Kuidas kaitsta efektiivselt oma veebirakendusi erinevate küberrünnakute eest? 

#küberturvalisus #turvariskid
7 min lugemine
Digitark
27.09.2023 08:00

Veebilehtede kaudu tehakse maailmas keskmiselt ligi 30 000 küberrünnakut päevas, et blokeerida nende tööd või varastada, rikkuda ja kustutada seal olevaid andmeid.  

 

Telia küberturbe lahenduste insener Tanel Kindsigo selgitab, millised ohud kaasnevad selliste rünnakutega ning kuidas saab ettevõte oma veebirakendusi nende eest kõige tõhusamalt kaitsta.   

Tarkvaradest leitakse pidevalt turvaauke, mida küberkurjategijad üritavad kiiresti ära kasutada. Selliste rünnakute ennetamiseks tuleks oma veebiserveri tarkvara regulaarselt uuendada. Eriti oluline on tagada veebilehe koodi turvalisus. Üle poolte maailma veebilehtedest on loodud sisuhaldustarkvarade abil, millest ülivõimsalt levinuim on WordPress. Kahjuks leitakse ka sealt väga palju turvaauke, mistõttu on oluline võimalikult kiiresti alla laadida sisuhaldustarkvara kõige värskemad uuendused. Paraku ei anna ka see sissemurdmise vastu garantiid. Küberkurjategijad võivad leitud turvaauke salajas hoida ja neid ära kasutada enne, kui need lõpuks avalikuks tulevad ja parandatakse.  

 

Andmete vargus 

Andmete leke võib ettevõttele tekitada nii mainekahju kui ka suurt rahalist kaotust. Näiteks võivad kurjategijad müüa varastatud ärisaladuse teie konkurendile. Samuti kasutatakse kurjasti ära klientide lekkinud isikuandmeid, neid maha müües või avalikustades. See võib omakorda tuua kaasa Andmekaitse Inspektsiooni uurimise ja trahvi. Seetõttu on oluline andmeid klassifitseerida. Tasub hoolikalt läbi mõelda, milliseid andmeid on üldse vaja internetis välja näidata ning kas need peaksid olema kättesaadavad kõigile või tuleks osade andmete ligipääsu piirata ainult teatud isikutele. Sellest hoolimata võib juhtuda, et veebilehe turvaaukude kaudu andmed lekivad ja ligipääsupiirangutest õnnestub mööda hiilida.  

 

Info asendamine või andmete rikkumine  

Kui veebilehele õnnestub sisse murda, võivad kurjategijad selle sisu ära muuta, levitada seal näiteks enda propagandat, soovimatut reklaami või lihtsalt jagada valeinfot, rikkuda andmebaasis olevad andmed ja nõuda lunaraha nende taastamise eest. Lisaks kõigele sellele võivad ründajad muuta veebilehe koodi selliselt, et sinna sisse logides saadetakse kõik kasutajatunnused ja paroolid kurjategijate serverisse, avades sellega neile ligipääsu veebilehe piiratud sisule.  

 

Pahavara levitamine 

Tihtipeale kasutatakse veebilehti ära pahavara levitamiseks. Veebileht näeb väliselt välja puutumatu ja korras, ent tegelikult laevad selle külastajad endale märkamatult alla pahavara ja nakatavad enda tööjaama. Paljud veebilehed kasutavad JavaScripti, mis käivitub märkamatult kliendi veebibrauseris ja see teeb arvutite nakatamise lihtsamaks. Viirusetõrje siin alati ei aita, sest selle käigus ei pruugigi pahavara alla laadimist toimuda.  

 

Veebilehe töö häirimine  

Ründajad saadavad veebiserverile suures koguses päringuid, nii et server jääb hätta nendele vastamisega, mistõttu muutub veebileht ka külastajate jaoks väga aeglaseks või täiesti kättesaamatuks. Selliseid Denial of Service (DoS) ründeid sooritatakse peamiselt avaliku sektori ja elutähtsate teenuste osutajate veebiserverite pihta, et halvata sellega ühiskonna elutegevus. Vahel rünnatakse sedasi ka väiksemaid eraettevõtteid, et nõuda neilt lunaraha. Tihtipeale on sellised rünnakud ka edukad, kui ettevõtted ei ole enda kaitsmiseks eelnevalt ettevalmistunud.  

