Как защитить свой сайт электронной коммерции от киберугроз в 2020 году

Киберпреступность растет.

 

Отчет компании Accenture показал, что за последние пять лет количество нарушений безопасности возросло на 67%. Растет не только количество атак, но и изощренность киберпреступников, нацеленных на организации по всему миру.

 

    Это затрагивает предприятия всех отраслей, но наиболее уязвимыми для атак являются сайты электронной коммерции.

 

Если ваш бизнес электронной коммерции еще не подвергся кибератаке, то вам следует считать себя одним из счастливчиков (хотя, как сказал бы любой киберпрофессионал: ненадолго). Очень важно сделать все возможное, чтобы снизить риск взлома, установив надежную защиту перед атакой на систему безопасности.

В этой статье мы рассмотрим, как вы можете обезопасить свой сайт электронной коммерции.

Нажмите здесь, чтобы скачать его бесплатно прямо сейчас!

Почему киберпреступники нацелены на сайты электронной коммерции.

 

Одна из основных причин, по которой киберпреступники ориентируются на сайты электронной коммерции, заключается просто в том, что, к сожалению, они являются привлекательными мишенями.

 

Получение доступа к системам сайта электронной коммерции может обеспечить преступников целым рядом ценных данных. И не только деньги, но и личные и финансовые данные клиентов, которые могут быть выгодны злоумышленникам путем совершения мошеннических действий по установлению личности или продажи данных в «темной» паутине.

darknet [или «темная паутина»] — это сеть, построенная в верхней части Интернета, которая намеренно скрыта, то есть разработана специально для анонимности. В отличие от глубокой паутины, даркнет доступен только с помощью специальных инструментов и программного обеспечения — браузеров и других протоколов, помимо прямых ссылок или учетных данных. Вы не можете получить доступ к darknet, просто введя темный веб-адрес в ваш веб-браузер.

 

Кроме того, сайты электронной коммерции взламываются чаще, так как они рассматриваются как более простые мишени, так как растет число веб-мастеров, которые не регулярно латают свои базовые CMS-системы. Сайты электронной коммерции, работающие на CMS-системах, таких как Magento, Joomla и OpenCart, с большей вероятностью могут быть успешно взломаны при запуске устаревшей версии платформы:

 

Устаревшие зараженные CMS

 

Многие сайты также имеют веб-приложения, которые могут содержать уязвимости, которые злоумышленники могут использовать.

 

Почему сайты электронной коммерции более уязвимы?

 

Бизнесменам (особенно в сфере электронной коммерции) легко впасть в привычку отдавать предпочтение функциональности веб-сайтов перед кибербезопасностью, и это может неосознанно оставить их в опасности. Но это далеко не единственная причина, по которой сайты электронной коммерции уязвимы для различных типов кибератак.

Вот еще несколько причин, по которым сайты электронной коммерции более уязвимы:

 

    Некоторые виды бизнеса электронной коммерции — это относительно небольшие операции с небольшим количеством сотрудников и относительно низкими операционными затратами.

    Малые и средние предприятия, которые в меньшей степени способны тратить значительные суммы денег на кибербезопасность, естественно, более уязвимы к атакам. Без бюджетных средств, которые можно было бы потратить на повышение уровня защиты, киберпреступники могут с большей легкостью взломать сайты.

    Зачастую предприятия электронной коммерции полностью зависят от своего веб-сайта, а это означает, что, если сайт взломан и его придется отключить от сети или потерять ключевые данные, это может серьезно повлиять на способность бизнеса продолжать работу.

 

Кроме того, здесь играют и другие проблемы, в том числе влияние проблем отрасли, таких как нехватка кибернетических навыков. Прогнозировалось, что к 2022 году будет насчитываться 1,8 миллиона незаполненных вакансий в сфере кибербезопасности, что указывает на то, что даже тем предприятиям, которые готовы вкладывать инвестиции, необходимые для обеспечения собственной безопасности, может быть трудно нанять необходимый персонал.

 

Почему вам нужно защищать свой сайт

 

Кибербезопасность является проблемой для предприятий всех размеров и во всех отраслях промышленности, и это уже не то, что любая организация может позволить себе игнорировать. Если вы управляете сайтом электронной коммерции, то безопасность сайта играет гораздо большую роль, чем просто обеспечение безопасности вашей личной информации — она может затронуть практически все аспекты вашего бизнеса.

