Рекомендації CERT-UA з безпеки вебресурсів
Технічні рекомендації:
Існує багато авторитетних ресурсів з рекомендаціями щодо захисту та коректного налаштування вебресурсів.
На нашу думку краще за все ризики для вебресурсів та рекомендації щодо їх усунення описані в проекті «OWASP Top 10».
«OWASP Top 10» роз'яснює розробникам, проектувальникам, архітекторам, менеджерам та організаціям наслідки, до яких призводять найвразливіші місця безпеки вебресурсів. У Топ 10 представлені основні методи захисту від цих проблем високого ступеня ризику, а також рекомендації щодо подальших дій з їх усунення.
«OWASP Top 10» оновлюють кожні декілька років.
На сьогодні остання версія рекомендацій 2017 року:
https://owasp.org/www-project-top-ten/
https://www.owasp.org/images/9/96/OWASP_Top_10-2017-ru.pdf
На сайті CERT-UA опубліковано рекомендації “OWASP Top 10” українською мовою за 2013 рік:
Десять найбільш критичних ризиків для безпеки вебдодатків
В зазначених публікаціях описані основні вразливості, які виникають при розробці вебдодатків, пояснюються методи їх експлуатації, наведено сценарії кібератак та надаються рекомендації з усунення вразливостей.
Далі наведено додаткові рекомендації CERT-UA для адміністраторів вебресурсів:
1. Управління оновленнями програмного забезпечення.
Необхідно постійно слідкувати за версіями операційної системи, системи управління контентом (CMS), менеджера пакетів, фреймворків або іншого ПЗ, що забезпечують роботу вебресурсу, та регулярно оновлювати їх. При цьому краще використовувати тільки "LTS" версії.
2. Використання HTTPS.
Використання протоколу HTTPS гарантує цілісність і конфіденційність взаємодії з сервером, захищає дані користувачів при передачі в мережі Інтернеті. Сертифікат має бути виданий центром сертифікації.
Необхідно використовувати TLS останньої версії (SSL має недоліки та вразливості і не є прийнятним для безпечного зв'язку).
Хорошою практикою є налаштування механізму HSTS (HTTP Strict Transport Security) для примусового використання HTTPS, навіть у разі переходу за посиланнями з явним зазначенням протоколу HTTP.
3. Моніторинг журнальних файлів (логів) на підозрілі події.
Якщо у вебресурсу відсутня своя система журналювання (що описано в пункті А10 OWASP Top 10 2017), потрібно відслідковувати журнальні файли вебсерверу (access.log). В журнальних файлах потрібно звертати увагу на POST запити та код відповіді серверу на них.
Особливу увагу варто приділяти POST запитам до сторінок, які не повинні приймати ніякі дані, або яких взагалі не повинно існувати. Це може свідчити про несанкціоновані дії з вебресурсом.
4. Періодична перевірка директорій на сервері вебресурсу з метою виявлення підозрілих файлів (пошук вебшелів).
Зазвичай після взламу вебресурсів зловмисники залишають на сервері бекдори (вебшели) для віддаленого доступу до серверу сайту. Рекомендуємо періодично переглядати директорії вебдодатку для пошуку таких бекдорів. Для цього можливо використовувати спеціальні скрипти або банально перевіряти наявність нових файлів в директоріях. Виявлення створеного сторонніми особами файлами буде свідчити про злам вебресурсу та дає можливості для подальших дій з пошуку вразливостей, які були використанні.
https://cert.gov.ua/files/pdf/CUA-14-06R.pdf
5. Управління правами доступу.
Налаштуйте дозволи для файлів та каталогів. Розподіляйте права доступу до файлів на сервері та окремих розділів сайту відповідно до завдань користувачів.
Доцільно розмежувати розташування скриптів та програм, даних, призначених тільки для читання, та даних, призначених для зміни відвідувачами.
6. Уникайте вразливих конфігурацій вебсервера.
Злом сайту починається зі збору інформації про сервер. Приховування версій використовуваного ПЗ - це один з елементів забезпечення безпеки вебсервера. Знання версій цих програм може полегшити задачу зловмисника з пошуку відомих для даної версії вразливостей і, як наслідок, в досягнення основної мети - проникненню. Тому необхідно приховувати службові сторінки (наприклад phpinfo.php, temp.php, test.php.) та службову інформацію, що виводиться в повідомленнях про помилки.
Вимкніть непотрібні сервіси. Заблокуйте порти, що не використовуються, налаштуйте міжмережевий екран та/або Web Application Firewall (WAF).
Обмежити доступ до панелі адміністратора з мережі інтернет та мереж загального користування.
Регулярно змінюйте паролі доступу до сайту та серверу.
Використовуйте захищені методи доступу до серверу для передачі файлів і управління ним (SFTP, SSH та ін.).
Налаштуйте фільтрацію вхідних даних у вебформах.
Регулярно здійснюйте резервне копіювання сайту та БД (якщо така наявна).
7. Розмежування вебдодатків.
Досить часто фахівці CERT-UA спостерігають розташування на одній віртуальній машині декількох вебресурсів, які не відносяться один до одного. Наприклад, вебсайт та стара версія вебсайту, або нова тестова версія. Стара версія не підтримується і має старі вразливості, тестова версія недопрацьована і також вразлива, при цьому до них є доступ з мережі Інтернет. Через вразливості цих вебресурсів зловмисники отримують несанкціонований доступ до основного вебресурсу.
Організаційні рекомендації:
1. Наявність спеціалістів, відповідальних за роботу та налаштування вебресурсу.
Зазначені особи повинні бути компетентними в питаннях розгортання, налаштування, оновлення та підтримки вебдодатків.
2. Повідомлення про несанкціоновані дії щодо вебресурсів.
Якщо було виявлено або є підозра стосовно здійснення несанкціонованих дій щодо вебресурсів державних органів, просимо негайно повідомляти про це CERT-UA через форму на сайті https://cert.gov.ua/ або на електронну пошту [email protected].
Порядок повідомлення про несанкціоновані дії описано тут: https://zakon.rada.gov.ua/laws/show/z0603-08
Корисні посилання:
https://owasp.org/www-project-top-ten/
https://www.owasp.org/images/9/96/OWASP_Top_10-2017-ru.pdf
https://cert.gov.ua/files/pdf/CUA-14-06R.pdf
https://cert.gov.ua/files/pdf/OWASP_Top_10_-_2013_Final_Ukrainian.pdf