Защита веб-сервисов и бизнес-приложений
Задать вопрос«АСТ» имеет опыт внедрения комплексных систем по защите корпоративных веб-сервисов и бизнес-приложений, способных обеспечить всестороннюю защиту от описанных угроз как на уровне фронт-энда сервисов, так и на уровне их внутренней функциональной инфраструктуры. При этом используются методологии и лучшие в своем классе продукты, гарантирующие высокий уровень безопасности.
Современные информационные услуги становятся все более удобными, интерактивными и клиентоориентированными и все чаще предоставляются удаленно посредством сети Интернет через обычный веб-интерфейс. Такие простые сервисы как электронная почта, заказ пиццы, покупка каких-либо вещей или такие сложные как дистанционное банковское обслуживание, предоставление государственных услуг – сегодня все доступно через сеть. Это очень удобно, но и это очень опасно. Особенно учитывая то, что возможность веб-доступа могут иметь не только фронтофисы информационных систем (ИС) розничных компаний, но и критичные бизнес-системы, а сервисы предоставляются не только в сегменте b2c, но и b2b. Поэтому атака на веб-сервисы – одна из самых опасных и распространенных угроз, способная вызвать финансовые или репутационные потери для владельца сервиса, но и привести к финансовым потерям его клиентов. Ежегодные прямые убытки от атак на веб-ресурсы по разным данным составляют от 1 до 3,5 триллионов долларов США. Косвенные убытки и потери, связанные с ущербом репутации, упущенной прибылью, похищением данных кредитных карт, персональных данных и пр. не поддаются оценке.
Веб-сервисы часто разрабатывают студии и люди, не имеющие никакого представления об информационной безопасности, а решения, которые они используют не позволяют ни обеспечить защиту самой системы, ни разграничить периметры веб- и внутренних информационных систем. Другая встречающаяся крайность – экономия финансов и времени на разработку веб-приложений как не основного продукта при внедрении ИТ-систем, что способствует снижению уровня безопасности даже изначально надежных платформ и, часто вызывает появление уникальных уязвимостей в добавок к имеющимся стандартным.
Угрозы, которым подвергаются корпоративные веб-сервисы, имеют пять основных видов:
- Нарушение доступности сервиса вследствие атаки типа «отказ в обслуживании».
- Подмена веб-сайта или изменение его содержания с целью осуществления прямых злонамеренных действий или сбора данных для последующего их использования.
- Внедрение вредоносного кода на веб-сайт без его видимого изменения с целью осуществления атаки на ИС владельца сервиса или на пользователей.
- Мошенничество с клиентскими данными (кража/изменение данных CRM, биллинга и пр).
- Утечка данных с веб-ресурса – прямая кража персональных данных пользователей, информации об их банковских картах и т.п.
Все это – серьезные риски, которые должны учитываться, а потенциальные потери – минимизироваться. «АСТ» имеет опыт внедрения комплексных систем по защите корпоративных веб-сервисов и бизнес-приложений, способных обеспечить всестороннюю защиту от описанных угроз как на уровне фронт-энда сервисов, так и на уровне их внутренней функциональной инфраструктуры. При этом используются методологии и лучшие в своем классе продукты, гарантирующие высокий уровень безопасности.
Комплекс защиты от атак на веб-ресурсы включает в себя средства, которые обеспечивают выполнение следующих функциональных задач:
- Разграничение периметров внутренних ИС, баз данных (БД) и внешних веб-интерфейсов.
- Осуществление контроля обращений к ресурсам, их независимый аудит.
- Защиту от атак на уровне веб-приложений.
- Защиту от атак на уровне запросов к базам данных.
- Поиск и анализ аномалий на уровне пользователей и запросов.
Внедрение обеспечивает комплексную защиту веб-приложений и дает следующие результаты:
- Снижение времени простоя веб-сервисов из-за инцидентов ИБ.
- Своевременное обнаружение злонамеренных действий и инцидентов ИБ, недопущение их развития или предотвращение.
- Снижение риска возникновения инцидентов, связанных с мошенничеством.
- Выполнение требований регулирующих законодательных актов, нормативных документов и стандартов (PCI DSS, 152-ФЗ, СТО БР ИББС 1.0).
Связанные услуги:
-
Мониторинг событий и управление инцидентами ИБ
Самым важным фактором при обеспечении информационной безопасности (ИБ) является наличие полной и достоверной информации о событиях,
[...] -
Обеспечение сетевой безопасности и защиты периметра
Сетевая инфраструктура технологически лежит в основе всех корпоративных ИТ-систем и является транспортной артерией для информации,
[...] -
Защита от целенаправленных атак
Одной из наиболее серьезных и опасных угроз для бизнеса с точки зрения информационной безопасности (ИБ) являются целенаправленные
[...] -
Защита АСУ ТП
Автоматизированная система управления технологическими процессами (АСУ ТП) на производстве является основополагающим решением,
[...] -
Системы анализа и управления уязвимостями
Как не бывает абсолютно здоровых людей, так и не бывает абсолютно защищенных информационных систем. Компоненты ИТ-инфраструктуры
[...] -
Защита от утечки информации (DLP-система)
Любая организация имеет документы с ограниченным доступом, содержащие ту или иную конфиденциальную информацию. Их попадание в чужие
[...] -
Управление учетными записями и доступом
Как правило, множество используемых на предприятии информационных систем (ИС) имеют собственные средства идентификации пользователей
[...] -
Криптографические средства защиты информации
Средства криптографической защиты информации (СКЗИ) являются важной составляющей при обеспечении информационной безопасности и
[...] -
Защита конечных точек
Сегодня подавляющее большинство атак на корпоративные ИТ-системы осуществляются злоумышленниками через использование брешей и
[...] -
Безопасность мобильных устройств
Два года назад количество используемых для бизнес-целей мобильных устройств превысило количество ПК и ноутбуков. Это вполне
[...] -
Контроль привилегированного доступа
В практике обеспечения информационной безопасности одной из важнейших мер, которой часто уделяют недостаточно внимания, является
[...] -
Защита виртуальной инфраструктуры
В последнее десятилетие неизменно растет популярность технологий виртуализации благодаря тому, что они позволяют существенно
[...]