23.01.2014

»сследование безопасности сайтов на различных CMS-системах

image

SiteSecure и проект Ruward представл€ют результаты комплексного исследовани€ безопасности сайтов за 2013 год.

—ервис мониторинга безопасности сайтов SiteSecure и проект Ruward представл€ют результаты комплексного исследовани€ безопасности сайтов, созданных на различных CMS-системах, проведенного в окт€бре2013 Ц €нваре 2014.

«аражение сайта вирусами, наличие у€звимостей, нахождение проекта в черных списках Ц €вл€ютс€ одной из важных угроз дл€ интернет-бизнеса в –оссии.   сожалению, на данный момент в –унете сложилась довольно плачевна€ ситуаци€ с точки зрени€ мониторинга, своевременного вы€влени€ и устранений подобных угроз.  лиентска€ аудитори€ слабо информирована, а компании-разработчики зачастую не обладают профильной компетенцией по решению подобных задач, пуска€ дело на самотек.

ѕо результатам нашего исследовани€ каждый седьмой сайт в –унете подвержен риску финансовых потерь из-за проблем, св€занных с безопасностью. » если крупные игроки рынка решают проблему наймом профильных специалистов и использованием промышленных систем мониторинга и защиты, то сектор —ћЅ в большей части просто не задумываетс€ о решении подобных проблем заранее, и вынужден реагировать по факту уже понесенных убытков.

Ўабанов »ль€, управл€ющий партнер информационно-аналитического центра Anti-Malware.ru:

Ђ¬ладельцы сайтов зачастую не понимают всех рисков, св€занных недостаточным уровнем безопасности. ќднако простое заражение веб-сайта может на практике обернутьс€ большими проблемами дл€ бизнеса: исключением домена из поискового индекса, попаданием домена в спам-листы, полной блокировкой сайта со стороны хостинговой компании и судебными исками со стороны клиентов и партнеров. ¬ результате владелец сайта не обойдетс€ лишь небольшими затратами на устранение последствий заражени€. ≈му придетс€ восстанавливать репутацию ресурса продолжительное врем€, терп€ значительные убытки и недополуча€ прибыль. ¬о многих случа€х репутацию будет невозможно поправить вовсе.

  сожалению, массова€ у€звимость веб-сайтов и св€занные с этим проблемы безопасности затрагивают не только интересы владельцев ресурсов. ќни затрагивают всю эко-систему глобальной сети »нтернет, т.к. более 90% всех заражений персональных компьютеров происходит именно по причине посещени€ зараженных веб-сайтов.  иберпреступниками давно поставлен на поток процесс поиска у€звимых веб-сайтов, их заражение и дальнейшее инфицирование устройств всех посетителей.† „асто владельцы взломанных и зараженных сайтов принимают инциденты на личный счет. Ќо, как правило, в этом нет ничего личного. ѕросто криминальный бизнес, поставленный на потокї

ћетодика проведени€ исследовани€

ƒл€ исследовани€ были выбраны случайным образом 30 000 действующих сайтов в домене RU, созданные на различных CMS. ¬ыборка сайтов с определением типов CMS была предоставлена компанией iTrack.

»сследование проводилось в период окт€бр€ 2013 Ц €нвар€ 2014 путем сканировани€ сайтов-респондентов техническими инструментами SiteSecure. ¬ рамках исследовани€ проводилс€ анализ следующих характеристик сайтов:

  • ¬ерси€ CMS и веб-сервера;
  • Ќаличие вирусов на сайте;
  • Ќаличие сайта в черных списках Google и Yandex;
  • Ќаличие сайта в черных списках Phishtank, DNSRBL, UCE PROTECT и других;
  •  оррел€ци€ между версией CMS и наличием проблем на сайте.

—равнение безопасности сайтов на бесплатных и коммерческих CMS

ѕо результатам исследовани€ сайты, использующие, бесплатные CMS в среднем в четыре раза чаще подвергаютс€ заражени€ми и попадают в черные списки, чем сайты на коммерческих CMS.

Ќо и у бесплатных CMS ситуаци€ с безопасностью сильно различаетс€. “ак, например, в черные списки попадает каждый двадцатый сайт на Datalife Engine. ¬ то же врем€ среди сайтов на CMS TYPO3 не было обнаружено ни одного зараженного сайта. ћы св€зываем этот с тем, что команда разработки TYPO3 удел€ет значительное внимание повышению безопасности своей CMS. ¬ частности, только в сент€бре на сайте TYPO3 было опубликовано 9 новых у€звимостей, в том числе одна категории средней опасности в €дре CMS и 8 критических Ц в модул€х сторонних разработчиков. —реди наиболее распространенных в –унете коммерческих CMS мы не смогли выделить €вного лидера Ц все они имели примерно одинаковое количество сайтов с проблемами.

»спользование обновленных версий CMS

Ќаблюдаетс€ заметна€ коррел€ци€ между использованием наиболее свежих версий CMS и наличием проблем на сайтах, как среди коммерческих, так и среди бесплатных CMS. —воевременно обновл€емые версии CMS снижают риск по€влени€ проблем в среднем в два раза. Ќаиболее €вно польза от перехода на свежие версии заметна на примере Joomla и WordPress.

