Как мониторить ваш сайт на угрозы в реальном времени

Исследование Cybernews показывает, что взломанные сайты долго остаются незамеченными, что позволяет собрать всю ценную информацию или настроить вредоносное ПО и перенаправлять посетителей на фишинговые сайты.

Эта статья подробно описывает, что означает мониторинг в реальном времени, на какое ПО следует обращать внимание, и как собрать систему обнаружения угроз с нуля, даже если у вашей компании нет специализированной команды по безопасности.

Почему реактивной безопасности уже недостаточно

«Мой сайт слишком мал, чтобы стать мишенью», — распространенный миф, существующий среди владельцев небольших сайтов. И хотя это рациональный образ мышления, он не отражает реальность хакинга в современном мире.

Большинство взломов сайтов не выбирают вас индивидуальной мишенью атаки. Боты запускают автоматическое сканирование миллионов сайтов ежедневно, чтобы найти такие уязвимости как устаревшие плагины, легкие пароли администраторов и неверные настройки серверов.

Именно поэтому Агентство по вопросам кибербезопасности и безопасности инфраструктуры (CISA) всегда отмечает, что для компаний небольшого и среднего размера существует больший риск эксплуатации со стороны киберпреступников, так как у них не хватает адекватных мер выявления угроз.

Что входит в мониторинг безопасности сайта в реальном времени

Правильное решение мониторинга в реальном времени включает в себя многие факторы:

• Мониторинг аптайма и доступности: Базовый уровень – это просто отслеживать, находится ли ваш сайт в онлайне. Неожиданный даунтайм может указывать на DDoS атаку или взлом сервера, а не только означать плохой хостинг.
• Мониторинг целостности файлов: Это решение мониторит ваши критические файлы на предмет неавторизованных изменений. Когда вредоносное ПО изменяет ваш файл index.php или добавляет код в базу ваших тем, инструмент сразу это обнаружит. Это один из ранних признаков кибератаки.
• Анализ логов и обнаружение аномалий: Логи ваших серверов тоже предоставят вам нужную информацию. Серия неуспешных попыток авторизации, трафиковые пики из неизвестных источников или запросы к несуществующим админ страницам – это все может быть признаком кибератаки.
• Сканирование на предмет вредоносного ПО и внесение в блеклист: Автоматические сканеры оценивают ваш сайт на совпадение с любым вредоносным ПО и сверяют его с черными списками, предоставленными Google Safe Browsing, Sucuri и другими компаниями. Как только ваш сайт попадает в черный список, ваши SEO-позиции сразу проседают.
• Мониторинг сертификатов (SSL/TLS): Истечение срока действия сертификата уже представляет собой инцидент безопасности. Мониторинг сертификатов гарантирует, что вас предупредят о конце действия сертификата до того, как ваш сайт будет показывать предупреждения пользователям в браузерах.

Полезные инструменты мониторинга в реальном времени

Вам не нужно ПО уровня предприятия, чтобы мониторить угрозы в реальном времени. Использование нескольких надежных инструментов работает лучше, чем единая платформа, удовлетворительно покрывающая все.

Google Search Console заслуживает отдельного упоминания. Это бесплатный инструмент, и Google пришлет вам уведомление, если на вашем сайте будут попытки взлома или обнаружено вредоносное ПО.

Кроме того, для тщательного тестирования OWASP (Проект безопасности открытых веб-приложений) предоставляет бесплатные инструменты, которые постоянно используют специалисты по кибербезопасности, чтобы обнаруживать уязвимости в приложениях.

Построение базовой платформы мониторинга

Вам не нужно вводить все и сразу.

С чего начать:

• Используйте инструмент мониторинга аптайма (например, у UptimeRobot есть бесплатные опции), который предупредит вас сразу в случае даунтайма сайта.
• Активируйте ваш брендмауэр веб-приложений. Бесплатная версия Cloudflare предоставляет неплохую защиту и легко настраивается.
• Используйте бесплатное еженедельное сканирование на предмет вредоносного ПО, предоставляемого инструментом Sucuri SiteCheck. Вы можете настроить автоматическое сканирование, если это позволяет ваш хостинг-провайдер.
• Проверяйте логи вашего сервера ежемесячно. Даже если вы будете просто проверять, были ли 404 ошибки в админ директориях или запросы POST, это поможет вам выявить подозрительную активность.
• Мониторьте, когда истекает срок действия SSL сертификата с помощью бесплатных онлайн-инструментов, например, SSL Shopper.

Цель на этом этапе – не отточить все до идеала. На этом этапе вам нужно сократить окно между «что-то произошло» и «я знаю, что что-то произошло».

Понимать индикаторы угроз до их эскалации

Один из недооцененных навыков в безопасности сайтов – это уметь понимать ранние признаки угрозы. Ресурс Cybernews известен тем, что регулярно рассказывает о киберугрозах и взломах данных и часто освещает один и тот же аспект этих историй: признаки были до того, как взлом произошел. Их просто не заметили.

Некоторые из этих признаков угроз включают:

• Резкие падения органического трафика (может указывать на санкции Google относительно взломанного контента)
• Новые аккаунты администраторов, которые вы не создавали
• Незнакомые файлы в директории загрузок
• Внешние ссылки в вашем контенте, которые вы не вносили
• Попытки авторизации из стран, где нет вашей ЦА

Отдельно каждый из этих признаков не означает взлом. Но все признаки вместе должны стать красным флажком, чтобы исследовать ситуацию более тщательно.

Фреймворк кибербезопасности NIST может помочь вам визуализировать это: Защитить, Выявить, Ответить, Восстановиться. Большинство небольших сайтов имеют методы защиты. Но часто нет метода Обнаружения, который как раз закрывается мониторингом в реальном времени.

Для более общего обзора рисков уязвимых данных советуем изучить исследование Cybernews.