Какие потенциальные угрозы (атаки) существуют для ИС (сайта)?
Добрый день:)Подскажите, пожалуйста, если у некой компании имеется сайт, расположенный на внутреннем сервере, доступ к этому сайту могут иметь только сотрудники. У компании есть 3 филиалы в других городах, они связаны с центральным офисом с помощью vpn-каналов. Получается образуется некая локальная сеть. Доступ к сайту извне не возможен.
Каким атакам может быть подвержен сайт (а также какие меры защиты необходимо предусмотреть), если он по сути не имеет выход в глобальную сеть Интернет, а крутится внутри локальной сети?
В первую очередь, нужно обеспечить защиту от возможности заражения ПК вирусами, установив антивирусник.
Если рассматривать такие угрозы как sql-инъкции и DoS-атаки, они же ведь тоже могут быть реализованы внутри локальной сети, если вдруг в качестве злоумышленника выступает сам сотрудник компании, верно? Если DoS-атаки возможны (например, злоумышленник-работник пытается подобрать пароль к учетке своего коллеги), то будет ли являться мерой защиты от них использование сложных паролей?
Подскажите, пожалуйста, правильно ли я рассуждаю? Может сможете также подсказать, какие ещё угрозы могут быть для ИС (в данном случае для корпоративного сайта), расположенного внутри локальной сети.
Если внутри локальной сети есть вайфай - лучше не считать ее локальной. Если в нее ходят еще три города, и вы их не контролируете - тоже.
Защита сайта от заражения вирусами обеспечивается не установкой антивируса, а установкой сайта на отдельный сервер без доступа кого попало. И уж конечно, не на винду. И все равно - бэкап.
DDoS-атака и брутфорс - это принципиально разные вещи.
Использование "сложных паролей" и особенно требование регулярно их менять здорово помогает инсайдерам - потому что никто не может их запомнить и тупо записывает на самом видном месте.
В первую очередь, нужно обеспечить защиту от возможности заражения ПК вирусами, установив антивирусник.
В первую очередь нужно обеспечить установку сайта на линух, которому не нужны антивирусники, а также регулярный полный бэкап этой машины - потому что это должна быть отдельная машина, с админским доступом к ней у людей, которых можно пересчитать по пальцам одной руки.
Если DoS-атаки возможны
Если в локалке возможен DoS - админов нужно отправить мести двор, потому что это не админы.
какие ещё угрозы могут быть для ИС (в данном случае для корпоративного сайта), расположенного внутри локальной сети.
Зависит от того, что это за сайт, какой его функционал. Это может быть просто внутрикорпоративная новостная станция, стоящая домашней страницей. Это может быть сервис мониторинга. Это может быть gitea (очень модное нынче решение - git + трекер в одном флаконе).
Это небольшое веб-приложение для мотивации сотрудников, они выполняют задачи, копят баллы, а потом что-нибудь на них покупают.
Насчет админов понятно)) С хорошими специалистами вероятность угроз должна быть минимальна. Но мне бы хотелось понять чисто в теории, какие вообще потенциальные угрозы (внешние или внутренние) могут возникнуть? С учетом того, что приложение доступно только работникам центрального офиса и филиалов.
в веб-приложении есть возможность загрузки картинки, предположим, что никаких проверок загруженных файлов не осуществляется, тогда сотрудник может загрузить на сервер какой-то вредоносный файл и это уже сможет нанести урон серверу.
ПК работников также могут быть подвержены заражению вирусами, так как они же имеют выход в интернет и могут там что-нибудь подцепить. И как раз в этом случае злоумышленник может попасть во внутреннюю сеть и совершить атаку на сервер. Верно?
Olya_Ann, Мне нравится Ваш ход мыслей :) В ИБ не пробовали работать? :) Если не проверять загруженные файлы, то сотрудник конечно же попытается закинуть под видом картинки скрипт, чтобы нагадить. Скрипт, в самом худшем случае выполняется с правами веб-сервера. Системе он нагадить не сможет, но сам сервер поломать вполне способен.
Относительно ПК сотрудников. Для этого как раз есть корпоративный антивирус ну и защитник Виндоуззз не стоит со счетов сбрасывать - он не такой уж и тупой, как кажется. А выход в тырнет должен быть строго через прокси с блокировкой всех прочих портов - тогда, даже случайно подцепленный вебшелл просто не достучится до своего СС (либо попадет в лог прокси, где его можно отследить)
Но вообще мысль верная - если не защищать компы юзеров и не блокировать сторонние порты - может.
CityCat4, скажите, пожалуйста, а почему Вы сказали именно о Linux? При выборе ОС для сервера всегда отдают предпочтение этой ОС ?) Упоминание о Windows Server всех сразу шокирует))
Olya_Ann, По тому же принципу, по которому Вы предстаете перед своим молодым человеком в полупрозрачной ночнушке, а перед начальником на работе - в строгом деловом костюме - по принципу целесообразности.
Windows - система для игр и развлечений. Она изначально проектировалась как однопользовательская развлекательная оболочка
Linux - система для работы. Она изначально проектировалась как многопользовательская система для совместной работы.
Использовать винду для размещения сервисов в тырнете - это примерно то же самое, что выйти в ночнушке на улицу - большинство просто проводит любопытными взглядами, но непременно найдется меньшинство, которое посчитает возможным нечто большее, чем просто нескромно пялить глаза на проступающие абрисы...
С появлением WSL многие стали ее использовать, но я считаю это неверным. Развертывание все равно приходится делать на настоящем линухе, поэтому и у себя нужно держать настоящий линух в полноценной виртуалке. Использование WSL, если продолжать наши аналогии - это как фланелевая пижама, скроенная под вид деловго костюма :)
получается, так как филиалы соединяются через vpn-канал, проходящий через Интернет, угроза того, что злоумышленник сможет проникнуть во внутреннюю сеть всё же есть?
Через стенки тоннеля - не должен ;)
Только вам не важно, кто проник в сеть и как. Вам важно, чтобы он сайт испортить не мог. И работают тут те же рецепты, что и в интернете, так что фантазировать о каналах просто смысла нет.
Средний
Простой
Простой
Простой