 

Во-первых, если вы становитесь жертвой кибератаки, это может стать огромной проблемой для вашего будущего доверия клиентов:

    87% клиентов говорят, что они возьмут свой бизнес куда-нибудь еще, если не доверяют компании ответственную обработку их данных.

    88% говорят, что объем данных, которыми они делятся с компанией, зависит от того, насколько они ей доверяют.

    92% говорят, что компании должны быть проактивными в отношении защиты данных.

 

Это огромная проблема — жертва кибератаки может не только потерять ваш непосредственный бизнес и деньги, но и повлиять на вашу способность удерживать или привлекать новых клиентов. Наверное, неудивительно, что 60% небольших компаний выходят из бизнеса в течение шести месяцев после того, как подверглись кибератаке.

 

И не только доверие клиентов может принять удар при атаке на сайт — это также может повлиять на доверие акционеров и инвесторов. Если ваш бизнес использует финансовую поддержку из других источников, то это может быть поставлено под серьезную угрозу, если он пострадает от утечки данных.

 

Хуже того, атака может иметь эффект «пристукания» во многих областях бизнеса, который вы можете даже не заметить, например, срыв операций и снижение доступности ваших услуг. Она может даже поставить под угрозу ваши усилия по поиску, вызвав создание черных списков Google или изменение содержимого ваших страниц.

 

Эти эффекты также затягиваются. Вы даже можете обнаружить, что после завершения кибер-атаки вы все еще боретесь с последствиями. Если ваш сайт электронной коммерции не соблюдал важные правила, такие как Общее положение о защите данных (GDPR), и впоследствии подвергся кибер-атаке, вам могут грозить суровые наказания.

Это относится и к Стандарту безопасности данных индустрии платежных карт (PCI DSS) — правилам, которые предприятия, занимающиеся обработкой платежных карт, должны соблюдать. Все сайты электронной коммерции обрабатывают карточные платежи, поэтому абсолютно необходимо установить надлежащий контроль, чтобы ваш бизнес соответствовал этим правилам.

 

Общая тактика, используемая в кибер-атаке

 

Существует множество различных тактик и приемов, и лучший способ подготовиться — это понять, как они используются киберпреступниками.

 

Фишинг

 

Фишинг является одной из наиболее распространенных форм киберпреступлений — и это то, о чем многие люди знают, даже если они не знают об этом по имени.

 

Фишинг может принимать различные формы, но часто это практика, когда киберпреступник пытается получить пароль или другую личную информацию, выдавая себя за источник, пользующийся хорошей репутацией:

 

Это может быть связано с преступлением отправки электронной почты веб-администратор или сотрудник, это письмо претендует на законный источник, такой как компания-партнер, электронная почта или провайдер веб-сервисов, или даже внутренний CMS.

 

Эти вводящие в заблуждение электронные письма предназначены для того, чтобы выглядеть в точности как подлинное электронное письмо, отправленное от законной компании, и часто просят людей нажать на ссылку, по которой они отправляются на поддельную версию знакомого сайта, чтобы преступники могли получить имена пользователей и пароли.

 

Социальная инженерия

 

С точки зрения кибербезопасности под социальной инженерией понимается практика манипулирования сотрудниками с целью заставить их отказаться от информации. В соответствии с ОГО:

 

Социальная инженерия — это искусство использования человеческой психологии, а не технических методов взлома для получения доступа к зданиям, системам или данным.

Опять же, социальная инженерия может принимать различные формы, и это может быть что-то такое же простое, как если бы кто-то назвал вашу компанию заказчиком, которому необходимо внести изменения в заказ.

 

Или же преступник может утверждать, что он из законной службы, такой как Microsoft, и подчеркивать необходимость аутентификации или решения проблемы. Конечная цель заключается в том, чтобы преступник мог получить доступ к данным, информации или паролям без осознания того, что было совершено какое-либо преступление.

 

Если вы считаете, что слишком умны или слишком опытны, чтобы влюбиться в эти аферы, читайте пять трюков социальной инженерии и тактики сотрудников, которые все еще попадаются на глаза.

