Аудит безопасности сайта— это упреждающая мера, которая позволяет получить адекватную оценку защищенности ресурса компании, полную информацию о найденных уязвимостях, возможные сценарии атак и рекомендации по их устранению. Это, по сути, не событие, а непрерывный процесс по обеспечению безопасности бизнес-процессов сайта компании, сохранению деловой репутации, экономического роста и развития бизнеса.
Вовремя проведенный аудит безопасности веб приложений поможет выявить уязвимые компоненты и проблемные области сайта. Рекомендации помогут быть готовыми к отражению хакерских атак.
Мотивация, которую применяют злоумышленники для взлома веб ресурсов может быть различной — это и бахвальство,шантаж, и поиск выгоды как для себя лично, так и работая на «заказ».
С каждым клиентом подписывается Договор о неразглашении, независимо от объекта и целей аудита. Любая компания, дорожащая своей репутацией, априори не будет распространять конфиденциальную информацию о своих клиентах, но этот Договор даст дополнительную гарантию. Более того, в ходе аудита атакующая сторона (Исполнитель) может получить доступ к критичным данным, коммерческой тайне и т.д.
Подтверждение легитимности. Для исполнителя крайне важно иметь подтверждение законности проведения аудита безопасности — т.е. заказчик должен являться владельцем сайта. В любом другом случае, в том числе и при «свободном рисерче», когда энтузиасты исследуют чужие веб-проекты на наличие уязвимостей, действия атакующей стороны подпадают под 272 статью УК РФ. Что касается Bug-bounty программ — в описании обычно указано перечисление ресурсов и разрешенные действия. При коммерческом аудите заказчик обычно добавляет специализированные маркеры — подтверждение легитимности действий над сайтом; или же заверяет разрешение на проведение аудита документально.
Как итог — составляется договор на оказание услуг, содержащий:
Как проходит
Обязательным условием является наличие резервных копий объектов аудита, находящихся вне периметра аудита. Как правило, наиболее оптимальный вариант — разворачивание тестового стенда.
Также, необходим контакт технического специалиста заказчика для прямого взаимодействия во время проведения аудита. Хотя многие компании стараются не ставить в известность о проведении аудита технический персонал, тем не менее, такой контакт крайне необходим — ему сообщаются IP адреса атакующей стороны, аккаунты, с которых проводится исследование. На протяжении всего процесса аудита осуществляется прямое взаимодействие с исполнителем.
Итог
По результатам анализа безопасности сайта заказчик получает развернутый отчет по выявленным уязвимостям, вектора и сценарии атак, а также рекомендации по их устранению. В отчете содержится описание модели нарушителя, классификация уязвимостей, методология аудита, указаны примеры атак по выявленным векторам. Язык отчета (русский, английский и т.д.) согласовывается на этапе подписания Договора. Консультирование технической стороны заказчика осуществляется после окончания аудита и получения заказчиком отчета. В сложнореализуемых векторах атаки заказчику может быть представлена видео-запись (скринкаст) реализации вектора атаки.
Подводя итог стоит отметить, что качественный аудит безопасности сайта позволяет обеспечить заказчику услуги безопасность и бесперебойную работу своего ресурса на высоком уровне, минимизировав риски компрометации и сохранить репутацию.
