Provozovat nechráněný e-shop nebo web považujeme za velmi rizikové, přičemž jako doporučenou (byť volitelnou) službu implementujeme klientům FG Forrest filtr proti automatizovaným útokům – Web Application Firewall.
Internetoví útočníci slídí po webových stránkách např. s cílem sbírat e-mailové adresy a rozesílat na ně spam, ti horší hledají staré a tím zranitelné verze nasazených programů, a ti nejnebezpečnější se pokoušejí uhádnout přihlašovací údaje, změnit obsah stránek, vyřadit server z provozu nebo dokonce ukrást neveřejná data. Činnost těchto "bad bots" tvoří podle důvěryhodných statistik zhruba 25 % přenosu dat na internetu – tedy každý webový server zatěžuje ze čtvrtiny návštěvnost generovaná nikoliv lidmi, ale automatizovanými požadavky na jeho obsah. Někdy i mnohem více.
Nejvyššímu počtu útoků obvykle čelí systémy nakládající s penězi (internetové bankovnictví, e-shopy), dále weby velkých firem, známých osobností, politických stran a dalších subjektů veřejného zájmu, např. nemocnic. Jejich ochrana před nežádoucím provozem má přitom i finanční aspekt: při použití WAF mohou být jejich servery dimenzovány na nižší kapacitu, protože se k obsahu nedostanou nechtěné (softwarově generované) požadavky.
E-commerce a webová řešení pro klienty FG Forrest chráníme interně vyvinutým Web Application Firewallem (WAF). Reporty o zachycených hrozbách jsme integrovali přímo do administračního rozhraní CMS Edee.one, který používáme ke správě obsahu klientských stránek. Ukázalo se, že na některých webových řešeních bývá podíl nežádoucích požadavků ještě mnohem vyšší než je obecně známých 25 %.
Např. na e-shopu s měsíčním počtem 1,6 milionu zhlédnutých stránek zachycuje náš WAF kolem 4,5 milionu nežádoucích robotů měsíčně, tedy skoro třikrát tolik, než kolik představuje skutečná lidská návštěvnost!
Robotické prohledávání obsahu přitom není jediným typem škodlivého provozu. K nejnebezpečnějším patří pokusy o neoprávněný přístup k interním datům webové aplikace, do databázové vrstvy a/nebo ke scriptům stránek - takových blokuje WAF v FG u některých klientů řádově tisíce za měsíc. Zamezí tak mj. pokusům o zmatení uživatelů s cílem získat přístup k jejich datům (finančním aj.) - jedná se o "cross site scripting", příp. "phishing".
Blokujeme také nikoliv vyloženě útočné, ale přesto škodlivé požadavky - tím, že jsou chybové (nevalidní), a tudíž nadbytečně zatěžující daný server. Takových bývají i tisíce denně na jednom klientském serveru.
Perličkou z naší praxe bylo zjištění, že web jednoho z klientů nadměrně zatěžoval jiný systém téhož klienta - a právě díky WAF jsme mohli zjednat nápravu.
WAF FG integrovaný v Edee.one vyčísluje také počty IP adres, které jako zdroje předchozích útoků zablokoval. Tzn. "učí se" - pokud z nějaké IP adresy zaznamenal opakované útoky, dočasně z ní zablokuje přístup na webové řešení klienta. Průběžná aktualizace pravidel WAF dle definic známých hrozeb je nezbytná pro dlouhodobou účinnost ochrany.
V řádu desítek denně na jednom serveru zaznamenáváme tzv. WordPress útoky, tzn. pokusy o zneužití známých zranitelností publikačního systému WordPress. Proti těm jsou však webová řešení klientů FG Forrest přirozeně imunní, protože všechny naše e-shopy a weby běží na jiném publikačním systému, na CMS & e-commerce platformě Edee.one.
Radek Šafránek, Chief Information Security Officer
Prohlédněte si a stáhněte produktový list služby WAF!
Předchozí články o WAF a souvisejících bezpečnostních otázkách najdete na www.fg.cz/cs/deje-se/jak-v-fg-dbame-na-bezpecnost-i-12653.
