Защита сервера: важные факторы безопасности

Непременное условие безопасного хранения данных — надежная защита сервера. Если она не выстроена должным образом, взломать сервер и получить доступ к информации может любой технически подкованный пользователь.

Безопасность серверов обеспечивают комплексные защитные меры, учитывающие существующие угрозы. Они позволяют снизить риски для веб-трафика, проходящего через него, а также данных, которые хранятся на самом сервере.

Основные угрозы веб-серверам

Следующие ситуации могут представлять угрозу серверам и хранящимся на них данным:

• Атаки DoS и DDoS, которые перегружают сервера. Основной целью киберзлоумышленников в этом случае является их отказ, что сделает веб-сайт недоступным для пользователей.
• Запросы через веб-формы или так называемые SQL-инъекции. В этом случае злоумышленник отправляет структурированные запрос, влияя на создание, редактирование и удаление важных данных на сервере.
• Неустраненные уязвимости ПО, которыми могут воспользоваться злоумышленники.
• Внедрение вредоносного кода в серверные скрипты с целью сбора конфиденциальных данных. Иначе этот способ известен как межсайтовый скриптинг.

Человеческий фактор как угроза безопасности сервера

Размышляя, как защитить сервер от взлома, полезно помнить, что множество проблем вызывает банальная невнимательность. Небрежность в хранении паролей и обеспечении сохранности данных, а также пренебрежение другими базовыми правилами безопасности облегчает для злоумышленника несанкционированный доступ. Поэтому процесс защиты сервера от взлома включает и работу с так называемым человеческим фактором.

Анастасия Винчевская

Руководитель платформы кибербезопасности TheWall

При автоматизации процессов участие людей можно сократить до необходимого минимума. Всевозможные обновления происходят автоматически и незаметно для пользователей, а инженеру остается проконтролировать, что все прошло без инцидентов.

Компания назначает ответственного специалиста, т.е. доступы ограничиваются узким кругом лиц. Таким образом не все инженеры имеют доступ к серверам, а подключение не может быть спонтанным. План работ на серверах всегда составляется заранее и регламентируется. Такой комплекс мероприятий прорабатывается для нештатных случаев. Специалист всегда должен знать, как ему необходимо действовать в той или иной ситуации.

Существенный пласт связанных с человеческим фактором рисков составляют ошибки в обслуживании сервера. Это может быть некачественно написанный код, отсутствие своевременного обновления обеспечивающего безопасность программного обеспечения, а также другие оплошности обслуживающего сервер персонала.

Сергей Петренко

Руководитель направления «Информационная безопасность» компании Академия АйТи

Такие риски обычно обусловлены недостаточным уровнем компетенций сотрудников компании или их невнимательностью. Например, не публичная информация может попасть в общий доступ, если ИТ-служба забудет закрыть от индексации страницы веб-сайта или заблокировать доступ к базе данных, хранящейся на сервере, извне. Для снижения таких рисков рекомендуется регулярно повышать уровень осведомленности сотрудников с помощью образовательных мероприятий и проверять его, а также применять ряд специализированных инструментов. Например, внедрить DLP-систему (Data Leakage Prevention) — специализированное ПО или программно-аппаратные комплексы для предотвращения утечек конфиденциальных данных.

Значение физической безопасности сервера

Защита сервера от несанкционированного доступа связана не только с виртуальными, но и с физическими мероприятиями. Это базовый защитный уровень, так как при его отсутствии все другие меры окажутся бесполезны. Можно прикладывать сколько угодно усилий, чтобы подобрать и корректно настроить защитное ПО. Однако если злоумышленник получит физический доступ в серверную, их эффективность будет стремиться к нулю.