 

Предприятия электронной коммерции также должны быть осведомлены об опасности инсайдерских атак. Эта проблема становится все более актуальной в сфере кибербезопасности: согласно отчету компании Verizon о расследовании нарушений данных за 2019 год, 34% нарушений были совершены по вине инсайдеров.

 

Никто не хочет верить в то, что их сотрудники будут предпринимать против них злонамеренные действия, но это случается, и предприятия должны знать об этом. Это могут быть недовольные бывшие сотрудники или даже нынешние сотрудники (те, у кого есть доступ к вашей системе), которые видят возможность извлечь выгоду из преступной деятельности.

 

Введение кода

 

Также распространенной проблемой является то, что злоумышленники будут нацелены на ваш сайт электронной коммерции через уязвимости в используемых вами программах. Один из способов, которым они могут этого добиться, — это SQL-инъекция:

 

SQL-инъекция — это техника инъекции кода и гнусная отрицательная техника SEO, которую преступный хакер может развернуть, чтобы уничтожить ваш сайт. Злоумышленник получает доступ к бэкэнду вашей базы данных путем инъекции кодов в уязвимое или поврежденное содержимое базы данных через ввод веб-страницы (например, пользователь вводит свое «имя пользователя» с помощью SQL-оператора). Это все еще одна из наиболее распространенных угроз, потому что она высокоэффективна.

Эта инъекция кода включает в себя выполнение вредоносных команд для получения информации из внутренних баз данных, что может быть способом для преступных хакеров, чтобы получить много личной информации и информации о кредитной карте, в то время как очень трудно идентифицировать.

 

Подвержение программного обеспечения

 

Сайты электронной коммерции также особенно уязвимы для подрывной деятельности программного обеспечения, где они могут стать мишенью по всей цепочке поставок. Это происходит, когда киберпреступники компрометируют широко используемое программное обеспечение и плагины.

 

Одной из наиболее известных является атака Magecart, которая сумела скомпрометировать скрипт в рекламе, показываемой на сайтах электронной коммерции, и смогла поразить сотни сайтов одновременно:

 

Инфекции MageCart — это когда злоумышленники компрометируют сайт электронной коммерции, чтобы внедрить JavaScript в страницы оформления заказа или корзины. Затем этот скрипт крадет кредитную карту и адресную информацию, введенную на этих страницах, а затем отправляет ее на удаленный сервер для сбора злоумышленниками.

 

DDoS-атака

 

DDoS-атаки — еще одна серьезная проблема:

 

Распределенная атака типа «отказ в обслуживании» (DDoS) — это когда злоумышленник или злоумышленники пытаются сделать невозможным предоставление сервиса. Это может быть достигнуто путем блокирования доступа практически ко всему: серверам, устройствам, службам, сетям, приложениям и даже конкретным операциям внутри приложений.

Они предназначены для того, чтобы вызывать сбои — от незначительных неудобств, связанных с нарушением работоспособности сервиса, до сбоев целых веб-сайтов или предприятий — и часто приурочены к периодам интенсивных покупок, что делает их очень трудными для обнаружения.

 

Советы по сохранению безопасности сайта электронной коммерции

 

На самом деле есть много вещей, которые ваш бизнес может сделать для защиты своей деятельности от этих киберугроз. Хотя некоторые из них могут показаться сложными или техническими, они могут быть использованы веб-мастером для более эффективной защиты вашей организации от киберпреступлений. Некоторые практические шаги включают в себя:

 

Мониторинг систем и активов

 

Если вы еще этого не сделали, начните мониторинг своих веб-серверов либо вручную администратором, либо с помощью автоматизированного программного обеспечения, такого как SIEM (Security Information and Event Management — управление информацией по безопасности и событиями). Когда отслеживаются серверы, журналы и веб-трафик, это может помочь вам выявить любое подозрительное поведение или необычную деятельность до того, как она превратится в полномасштабную кибератаку.

 

Такое подозрительное поведение может включать в себя такие проблемы, как несанкционированные подключения или необычные действия с учетными записями. Если вы сможете выявить проблемы на ранней стадии, у вас будет возможность остановить их и смягчить ущерб до того, как они превратятся в нечто более проблематичное.

