5 zagrożeń dla Twojego e-commerce, przed którymi musisz się zabezpieczyć - część 2
Rynek e-commerce z roku na rok nieustannie rośnie. Wprost proporcjonalnie do liczby sklepów internetowych rośnie także liczba scenariuszy zagrożeń dla cyfrowych biznesów. Jak się przed nimi zabezpieczyć? Na początku warto poznać swojego wroga i z wyprzedzeniem przygotować strategię obrony. Zapraszamy na drugi artykuł z serii 5 zagrożeń dla e-commerce. Dowiesz się z niego przed czym i w jaki sposób powinieneś zabezpieczyć swój sklep internetowy.
Awaria serwera aplikacyjnego
Zagrożenia dla działania platformy e-commerce to m.in.: awaria głównego serwera lub jednego z serwerów, na którym znajduje się aplikacja Twojego sklepu internetowego. Zdarzenie takie powoduje niedostępność aplikacji i uniemożliwia korzystanie z niej, jak i składanie jakichkolwiek zamówień. W takim przypadku warto zrozumieć czy Twój dostawca ma opracowane scenariusze i procedury, które jasno definiują zachowanie w takich przypadkach. Jak to robimy w Monogo? Poniżej kilka kluczowych aspektów:
1. Aktywny monitoring komponentów na poziomie sprzętu, usługi i całej aplikacji pozwala obserwować trendy i z wyprzedzeniem zdiagnozować potencjalne problemy.
2. Redundancja w kluczowych komponentach infrastruktury - wykorzystanie klastrów i mechanizmów pozwalających na działanie infrastruktury w przypadku awarii. Po awarii, podczas przywracania pełnej sprawności usług mamy możliwość wykorzystania mechanizmów self-healing.
3. Infrastructure as Code (IaC) - wykorzystanie automatyzacji do budowania środowisk pozwala na bardzo szybkie przywracanie całego stosu technologicznego w przypadku rozległych awarii.
4. Opcjonalne wykorzystanie wielu centrów danych do zwiększenia redundancji.
5. Backupy 3-2-1 - przeczytasz o nich w artykule As Secure As Possible oraz pierwszej części naszego cyklu 5 zagrożeń dla Twojego e-commerce, przed którymi musisz się zabezpieczyć, część 1.
Wyciek danych
Co w przypadku gdy dostęp do Twojego sklepu zyska osoba niepożądana? Kradzież danych stanowi poważne zagrożenie zarówno dla Twojej firmy, jak i dla Twoich klientów. Oprócz utraty reputacji i zaufania w oczach klientów, mogą czekać na Ciebie również nieprzyjemne konsekwencje prawne. Dbając o swój biznes rekomendujemy solidnie zabezpieczyć sklep internetowy przed niespodziewanym wyciekiem danych. Powodem mogą być nie tylko ataki hakerskie, ale także bardzo słabe zabezpieczenia witryny. Warto sprawdzić, czy nasz dostawca oferuje możliwość konfiguracji IDS - intrusion detection service oraz IPS/IDS. W jaki sposób zostanie to wykryte przez dostawcę infrastruktury? Jak zareaguje Twój dostawca w przypadku zgłoszenia takiego incydentu? Warto zadać te pytania przed podpisaniem umowy.
Nieuprawniony dostęp do plików
Inny czarny scenariusz to osoba nieuprawniona, która po uzyskaniu dostępu do części plików na serwerze, zaczyna wprowadzać zmiany w plikach konfiguracyjnych lub systemowych. Czy Twój dostawca monitoruje te aktywności i ma skonfigurowane alerty pomagające wykrywać takie zdarzenia?
Monitoring plików (File Monitoring) jest realizowany przez integralny system monitoringu bezpieczeństwa. Każdorazowo informuje o zmianie monitorowanego pliku.
Wszystkie komponenty usługi muszą mieć zdefiniowane reguły dostępów i być zabezpieczone na różnych poziomach (począwszy od 2FA, zmiennych w czasie tokenów, Firewalli, systemów IPS/IDS, cyklicznej weryfikacji osób uprawnionych, onboardingu/ offboardingu)
Podatności bezpieczeństwa aplikacji
Warto również mieć świadomość, że w samych aplikacjach sklepów internetowych mogą istnieć podatności, inaczej dziury bezpieczeństwa. Czy Twój dostawca oferuje możliwość wykonania Skanów IT Security, które pomogą wykryć te zagrożenia? Czy narzędzie używane do wspomnianych skanów jest dostosowane do realiów sklepów internetowych?
W Monogo naszym partnerom oferujemy usługę monitoringu Web Application Security Scanner. To cykliczne monitorowanie aplikacji (publicznie dostępnej) pod kątem dziur bezpieczeństwa, (na przykład ataków SQL Injection, XSS). Ideą jest tutaj monitoring, a nie jednorazowe skanowanie. Dodatkowo, przed wykonaniem produkcyjnym, jesteśmy w stanie sprawdzić przygotowaną paczkę i upewnić się, że nie wprowadzamy nowych zagrożeń na produkcję.
Podatności bezpieczeństwa serwerów a zagrożenia w e-commerce
Możliwym czarnym scenariuszem mającym wpływ na dostępność Twojego sklepu może być również pojawienie się podatności w pakietach lub oprogramowaniach zainstalowanych na serwerach. Czy Twój dostawca monitoruje i na bieżąco aktualizuje wszystkie wykorzystywane elementy składowe infrastruktury?
W kwestii zagwarantowania bezpieczeństwa serwerów w Monogo działamy na kilku kluczowych płaszczyznach. Prowadzimy monitoring wersji wszystkich użytych komponentów i usług. W każdej chwili jesteśmy w stanie zweryfikować jaka wersja danego komponentu jest użyta i na ilu maszynach (oszacować skalę). Komponenty, które nie biorą bezpośredniego udziału w serwowaniu aplikacji są aktualizowane codziennie. Komponenty pośrednio biorące udział w serwowaniu aplikacji są aktualizowane raz na tydzień. Te z nich, które biorą bezpośredni udział w serwowaniu aplikacji i posiadają aktualizację są aktualizowane ad hoc przy komunikacji z klientem (ustalamy datę). Wszystkie rozwiązania dobieramy indywidualne do potrzeb naszego partnera ustalają nawet najdrobniejsze szczegóły.
Wymienione przez nas powyżej przykłady najczarniejszych scenariuszy dla Twojego e-commerce to tylko kilka przykładów niebezpieczeństw, które zagrażają Twojej stronie internetowej. Zła wiadomość to taka, że jest ich o wiele więcej (o kolejnych przeczytasz w 3 części tego cyklu artykułów). Jednak mamy także dobre wiadomości, zagrożenia w e-commerce da się zminimalizować. Jeśli nie jesteś pewny, czy wymienione powyżej obszary bezpieczeństwa są odpowiednio zaopiekowane w Twoim sklepie napisz do nas w poniższym formularzu.
Należy pamiętać, że nie ma nigdy pewności, że zastosowanie najlepszych i najdroższych rozwiązań zapewni nam 100% gwarancji bezpieczeństwa. Dlatego posiadamy procedury i opracowane plany działania w przypadku wystąpienia krytycznych incydentów. Skorzystaj z naszego doświadczenia, aby uniknąć problemów i odpowiednio zadbać o bezpieczeństwo Twojego sklepu.