Павел Кузнецов

Директор по продуктам компании «Гарда Технологии»

В нашей профессии есть шутка, что абсолютно безопасным является сервер, отключённый от сети, питания, убранный в глухой сейф, затопленный на дне моря, а ключа от сейфа должны быть надёжно утеряны. Если серьёзно, стандартные практики безопасности обеспечивают достаточный уровень защиты. Доступ в машинный зал должен быть разграничен по мандатам, должны работать системы видеонаблюдения, СКУД, противопожарные системы и так далее.

Меры обеспечения физической безопасности сервера принято разделять по характеру угроз на:

• ограничивающие доступ посторонних лиц в помещение серверной;
• противопожарные, подразумевающие установку пожарной сигнализации и системы автоматического пожаротушения;
• направленные на поддержание оптимального температурного режима, то есть вентиляцию и кондиционирование воздуха.

Все три функции можно реализовать как на базовом, так и более продвинутом уровне. Так, в первом случае для контроля доступа в помещение устанавливают металлическую дверь с электронным замком и контроллером-считывателем. Это оборудование исключает проникновение внутрь лиц, которые не отвечают за техническое обслуживание находящегося в ней оборудования. При желании компания может дополнительно усилить принятые меры безопасности и установить в помещении систему видеорегистрации.

Дмитрий Демин

Руководитель отдела прикладных решений и мониторинга компании Sitronics Group

В первую очередь нужно учитывать требования действующего законодательства, предусматривающие уровень защищенности, категорию значимости, вид и количество информации, обрабатываемой на данном оборудовании или ресурсе. С учетом этого определяются требования к физической защите: ограничение доступа в помещение, где расположено оборудование, установка на сервере специализированных замков, а также доступа к самому серверу уже в серверной, т.е. выделенный сегмент в серверной – все это позволяет ограничить физический доступ к оборудованию.

Оптимальный температурный режим для серверной составляет от 18 до 24 градусов. Регламентируется также относительная влажность воздуха, которая по нормам быть в промежутке от 40 до 50%. В помещении необходима установка как минимум двух кондиционеров, каждый из которых способен поддерживать требуемые климатические условия полностью самостоятельно на случай выхода другого из строя.

Алексей Морозков

Старший руководитель группы Центра управления кибербезопасностью ICL Services

Необходимо также задуматься о мерах противопожарной защиты, для серверной комнаты они достаточно специфичные. К примеру, СН 512-78 (п. 3.37), система газового пожаротушения в серверной комнате, предусматривается для помещений с ЭВМ, связных процессов. Также необходимо в случае возгорания и срабатывания пожарной сигнализации убедиться в том, что магнитные замки будут автоматически открыты.

Межсетевые экраны для защиты сервера

Популярным защитным методом является использование межсетевых экранов.  Web application firewall это средство безопасности, которое работает на прикладном уровне и представляет собой комплекс мониторов и фильтров, настроенный особым образом. Сокращенно его обычно называют WAF.

Сергей Герасимов

Руководитель команды RedTeam компании «Солидлаб»

Межсетевые экраны крайне важны для защиты от кибератак. Во-первых, необходимо настроить фаервол таким образом, чтобы максимально уменьшить площадь возможной атаки. Т.е. оставлять открытым только те порты, которые необходимы для работы приложения. Во-вторых, использование фаерволов крайне необходимо для защиты, в случае если осуществляются некоторые типы DDoS-атак. В-третьих, существуют особые типы фаервола для веб приложений - WAF. WAF необходимо очень тонко настраивать под конкретное веб-приложение, которое он защищает. Однако польза от данного типа фаерволов - крайне высока. С его помощью можно заметить и заблокировать подозрительную активность на сайте, а также WAF можно использовать для "виртуального патчинга" уязвимостей в веб-приложениях.

WAF осуществляет анализ трафика в режиме реального времени, что обеспечивает более сложную и совершенную защиту web сервера. Помимо фильтрации и выявления опасного трафика межсетевой экран также блокирует доступ к открытым портам. Эту функцию необходимо настроить, заранее определив исключения из правил.

