfrowane kanały. Takie środki są również wyrazem starań w dobrej wierze o zapewnienie prywatności i poufności informacji wrażliwych. Takie wysiłki są ważnym elementem obrony organizacji w przypadku wystąpienia incydentu. Opieka z góry może znacznie zmniejszyć odpowiedzialność prawną. Brak uwzględnienia tych zagrożeń był przyczyną wielu incydentów, w tym spraw TJ Maxxa i Hannaforda. Ważne jest również, aby unikać podawania wszystkich informacji uwierzytelniających na pojedynczej stronie lub w sekwencji stron. W przypadku ukrywania części informacji, jak na przykład części numeru karty kredytowej lub konta, należy zachować podział na części ukryte i wyświetlane. Wyświetlanie wszystkich informacji, nawet jeśli znajdują się one na różnych ekranach, jest zaproszeniem do naruszenia bezpieczeństwa