—амую последнюю версию Joomla использовали только 3% сайтов на Joomla, а самую последнюю версию WordPress использовали 15% сайтов. ѕри этом дол€ проблемных сайтов на Joomla в три раза выше, чем на WordPress. ќчевидно, что своевременное обновление версии CMS повышает безопасность сайта.

ќдной из гипотез авторов исследовани€ €вл€етс€ то, что сайты на коммерческих CMS чаще разрабатываютс€ силами профессиональных разработчиков, которые своевременно след€т за обновлением версий, что приводит к большей доле зараженных проектов на бесплатных решени€х.

ќтсутствие вли€ни€ типа веб-сервера

–аспределение проблемных сайтов по типам веб-серверов в целом совпадает с рейтингом попул€рности веб-серверов, в св€зи с чем можно говорить, что верси€ того или иного веб-сервера не €вл€етс€ решающим фактором безопасности сайта.

—равнение черных списков поисковых систем

яндекс заносит сайты в черный список в два раза чаще, чем Google. ѕри этом пересечение списков Google и Yandex составл€ет всего 10% от общего числа занесенных в черные списки сайтов.

¬ывод: веб-мастерам, seo-оптимизатором и другим специалистам, которые отвечают за продвижение сайтов, следует об€зательно отслеживать наличие сайта в черных списках обоих поисковиков.

ќсведомленность владельцев сайтов о наличии проблем

ќдной из ключевых проблем на рынке €вл€етс€ низка€ осведомленность владельцев сайтов о возникающих угрозах.

ѕосле завершени€ исследовани€ была проведена попытка св€затьс€ с владельцами около 130 сайтов, которые были заражены вирусами или находились в черных списках поисковых систем. Ѕолее половины владельцев, чьи сайты активно используютс€ дл€ продвижени€ товара или услуги, не знали о наличии проблем с их сайтами. ѕри этом треть из них продолжала тратить средства на обслуживание или продвижение сайта.

ѕодводна€ часть айсберга

¬ дополнение к первой части исследовани€ мы проверили все 30 000 коммерческих сайтов на наличие в черных списках по признаку рассылки спама с IP-адреса, на котором размещен сайт. ќ масштабе проблемы, которую мы обнаружили, мы считаем важным рассказать. ѕочти 15% всех проверенных сайтов наход€тс€ в одном из списков UCE PROTECT, то есть непосредственно участвуют в рассылке спама или наход€тс€ по соседству с сайтами, которые рассылают спам. ѕри этом 70% сайтов наход€тс€ в одной подсети, а 28% - на одном IP адресе с сайтами Ц источниками спама.

„то это означает дл€ владельцев сайтов. ¬ первую очередь, это скрытые проблемы, которые не могут быть диагностированы без непосредственной проверки по черным спискам. –езультатом наличи€ этих проблем может стать, в зависимости от конфигурации почтовых служб сайта, полна€ или частична€ невозможность доставки исход€щей почты, включа€ рассылки писем клиентам, а также за€вки, оставленные потенциальными клиентами на сайте.†

ƒл€ доменной почты чаще используютс€ выделенные почтовые сервера провайдера, и тут за решением проблемы следит сам провайдер. ј вот отправка автоматизированных маркетинговых писем и уведомлений, а также запросов клиентов, может выполн€тьс€ через другие механизмы с того же IP-адреса, на котором размещен сайт, и он часто не имеет средств проверки успешности доставки. ƒл€ 15% проверенных нами сайтов это может означать неэффективную работу или остановку маркетинговой активности и приема запросов от потенциальных клиентов, то есть пр€мые потери дл€ бизнеса.

†Ц ¬ладельцы 4500 сайтов, участвовавших в исследовании, подвержены риску финансовых потерь из-за имеющихс€ на сайте проблем. Ёто каждый седьмой сайт.

» напоследок Ц последстви€

¬ ходе исследовани€ мы вручную проанализировали около 750 интернет-бизнесов из списка сайтов, на которых были обнаружены вирусы или другие критические проблемы. ѕо полученным данным, 15% бизнесов прекратили свое существование, а владельцам 10% сайтов, до которых мы дозвонились, в результате заражени€ пришлось полностью переделывать свой сайт.

Ўабанов »ль€, управл€ющий партнер информационно-аналитического центра Anti-Malware.ru:

Ђ–езультаты проведенного исследовани€ нагл€дно демонстрируют масштаб проблемы, св€занной с низким уровнем компетентности в вопросах информационной безопасности у владельцев веб-сайтов и специалистов, которые отвечают за их создание и обслуживание.† ¬ нашей практике помощи пострадавшим от действий киберпреступников на ресурсе VirusInfo.info мы регул€рно сталкиваемс€ с просьбами о помощи в устранении последствий несанкционированного доступа к веб-сайтам. ѕоэтому мы можем со всей уверенностью подтвердить печальные выводы исследовани€.