Файрвол становится надежной преградой как для HTTP, так и для и SQL-запросов, которые не соответствуют корпоративной политике безопасности. Принято выделять два типа компонентов межсетевых экранов:

1. Открытые, которые находятся в свободном доступе в интернете и доступны каждому пользователю часто даже без регистрации. В большинстве случаев, функционал таких файрволов ограничивается фильтрацией рекламы и определения порядка доступа пользователей к веб-ресурсу, поэтому сильнодействующего эффекта в деле обеспечения безопасности сайта от них ждать не стоит.
2. Закрытые компоненты располагаются в интернете, однако доступны уже только зарегистрированным пользователям. Этот тип обеспечивает более высокий уровень защищенности.

Существуют также внутренние службы, задачей которых является web безопасность в пределах одного сервера. Они фильтруют исключительно внутрисетевой трафик, не «отвлекаясь» на внешние источники.

Павел Кузнецов

Директор по продуктам компании «Гарда Технологии»

МСЭ жизненно необходимы в качестве инструмента реагирования – в целях блокирования доступа к узлам вашей инфраструктуры атакующими. Особенности настройки Web Application Firewall – отдельный домен знаний в кибербезопасности под общим названием «безопасность приложений». Дискутировать в этом домене можно практически бесконечно. Однако общей рекомендацией будет настройка WAF с предварительным глубоким изучением специалистом механизмов работы каждого конкретного приложения перед его «заведением» за брандмауэр. Таким образом минимизируются ложные срабатывания, блокировки легитимных пользователей и упрощается работа по выявлению реально опасных вредоносных воздействий на ресурс.

Несмотря на высокое мнение многих экспертов по информационной безопасности об использовании web application firewal, полагаться исключительно на данную меру защиты не стоит. Только использование её в комплексе с другими средствами позволяет достичь оптимального результата.

Дмитрий Демин

Руководитель отдела прикладных решений и мониторинга компании Sitronics Group

В последнее время DDOS стал массовым инструментом проверки периметра компании на устойчивость, поэтому это может является маркером, что компания становится интересна для злоумышленников. Таким образом, с точки зрения защиты не стоит рассчитывать только на WAF, даже с учетом тонких настроек. Нужно проектировать высокоуровневую, эшелонированную защиту, позволяющую сочетать комплексно все механизмы защиты периметра.

Другие средства защиты файлового сервера

Для обеспечения информационной безопасности серверов стоит рассмотреть также следующие меры:

• Создание SSH-ключей для идентификации доверенных пользователей. Этим методом уместно заменить традиционные логины и пароли.
• Применение  виртуальной частной сети VPN для обеспечения безопасного соединения между сервером и пользователями.
• Обмен информацией посредством использования инфраструктуры открытых ключей (PKI) с шифрованием через криптографический протокол SSL/TLS.
• Обеспечение изолированной среды для работы программ и приложений. Для этого каждая из них размещается на собственном сервере.
• Установка и своевременное обновление антивирусных программ.

Андрей Прозоровский

Руководитель департамента информационной безопасности, ИМБА ИТ

Обеспечение защиты ИТ инфраструктуры - это комплексная задача, основным подходом является выстраивание эшелонированной защиты (defense in depth). Суть подхода заключается в обеспечении защиты на следующих уровнях: данные, приложения, серверы, корпоративная сеть, физическая безопасности, а также разработка политик и процедур, проведение тренингов для персонала. Могут использоваться антивирусы(и другие решения для защиты от вредоносного программного обеспечения), межсетевые экраны, системы обнаружения/предотвращения вторжений, системы защиты от утечек, системы оценки защищенности (сканеры безопасности) и многие другие.

