SAVE SITE

Обеспечение безопасности сайта

Обеспечение безопасности Вашего сайта, расположенного на виртуальном хостинге/виртуальном сервере/выделенном сервере

- У Вас сайт на виртуальном хостинге? Ваша информационная подсистема состоит из следующих подсистем/частей:

1. Операционная система сервера, на котором настроен виртуальный хостинг;
2. Программы и библиотеки, управляющие доступом к серверу;
3. Система управления содержимым сайта;

Безопасность Вашей информационной подсистемы состоит из:

• Целостности Ваших данных: никто не должен иметь возможность изменить даже какую-либо часть информации на сайте без Вашего ведома;
• Доступности Вашей информации: сайт/информация на сайте должен(на) быть доступен(на) для пользователей. Доступ не должен быть ограничен без Вашего ведома;
• Секретности информации: внутренняя/закрытая информация, такая как пароли доступа, не должна стать доступной неавторизованным пользователям.

Злоумышленник может нарушить безопасность Вашей информационной подсистемы из-за уязвимостей в любой из её частей. Уязвимость - это возможность получить неавторизованный доступ к подсистеме, используя ошибки в коде или логике функционирования подсистемы, используя которые злоумышленник может заставить систему функционировать не так, как задумано её разработчиками, и выполнять неавторизованные операции.

Уязвимости разделяются на две большие группы:

1. "Известные на данный момент". Если кто-либо из исследователей безопасности информационных систем или же просто добросовестных пользователей находит уязвимость, то он публикует информацию о ней, а разработчики информационной системы, в которой найдена уязвимость, выпускают обновление, устраняющее уязвимость. В России уязвимости публикуются в "Базе данных угроз безопасности ФСТЭК" (https://bdu.fstec.ru/vul). В мире уязвимости публикуются в базе данных CVE.
2. "Неизвестные на данный момент" или "уязвимости нулевого дня". Это уязвимости, информация о которых на данный момент ещё никому неизвестна (кроме злоумышленников, намеревающихся её использовать) и исправлений для которых ещё не выпущенно.

Первая группа уязвимостей гораздо обширнее второй, но от неё можно обезопаситься регулярно применяя выпускаемые разработчиками обновления для всех частей информационной системы (для ОС, для программ и библиотек, для системы управления содержимым сайта). ФСТЭК регулярно выпускает и рассылает бюллетени с информацией о новых найденных уязвимостях и рекомендации об их устранении (применении обновлений и т.д.).

Вторая группа уязвимостей  гораздо меньше первой, но более опасна тем, что такие уязвимости ещё никому неизвестны (кроме злоумышленников) и исправлений для них ещё не существует.
Защита от таких потенциальных уязвимостей более сложна и дорога и включает в себя настройку и использование специальных web-фареволов уровня приложений (WAF - Web Application Firewall).

Мы поможем Вам проанализировать Вашу информационную систему на известные уязвимости:

• Ваш виртуалный хостинг настроен на сервере со старой версией ОС - Вы под угрозой!
• Владелец Вашего виртуального хостинга не производит регулярные обновления программ и библиотек - Вы под угрозой!
• Система управления сайтом не обновляется владельцем хостинга - Вы под угрозой!
• Владелец хостинга не мониторит информационные сообщения ФСТЭК и не следует рекомендациям по устранению уязвимостей - Вы под угрозой!

Мы дадим Вам рекомендации по улучшению информационной безопасности Вашего сайта. При необходимости мы порекомендуем Вам хостинг, где ответственно подходят к обеспечению безопасности.

Как получить бесплатный аудит сайта

Просто и доступно,
по шагам.