–ешить проблемы безопасности самосто€тельно ни разработчики, ни владельцы ресурсов чаще всего не могут. »зменить негативную ситуацию, по моему мнению, могло бы повсеместное применение средств мониторинга и устранени€ у€звимостей веб-сайтов, а также периодический аудит и тестировани€ на соответствие прин€тым нормам безопасности. ¬ насто€щее врем€ такие сервисы активно по€вл€ютс€ї†

Ќаши рекомендации

¬ладельцам сайтов

ƒл€ обеспечени€ сохранности вложений в сайт и эффективного возврата инвестиций в его продвижение мы рекомендуем регул€рно удел€ть внимание мониторингу работоспособности сайтов и проактивной проверке на наличие проблем, таких как попадание сайта в черные списки, взлом или заражение. †

Ќаиболее распространенные проблемы, как показало исследование, €вл€ютс€ скрытыми и не поддаютс€ диагностике без специальных средств мониторинга.

јгентствам и веб-студи€м

Ќаша практика показывает, что в случае возникновени€ проблем с безопасностью основные претензии предъ€вл€ютс€ заказчиком именно к разработчику проекта (несмотр€ на то, что зачастую эти вопросы выход€т за пределы его компетенции и не прописаны юридически в договоре на создание/поддержку).

“акже бесспорно, что в средней массе аудитори€ агентств и студий гораздо более компетентна в вопросах IT/безопасности, чем клиентска€ аудитори€.

”читыва€ вышесказанное, студии и агентства €вл€ютс€ идеальным Ђпервым эшелономї в борьбе с подобными угрозами. ћы рекомендуем:

  • «аблаговременно настроить базовые процессы по мониторингу и проактивной защите сайтов, которые разрабатывает и поддерживает агентство.
  • —воевременно реагировать на обновлени€ версий CMS, веб-серверов и других элементов ѕќ, участвующих в работе сайта.
  • »спользовать сервисы мониторинга и проактивной защиты по всему парку проектов (не важно, внешний ли это сервис или встроенный, например, в CMS).
  • ѕроводить разъ€снительную работу с заказчиками, объ€сн€€ возможность возникновени€ проблему и возможные способы решени€.

ѕроизводител€м CMS

јктивное оповещение разработчиков и владельцев сайтов о выходе новых версий может ускорить процесс обновлени€ и снизит количество сайтов, подвергающихс€ заражени€м вирусов и попаданию в черные списки.

ћы также рекомендуем размещать на сайтах больше информации о безопасности CMS дл€ повышени€ довери€ к производителю CMS и разработанным на основе этой CMS сайтам.

ќтдельное внимание стоит уделить информированию сообщества разработчиков, использующих платформу -† как с точки зрени€ оповещени€ о новых верси€х и используемых механиках защиты, так и с точки зрени€ продвижени€ идеологии сервисов проактивной защиты.

ƒмитрий ¬асильев, генеральный директор NetCat:

Ђƒл€ несложных корпоративных сайтов цена взлома может быть достаточно высокой как минимум в случае дефейса. ≈сли же говорить о сайтах с функциональностью выше простого корпоративного представительства, на которых хранитс€ финансова€ или закрыта€ информаци€ (интернет-магазин, корпоративный портал, площадка дл€ дилеров, —ћ» или сообщество), последстви€ дл€ владельца сайта вполне могут быть непоправимыми.

ѕоэтому проблему безопасности надо всегда держать в голове. Ќо р€довой пользователь никак не сможет составить впечатление о том, насколько безопасна выбранна€ им CMS, даже если на ее сайта об этом целый раздел с красивыми словами и картинками. ѕоэтому независимые исследовани€ и сравнени€ продуктов в этом контексте дл€ рынка были бы очень полезныї

—ергей  отырев, генеральный директор UMI.CMS:

Ђћы согласны со всеми результатами этого исследовани€, его выводы полностью совпадают с опытом нашей компании:†

1. ѕоследние версии CMS гораздо безопаснее устаревших, поэтому всегда надо обновл€ть вашу CMS до самой свежей версии.
2.  оммерческие CMS безопаснее бесплатных, т.к. удел€ют гораздо более серьезное внимание безопасности своих продуктов. Ќапример мы, помимо посто€нного аудита безопасности и исправлени€ ошибок в новых верси€х еще и заботимс€ о старых клиентах, не обновл€ющих CMS.
»м мы предлагаем пройти бесплатный аудит безопасности сайта в ÷ентре безопасности и бесплатно получить патчи, если будут обнаружены у€звимости.
3. Ѕольшинство клиентов сайтов находитс€ в неведении относительно потенциальных или даже состо€вшихс€ проблем своих сайтовї†

»сточник материала: http://www.ruward.ru/sitesecure/.

ќ SiteSecure

SiteSecure Ц один из первых в –оссии облачных сервисов по мониторингу и проактивной защите сайтов. †—ервис реализует комплекс мер дл€ проверки сайта на у€звимости, взломы и наличие вирусов, предлага€ оперативное решение в случае возникновени€ проблем. †

или введите им€

CAPTCHA
Ќиколай  оваленко
13-02-2014 22:46:46
ј где Drupal?
0 |