 

Agressiivne jälgimine 

Vahel on konkurent väga huvitatud teie ettevõtte veebilehel olevast infost ja laeb pidevalt alla kogu selle sisu või siis olulisemaid andmeid. Näiteks salvestab teie toodete ja hindade infot, et olla pidevalt kursis seal toimunud muutustega. See aga tekitab veebilehele asjatut koormust ja võib anda konkurendile ka eelise äritegevuses.  

 

Kasutajatunnuste ja paroolide äraarvamine 

Interneti sügavustes levitatakse kasutajatunnuste ja paroolide andmebaase. Seal sisalduva infoga võidakse hakata proovima ettevõtte veebilehele sisse logida, lootuses, et mõni parool klapib. Kui näiteks klient kasutab sama parooli mitmes eri kohas, ongi lehele sissepääsemise risk reaalne.   

 

Rünnakud läbi rakendustarkvara liidese  

Erinevatel andmetel moodustab rakendustarkvara liidese ehk API kaudu tehtud liiklus juba ca 50-80% kogu veebiliiklusest. Seega ei saa enam mööda vaadata ka API turvalisusest. Peamiselt suhtlevad API kaudu veebirakendused ise. Läbi API on rakendustel väga mugav veebilehelt kätte saada vajalikku infot ja andmeid, et neid töödelda, salvestada ja veebilehel presenteerida. Paraku on seda järjest enam hakanud ära kasutama ka küberkurjategijad.   

API on sisuliselt programmikood veebiserveris ja kui arendajad pole selle loomisel piisavalt turvalisusele mõelnud, võibki osutuda võimalikuks selle kaudu saada ligi piiratud ligipääsuga andmetele või neid isegi kustutada. Kübermaailmas tuntud kogukond nimetusega OWASP ehk Open Worldwide Application Security Project on välja andnud isegi levinumate API turvaprobleemide Top 10 listi (https://owasp.org/API-Security/editions/2023/en/0x11-t10/).  

Eelloetletud küberohtude tõrjumiseks saavad ettevõtted teha ise väga palju ära. Alljärgnevalt anname 9 soovitust veebirakenduse kaitsmiseks.  

1. Varundage andmeid  

Keegi ei soovi end leida olukorrast, kus veebilehe kaudu on andmebaasist kogu info kustutatud või ära krüpteeritud ja varukoopiat ei ole. Seetõttu tasub ettevõttele olulisi andmeid alati varundada. Tähtis on hoida varukoopiad veebisüsteemidest lahus, et neid ei saaks sama ründe käigus ära kustutada. Lisaks võiks vahel kontrollida ka koopiate terviklikkust, et need ei oleks mingil põhjusel riknenud.  

2. Seadke andmetele ligipääsupiirangud 

Olulistele andmetele peaksid ligi pääsema üksnes selleks volitatud kasutajad. Andmetele ligipääsu piiramiseks kasutatakse MFA (Multi-Factor Authentication) meetodeid ja autoriseerimist. Selleks on tarvis andmed klassifitseerida, et oleks selge, millised kasutajaprofiilid millistele andmetele ligi pääseda tohivad, ja milline info on täiesti avalik. Selle alusel saaks siis veebirakendus infot välja anda või hoopis piirata.  

3. Valideerige sisendinfot 

Veebilehed muutuvad kergemini rünnatavaks, kui jäetakse täidetavatesse vormidesse sisestatav info valideerimata. Sinna sisestatud spetsiaalse koodi abil on võimalik sooritada mitmeid eri sorte ründeid nagu näiteks SQL Injection, mis loob küberkurjategijatele sisuliselt täieliku ligipääsu ettevõtte andmebaasile. Seetõttu on vaja täpselt ära defineerida, millist sisendit veebirakendus konkreetses olukorras kliendilt ootab ning kui sisend sellele ei vasta, siis päring tühistatakse.  

4. Uuendage serveri tarkvara 

Aegajalt leitakse serverite tarkvaras turvaauke, mida on võimalik kurjasti ära kasutada. On oluline pidevalt monitoorida tarkvara versioone ja neid õigel ajal uuendada.  

