EKSPERDI SOOVITUSED I Kuidas kaitsta veebirakendusi küberrünnakute eest?
Veebilehtede kaudu tehakse maailmas keskmiselt ligi 30 000 küberrünnakut päevas, et blokeerida nende tööd või varastada, rikkuda ja kustutada seal olevaid andmeid. Telia küberturbe lahenduste insener Tanel Kindsigo selgitab, millised ohud kaasnevad selliste rünnakutega ning kuidas saab ettevõte oma veebirakendusi nende eest kõige tõhusamalt kaitsta.
Tarkvaradest leitakse pidevalt turvaauke, mida küberkurjategijad üritavad kiiresti ära kasutada. Selliste rünnakute ennetamiseks tuleks oma veebiserveri tarkvara regulaarselt uuendada. Eriti oluline on tagada veebilehe koodi turvalisus. Üle poolte maailma veebilehtedest on loodud sisuhaldustarkvarade abil, millest ülivõimsalt levinuim on WordPress. Kahjuks leitakse ka sealt väga palju turvaauke, mistõttu on oluline võimalikult kiiresti alla laadida sisuhaldustarkvara kõige värskemad uuendused. Paraku ei anna ka see sissemurdmise vastu garantiid. Küberkurjategijad võivad leitud turvaauke salajas hoida ja neid ära kasutada enne, kui need lõpuks avalikuks tulevad ja parandatakse.
Andmete vargus
Andmete leke võib ettevõttele tekitada nii mainekahju kui ka suurt rahalist kaotust. Näiteks võivad kurjategijad müüa varastatud ärisaladuse teie konkurendile. Samuti kasutatakse kurjasti ära klientide lekkinud isikuandmeid, neid maha müües või avalikustades. See võib omakorda tuua kaasa Andmekaitse Inspektsiooni uurimise ja trahvi. Seetõttu on oluline andmeid klassifitseerida. Tasub hoolikalt läbi mõelda, milliseid andmeid on üldse vaja internetis välja näidata ning kas need peaksid olema kättesaadavad kõigile või tuleks osade andmete ligipääsu piirata ainult teatud isikutele. Sellest hoolimata võib juhtuda, et veebilehe turvaaukude kaudu andmed lekivad ja ligipääsupiirangutest õnnestub mööda hiilida.
Info asendamine või andmete rikkumine
Kui veebilehele õnnestub sisse murda, võivad kurjategijad selle sisu ära muuta, levitada seal näiteks enda propagandat, soovimatut reklaami või lihtsalt jagada valeinfot, rikkuda andmebaasis olevad andmed ja nõuda lunaraha nende taastamise eest. Lisaks kõigele sellele võivad ründajad muuta veebilehe koodi selliselt, et sinna sisse logides saadetakse kõik kasutajatunnused ja paroolid kurjategijate serverisse, avades sellega neile ligipääsu veebilehe piiratud sisule.
Pahavara levitamine
Tihtipeale kasutatakse veebilehti ära pahavara levitamiseks. Veebileht näeb väliselt välja puutumatu ja korras, ent tegelikult laevad selle külastajad endale märkamatult alla pahavara ja nakatavad enda tööjaama. Paljud veebilehed kasutavad JavaScripti, mis käivitub märkamatult kliendi veebibrauseris ja see teeb arvutite nakatamise lihtsamaks. Viirusetõrje siin alati ei aita, sest selle käigus ei pruugigi pahavara alla laadimist toimuda.
Veebilehe töö häirimine
Ründajad saadavad veebiserverile suures koguses päringuid, nii et server jääb hätta nendele vastamisega, mistõttu muutub veebileht ka külastajate jaoks väga aeglaseks või täiesti kättesaamatuks. Selliseid Denial of Service (DoS) ründeid sooritatakse peamiselt avaliku sektori ja elutähtsate teenuste osutajate veebiserverite pihta, et halvata sellega ühiskonna elutegevus. Vahel rünnatakse sedasi ka väiksemaid eraettevõtteid, et nõuda neilt lunaraha. Tihtipeale on sellised rünnakud ka edukad, kui ettevõtted ei ole enda kaitsmiseks eelnevalt ettevalmistunud.
Agressiivne jälgimine
Vahel on konkurent väga huvitatud teie ettevõtte veebilehel olevast infost ja laeb pidevalt alla kogu selle sisu või siis olulisemaid andmeid. Näiteks salvestab teie toodete ja hindade infot, et olla pidevalt kursis seal toimunud muutustega. See aga tekitab veebilehele asjatut koormust ja võib anda konkurendile ka eelise äritegevuses.
Kasutajatunnuste ja paroolide äraarvamine
Interneti sügavustes levitatakse kasutajatunnuste ja paroolide andmebaase. Seal sisalduva infoga võidakse hakata proovima ettevõtte veebilehele sisse logida, lootuses, et mõni parool klapib. Kui näiteks klient kasutab sama parooli mitmes eri kohas, ongi lehele sissepääsemise risk reaalne.
