Дослідження Cybernews показує, що зламані сайти довго залишаються непоміченими, що дозволяє зібрати всю цінну інформацію або налаштувати шкідливе ПЗ і переспрямовувати відвідувачів на фішингові сайти.
Ця стаття детально описує, що означає моніторинг в реальному часі, на яке ПЗ варто звертати увагу, і як зібрати систему виявлення загроз з нуля, навіть якщо у вашій компанії немає спеціалізованої команди з безпеки.
Чому реактивної безпеки вже недостатньо
«Мій сайт занадто малий, щоб стати мішенню», — поширений міт, який існує серед власників невеликих сайтів. І хоча це раціональний спосіб мислення, він не відображає реальність хакінгу в сучасному світі.
Більшість зламів сайтів не вибирають вас індивідуальною мішенню атаки. Боти запускають автоматичне сканування мільйонів сайтів щоденно, щоб знайти такі вразливості, як застарілі плагіни, легкі паролі адміністраторів і невірні налаштування серверів.
Саме тому Агентство з питань кібербезпеки та безпеки інфраструктури (CISA) завжди наголошує на тому, що для компаній невеликого і середнього розміру існує більший ризик експлуатації з боку кіберзлочинців, тому що в них бракує адекватних заходів виявлення загроз.
Що входить в моніторинг безпеки сайту в реальному часі
Правильне рішення моніторингу в реальному часі включає в себе багато факторів:
- Моніторинг аптайму та доступності: Базовий рівень — це просто відслідковувати, чи ваш сайт в онлайні. Неочікуваний даунтайм може вказувати на DDoS атаку або злам сервера, а не тільки означати поганий хостинг.
- Моніторинг цілісності файлів: Це рішення моніторить ваші критичні файли на предмет неавторизованих змін. Коли шкідливе ПЗ змінює ваш файл index.php або додає код в базу ваших тем, інструмент одразу це виявить. Це є однією з ранніх ознак кібератаки.
- Аналіз логів і виявлення аномалій: Логи ваших серверів теж нададуть вам потрібну інформацію. Серія неуспішних спроб авторизації, трафікові піки з невідомих джерел або запити до неіснуючих адмін сторінок — це все може бути ознакою кібератаки.
- Сканування на предмет шкідливого ПЗ і внесення в блеклист: Автоматичні сканери оцінюють ваш сайт на співпадіння з будь-яким шкідливим ПЗ і звіряють його з чорними списками, наданими Google Safe Browsing, Sucuri та іншими компаніями. Як тільки ваш сайт потрапляє до чорного списку, ваші SEO-позиції одразу просідають.
- Моніторинг сертифікатів (SSL/TLS): Спливання терміну дії сертифікату є вже інцидентом безпеки. Моніторинг сертифікатів гарантує, що вас попередять про кінець дії сертифікату до того, як ваш сайт буде показувати повідомлення попереджень користувачів в браузерах.
Корисні інструменти моніторингу в реальному часі
Вам не потрібне ПЗ рівня підприємства, щоб моніторити загрози в реальному часі. Використання декількох надійних інструментів працює краще, ніж єдина платформа, яка задовільно покриває все.
| Інструмент | Основна функція | Корисний для |
| Sucuri SiteCheck | Сканування на предмет шкідливого ПЗ & чорних списків | Швидке зовнішнє сканування |
| Wordfence (WordPress) | Брандмауер + цілісність файлів | Сайти на WordPress |
| UptimeRobot | Моніторинг аптайму | Будь-які сайти |
| Cloudflare | DDoS захист + WAF | Захист на рівні трафіку |
| Google Search Console | Попередження про проблеми з безпекою | SEO-інтегроване виявлення загроз |
Google Search Console заслуговує окремої згадки. Це безкоштовний інструмент, і Google надішле вам сповіщення, якщо на вашому сайті будуть спроби зламу або виявлене шкідливе ПЗ.
Окрім цього, для ретельного тестування OWASP (Проєкт з безпеки відкритих веб-застосунків) надає безкоштовні інструменти, які постійно використовують спеціалісти з кіберзбезпеки, щоб виявляти вразливості в застосунках.
Побудова базової платформи моніторингу
Вам не потрібно запроваджувати все і одразу.
З чого почати:
- Використовуйте інструмент моніторинг аптайму (наприклад, у UptimeRobot є безкоштовні опції), який попередить вас одразу у випадку даунтайму сайту.
- Активуйте ваш брендмауер веб-застосунків. Безплатна версія Cloudflare надає непоганий захист і легко налаштовується.
- Використовуйте безкоштовне щотижневе сканування на предмет шкідливого ПЗ, що надається інструментом Sucuri SiteCheck. Ви можете налаштувати автоматичне сканування, якщо це дозволяє ваш хостинг-провайдер.
- Перевіряйте логи вашого сервера щомісячно. Навіть якщо ви просто перевірятимете, чи були 404 помилки в адмін директоріях або запити POST, це допоможе вам виявити підозрілу активність.
- Моніторте, коли спливає термін дії вашого SSL сертифікату за допомогою безкоштовних онлайн-інструментів, наприклад, SSL Shopper.
Ціль на цьому етапі — не відточити все до ідеалу. На цьому етапі вам потрібно скоротити вікно між «щось сталося» і «я знаю, що щось сталося».
Розуміти індикатори загроз до їхньої ескалації
Одна з недооціненних навичок в безпеці сайтів — це вміти розуміти ранні ознаки загрози. Ресурс Cybernews відомий тим, що регулярно розповідає про кіберзагрози та злами даних і часто висвітлює один і той самий аспект цих історій: ознаки були до того, як злам стався. Їх просто не помітили.
Деякі з цих ознак загроз включають:
- Різкі падіння органічного трафіку (може вказувати на санкції Google щодо зламаного контенту)
- Нові облікові записи адміністраторів, які ви не створювали
- Незнайомі файли в директорії завантажень
- Зовнішні посилання у вашому контенті, які ви не вносили
- Спроби авторизації з країн, де немає вашої ЦА
Окремо кожна з цих ознак не означає злам. Але всі ознаки разом мають стати червоним прапорцем, щоб дослідити ситуацію ретельніше.
Фреймворк кібербезпеки NIST може допомогти вам візуалізувати це: Захистити, Виявити, Відповісти, Відновитися. Більшість невеликих сайтів мають методи Захисту. Але часто не мають методу Виявлення, який якраз закривається моніторингом в реальному часі.
Для більш загального огляду ризиків вразливих даних радимо вивчити дослідження Cybernews.