 

Шифрование веб-трафика

 

Также важно шифровать ваш веб-трафик. Вы можете сделать это, вложив средства в SSL:

 

SSL расшифровывается как Secure Sockets Layer (уровень защищенных сокетов) и, короче говоря, это стандартная технология для обеспечения безопасности интернет-соединения и защиты любых конфиденциальных данных, которые передаются между двумя системами, предотвращая прочтение и изменение любой передаваемой информации, в том числе потенциальных личных данных.

 

SSL/TLS

 

HTTPS, что означает Hypertext Transfer Protocol Secure, является более безопасной версией HTTP:

 

«Проблема обычного протокола HTTP заключается в том, что информация, которая передается от сервера к браузеру, не шифруется, что означает, что ее можно легко украсть».

Протоколы HTTPS исправляют это с помощью SSL-сертификата, который помогает создать безопасное зашифрованное соединение между сервером и браузером, тем самым защищая потенциально конфиденциальную информацию от кражи при ее передаче между сервером и браузером».

 

HTTPS против HTTP

 

Помимо безопасности сайта, переход с HTTP на HTTPS очень важен, потому что Google отмечает каждый сайт как небезопасный, если он не имеет HTTPS сертификации. В августе 2014 года компания Google объявила, что HTTPS является сигналом к ранжированию.

 

Тестирование на проникновение комиссии

 

Одним из наиболее эффективных методов обеспечения безопасности вашего сайта является его проверка на проникновение:

 

Тест на проникновение (pen-тестирование) — это процесс оценки компьютерных систем, сетей и приложений с целью выявления и устранения уязвимостей безопасности, которые могут быть использованы киберпреступниками.

 

Эти тесты просматривают ваш веб-сайт и ИТ-инфраструктуру и проверяют, уязвимы ли они для техник и тактик, используемых киберпреступниками. Затем организации могут использовать результаты теста с использованием пера, чтобы понять, где их система нуждается в улучшении или модернизации.

Перед вводом в эксплуатацию теста с использованием пера стоит провести сканирование уязвимостей для устранения основных уязвимостей. Это позволяет тесту с использованием пера сосредоточиться на более глубоких уязвимостях, которые автоматизированные инструменты сканирования не в состоянии обнаружить.

 

Управление разрешениями пользователей

 

Еще один совет, который может принести пользу почти всем предприятиям электронной коммерции, — это важность управления разрешениями пользователей. Можно предположить, что вполне нормально предоставить каждому сотруднику полный доступ к системе, чтобы он мог легко приступить к работе. Но правда заключается в том, что большинству людей на самом деле не нужен полный доступ к системе, чтобы выполнять свою работу.

 

Если каждая учетная запись имеет полный доступ, это означает, что если будет нарушена только одна учетная запись пользователя, это может позволить злоумышленникам получить любые данные, которые они хотят. Реальным примером этого стала кибератака на Ticketfly — был взломан аккаунт одного веб-мастера, и поскольку этот аккаунт имел полный доступ к системе, злоумышленники смогли украсть данные более 26 млн. клиентов.

 

Проводите регулярное обучение персонала

 

Может показаться, что это просто, но последний пункт — это то, на что не обращает внимания огромное количество организаций электронной коммерции:

 

    Крайне важно, чтобы все ваши сотрудники прошли обучение основам кибербезопасности.

 

Ваши сотрудники являются жизненно важной линией защиты от действий киберпреступников, и когда они понимают не только виды атак, которыми они подвергаются, но и стандартные шаги, которые они должны предпринять для обеспечения безопасности себя и бизнеса, это может иметь огромное значение.

Не думайте, что достаточно простого тренинга, когда они впервые нанимаются на работу. Киберпреступность постоянно развивается и меняется по мере того, как преступники становятся все более изощренными. Важно проводить регулярные курсы повышения квалификации с обновленным материалом, чтобы держать вашу команду наготове.

 

Заключение

 

Каждый бизнес в сфере электронной коммерции должен уделять дополнительное внимание обеспечению безопасности своего сайта. Растущая изощренность киберпреступников, а также доступность инструментов и информации означает, что предприятия любого размера могут быть уязвимы для атак и нарушений.

 

Если вы управляете сайтом электронной коммерции, вам следует убедиться, что вы принимаете соответствующие меры безопасности, а также вкладываете средства в обучение своих сотрудников, чтобы снизить риск атак.