Rünnakud läbi rakendustarkvara liidese
Erinevatel andmetel moodustab rakendustarkvara liidese ehk API kaudu tehtud liiklus juba ca 50-80% kogu veebiliiklusest. Seega ei saa enam mööda vaadata ka API turvalisusest. Peamiselt suhtlevad API kaudu veebirakendused ise. Läbi API on rakendustel väga mugav veebilehelt kätte saada vajalikku infot ja andmeid, et neid töödelda, salvestada ja veebilehel presenteerida. Paraku on seda järjest enam hakanud ära kasutama ka küberkurjategijad.
API on sisuliselt programmikood veebiserveris ja kui arendajad pole selle loomisel piisavalt turvalisusele mõelnud, võibki osutuda võimalikuks selle kaudu saada ligi piiratud ligipääsuga andmetele või neid isegi kustutada. Kübermaailmas tuntud kogukond nimetusega OWASP ehk Open Worldwide Application Security Project on välja andnud isegi levinumate API turvaprobleemide Top 10 listi.
Eelloetletud küberohtude tõrjumiseks saavad ettevõtted teha ise väga palju ära.
9 soovitust veebirakenduse kaitsmiseks:
- Varundage andmeid
Keegi ei soovi end leida olukorrast, kus veebilehe kaudu on andmebaasist kogu info kustutatud või ära krüpteeritud ja varukoopiat ei ole. Seetõttu tasub ettevõttele olulisi andmeid alati varundada. Tähtis on hoida varukoopiad veebisüsteemidest lahus, et neid ei saaks sama ründe käigus ära kustutada. Lisaks võiks vahel kontrollida ka koopiate terviklikkust, et need ei oleks mingil põhjusel riknenud.
- Seadke andmetele ligipääsupiirangud
Olulistele andmetele peaksid ligi pääsema üksnes selleks volitatud kasutajad. Andmetele ligipääsu piiramiseks kasutatakse MFA (Multi-Factor Authentication) meetodeid ja autoriseerimist. Selleks on tarvis andmed klassifitseerida, et oleks selge, millised kasutajaprofiilid millistele andmetele ligi pääseda tohivad, ja milline info on täiesti avalik. Selle alusel saaks siis veebirakendus infot välja anda või hoopis piirata.
- Valideerige sisendinfot
Veebilehed muutuvad kergemini rünnatavaks, kui jäetakse täidetavatesse vormidesse sisestatav info valideerimata. Sinna sisestatud spetsiaalse koodi abil on võimalik sooritada mitmeid eri sorte ründeid nagu näiteks SQL Injection, mis loob küberkurjategijatele sisuliselt täieliku ligipääsu ettevõtte andmebaasile. Seetõttu on vaja täpselt ära defineerida, millist sisendit veebirakendus konkreetses olukorras kliendilt ootab ning kui sisend sellele ei vasta, siis päring tühistatakse.
- Uuendage serveri tarkvara
Aegajalt leitakse serverite tarkvaras turvaauke, mida on võimalik kurjasti ära kasutada. On oluline pidevalt monitoorida tarkvara versioone ja neid õigel ajal uuendada.
- Uuendage rakendustarkvara
Sisuhaldustarkvara kasutades või ise veebirakenduse koodi arendades on väga oluline pidevalt uuendada rakendustarkvara. Oma tarkvarakoodi puhul ei tule turvaaugud muidugi ise välja, keegi peab neid spetsiaalselt otsima ja testima.
- Skaneerige veebirakenduse turvalisust
Regulaarset turvaskaneerimist peaksid eelkõige praktiseerima need, kes ise arendavad oma veebirakenduste koodi. Skaneerimise abil on võimalik enamlevinud turvanõrkused kiirelt üles leida, et jõuaks need enne parandada, kui ründajad hakkavad neid ära kasutama.
- Tellige kriitilisematele rakendustele läbistustestimine
Lisaks veebirakenduse turvanõrkuste skaneerimisele tasuks kriitilisematele rakendustele tellida läbistustest (penetration testing) mõnelt teenusepakkujalt, kes tegeleb turvaaukude otsimise ja veebilehele sissemurdmisega. Leitud probleemidest koostatakse raport, mille alusel saab hakata turvaauke likvideerima.
- Kasutage krüpteeritud liiklust
Avalikku Wifi-võrku kasutades olge ettevaatlik, sest küberkurjategijad võivad juba olla sinna sisse murdnud ja jälgivad ning salvestavad seal kogu liiklust. Seetõttu on oluline alati kasutada krüpteeritud andmesidet. Veebiliikluse puhul https protokolli. Veebileht peaks kasutama piisavalt turvalisi krüptoalgoritme, mida ei saa lahti muukida.
- Kasutage veebirakenduse tulemüüri
Veebirakenduse tulemüür ehk WAF (web application firewall) adresseerib ära päris paljud ohukohad. Samuti on see üks komplekssemaid lahendusi, kus ühes turvaseadmes tekib mitmekihiline kaitse ning veebilehe pihta suunatud ründed muutuvad tuvastatavaks ja tõrjutavaks koos sellega seotud logide ja raportitega. Viimased annavad ülevaate teie veebirakenduses toimuvast. Veebirakenduse tulemüüri teenust hakkab lähiajal pakkuma ka Telia Eesti.