Почему веб-серверы так уязвимы?
Вирус Code Red вывел из строя именно те серверы, которые были защищены от элементарных атак из Сети и не следили за своей растущей уязвимостью (ввиду отсутствия подобных прецедентов). Имела место уязвимость, но так как прежде подобные атаки не проводились, никто о ней не думал. В итоге такая беспечность стоила миллионов долларов. Обобщим основные причины уязвимости веб-серверов:
- Большинство растущих предприятий регулярно меняет конфигурацию своих сетей, добавляя новые рабочие станции (иногда и сервера), забывая при этом тестировать ЛВС на безопасность. Разумеется, запретить подключать новых пользователей невозможно, но стоит задуматься о расширении сети заранее. Обозначить ее сегменты, которые способны к расширению, и проводить предварительное тестирование на безопасность.
- Большинство веб-мастеров имеют корневой или администраторский доступ к серверу. Разумнее прописать каждому пользователю свою политику доступа, ограничивающую его права прямыми обязанностями. Например, сотрудник работает только с одним каталогом сервера, но имеет доступ на все остальные. Тем самым он ставит под угрозу не только свой сектор работ, но и все данные сервера. Конечно, статус веб-мастера имеет не каждый пользователь, хотя ограничить доступ из соображений безопасности следует и самым высоким профессионалам.
- Программное обеспечение веб-серверов. Смесь из пиратских, лицензионных, shareware- и freeware-программ делает систему уязвимой. Самый безопасный подход - совместимое программное обеспечение от одного производителя. Скажете дорого? А не дороже ли потом восстанавливать данные после атаки?
Как видите, безопасность веб-серверов сводится к управлению рисками. Но не каждая компания нуждается в высшей степени защиты своей информации. Вопрос уровня безопасности - это вопрос использования ресурсов сети. Если веб-сервер существует, к примеру, только для нужд маркетинга, то особо сложной защиты устанавливать не стоит. А вот системы электронной коммерции, электронных платежей требуют больших мер безопасности. Поэтому принято разделять уровни защиты веб-серверов.