Выбор конкретного сочетания мер безопасности в каждом случае производится индивидуально с учетом внешних условий, нагрузки на сервер и имеющихся возможностей. Задаваясь вопросом «Как защитить сервер от взлома», не стоит забывать и о другой насущной необходимости — защите сервера от падения. DDoS-атаки — угроза, актуальность которой постоянно растёт. Как ранее сообщал портал Cyber Media, в 2022-м году Россия стала четвертой по уровню атакуемости в мире. Чтобы не оставлять свои сервера без защиты, стоит рассмотреть инструментарий для противостояния DDoS-атакам:

• брандмауэры с динамической проверкой пакетов;
• экраны флуда;
• комплексная настройка параметров веб-сервера и другие.

Сергей Ланских

Руководитель компании Sympace

При значительном росте инфраструктуры в качестве защиты используют инструменты PKI и SSL/TLS шифрования. PKI (инфраструктура открытых ключей) представляет собой совокупность систем, главными задачами которых является управление, проверка сертификатов для идентификации лиц и шифрование передаваемых данных. Такая система помогает исключить атаки формата man-in-the-middle, когда пытаются перехватить трафик за счет имитации поведения сервера в вашей инфраструктуре.

Как узнать, что веб-сервер взломали

Важным компонентом обеспечения защиты информации на сервере является мониторинг. Именно эта процедура позволяет убедиться, что оборудование работает в штатном режиме в любой момент времени. Поскольку такого рода проверки являются непрерывным процессом, осуществлять его на требуемом уровне реально только в автоматическом режиме. В ходе мониторинга состояния веб-сервера ПО отслеживает его производительность и работоспособность. В случае обнаружения каких-либо отклонений администратор оперативно получает информацию о них.

Сергей Белов

CEO компании AtreIdea

Мониторинг работы сервера - это непрерывный процесс. Частота получения необходимых метрик зависит от многих факторов, таких как тип сервера, объем обрабатываемых данных и требования к доступности сервисов, но в целом рекомендуется использовать минимально возможные интервалы времени (например, раз в минуту) для оперативного обнаружения и реагирования на потенциальные угрозы безопасности.

В идеале система мониторинга для защиты от взлома сервера должна быть выстроена таким образом, чтобы оперативно выявить любые аномальные активности. На практике от получения киберзлоумышленником доступа к инфраструктуре до его обнаружения во многих случаях проходит немало времени. Поэтому для обеспечения безопасности своего сервера особенно важно обращать внимание на первичные признаки взлома.

Вадим Новиков

Менеджер по работе с корпоративными клиентами компании TS Solution

Злоумышленники, получившие доступ к инфраструктуре предприятия, крайне редко сразу проявляют себя. Но некоторые признаки могут указать на взлом сразу после того, как он произошел:

1. Шифрование и исчезновение пользовательских данных.

2. Неоднократная попытка доступа к корпоративным системам с использованием неверных логинов и паролей.

3. Нетипичная нагрузка на сетевое и серверное оборудование, превышающая пиковые значения за предыдущий период.

4. Доступ к инфраструктуре предприятия с учётных записей сотрудников, которые уже не работают в компании.

Итоги и выводы

Пустить безопасность веб-сервера на самотек — опасное решение, из-за которого компания ставит под угрозу сохранность данных и стабильность работы своего сайта. Чтобы не рисковать репутацией, финансами и информационной безопасностью, стоит заранее озаботиться комплексными мерами защиты.

Поиск ответа на вопрос «Как защитить свой сайт и сервер от взлома и падения» требует проработки физических мер защиты серверной, обеспечения в ней оптимального температурного режима и соблюдения требований пожарной безопасности. Не менее важно выбрать качественный WAF, установить и вовремя обновлять антивирус, позаботиться об использовании SSH-ключей.

Третий важнейший компонент успеха в защите веб-серверов — регулярный мониторинг, настроенный в соответствии с ключевыми параметрами. Этот фактор имеет ключевое значение, если избежать взлома сервера всё же не удастся, несмотря на принятые  меры. Чем раньше ИБ-специалист сможет выявить аномальную активность, тем меньше ущерба нанесет киберзлоумышленник.