Многие владельцы небольших веб-сайтов не ожидают направленные атаки на свои ресурсы. Таким образом, задача обеспечения безопасности сводится к реализации ровно таких защитных мер, которых достаточно для предупреждения ненаправленных атак.
Напомню, что целью ненаправленных атак являются любые информационные ресурсы, после компрометации которых злоумышленник получит с них некоторый доход (единовременный или постоянный). Из определения следует, что ненаправленные атаки характерны во-первых, массовостью, и, во-вторых, невысоким уровнем мотивации злоумышленников в отношении своих целей. Действительно, вместо длительного взлома одной хорошо защищенной цели экономически выгоднее скомпрометировать несколько менее защищенных целей.
До недавних пор я считал, что в деле защиты от ненаправленных атак работает принцип двух товарищей и медведя. Принцип гласит, что для того, чтобы не быть съеденным медведем, не надо бежать быстрее медведя, а достаточно бежать быстрее своего товарища. В переложении на веб-безопасность это значит, что защищенность сайта должна быть немного выше, чем средняя защищенность других сайтов того же класса в той же гео-зоне. Идея понятна: злоумышленники, реализующие ненаправленные атаки, добиваются массовости. Следовательно, у них есть понимание того, когда анализ очередной цели стоит прекратить (ибо он становится не cost-effective, т.е. прибыль с данного сайта не покроет ресурсы, потраченные на его взлом) и перейти к следующей, вероятно более уязвимой цели.
Так вот на днях меня посетило озарение, что это не всегда так.
А связано это с тем, что у серьезных групп cybercriminal’ов есть возможность покупки 0day уязвимостей в наиболее массовых продуктах (WordPress, Joomla и т.п.) за бешеные миллионы и, таким образом, мотивировать их ресерч. А это значит, что если вы используете очень неплохо защищенную CMS, но при этом очень популярную (что, как нетрудно заметить, взаимосвязано), есть неплохой шанс нарваться на мега-массовую ненаправленную атаку. И тому уже есть несколько примеров .
И чтобы немножко потроллить: получается, что для того, чтобы максимально снизить риск ненаправленных атак, надо использовать какой-нибудь экзотический фреймворк, написанный вменяемыми людьми (например, Zotonic на Erlang’е ) :)