5. Uuendage rakendustarkvara 

Sisuhaldustarkvara kasutades või ise veebirakenduse koodi arendades on väga oluline pidevalt uuendada rakendustarkvara. Oma tarkvarakoodi puhul ei tule turvaaugud muidugi ise välja, keegi peab neid spetsiaalselt otsima ja testima.  

6. Skaneerige veebirakenduse turvalisust 

Regulaarset turvaskaneerimist peaksid eelkõige praktiseerima need, kes ise arendavad oma veebirakenduste koodi. Skaneerimise abil on võimalik enamlevinud turvanõrkused kiirelt üles leida, et jõuaks need enne parandada, kui ründajad hakkavad neid ära kasutama.  

7. Tellige kriitilisematele rakendustele läbistustestimine 

Lisaks veebirakenduse turvanõrkuste skaneerimisele tasuks kriitilisematele rakendustele tellida läbistustest (penetration testing) mõnelt teenusepakkujalt, kes tegeleb turvaaukude otsimise ja veebilehele sissemurdmisega. Leitud probleemidest koostatakse raport, mille alusel saab hakata turvaauke likvideerima.   

8. Kasutage krüpteeritud liiklust 

Avalikku Wifi-võrku kasutades olge ettevaatlik, sest küberkurjategijad võivad juba olla sinna sisse murdnud ja jälgivad ning salvestavad seal kogu liiklust. Seetõttu on oluline alati kasutada krüpteeritud andmesidet. Veebiliikluse puhul https protokolli. Veebileht peaks kasutama piisavalt turvalisi krüptoalgoritme, mida ei saa lahti muukida.  

9. Kasutage veebirakenduse tulemüüri

Veebirakenduse tulemüür ehk WAF (web application firewall) adresseerib ära päris paljud ohukohad. Samuti on see üks komplekssemaid lahendusi, kus ühes turvaseadmes tekib mitmekihiline kaitse ning veebilehe pihta suunatud ründed muutuvad tuvastatavaks ja tõrjutavaks koos sellega seotud logide ja raportitega. Viimased annavad ülevaate teie veebirakenduses toimuvast. Veebirakenduse tulemüüri teenust hakkab lähiajal pakkuma ka Telia Eesti. 

Autori teised artiklid
Ettevõtlus
3 min lugemine

Telia on KIUD ringluspakenditega säästnud ligi 13 tonni pakendite prügi  
Ettevõtlus
2 min lugemine

Telia asub suures mahus IT tippspetsialiste värbama
Tark töö
2 min lugemine

Enneolematu huvi: Teliasse soovis praktikale ligi 1000 inimest
Ettevõtlus
1 min lugemine

Digitund: Töökoha seadmete turvalisus
Digitark
Digitark koondab tehnoloogiateadlikke ja -huvilisi toimetajaid, kes otsivad üles põnevaimad ja kasulikumad tehnoloogiakillud Eestist ja laiast maailmast, et sinu elu oleks lihtsam, mugavam, toredam ja turvalisem.

Saade digitark

Vaata ►
Digitargal on nüüd YouTube'i kanal ja värske tehnoloogiasaade - vaata ja arutle kaasa.
Ettevõtlus
3 min lugemine

Telia on KIUD ringluspakenditega säästnud ligi 13 tonni pakendite prügi  

KIUD on tekstiilijäätmetest valmistatud korduvkasutatav ringluspakend, mis on keskkonnasõbralik alternatiiv papp-pakendile.
Digitark
, 25.04.2024 12:14
Ettevõtlus
2 min lugemine

Telia asub suures mahus IT tippspetsialiste värbama

Telia  seisab sel aastal ees suurem sisemiste arendusmeeskondade laiendamine, mille käigus on plaanis värvata oma ridadesse kuni poolsada IT valdkonna tippspetsialisti.
Digitark
, 24.04.2024 13:45
Ettevõtlus
1 min lugemine

Digitund: Töökoha seadmete turvalisus

"Digitunnil" on külas Telia küberturbe eksperdid Martti Kebbinau ja Holger Rünkaru, kes räägivad töökohaseadmete turvalisusest.
Digitark
, 15.04.2024 08:59
Ettevõtlus
2 min lugemine

Järjekordne Telia MeetUp toimub juba 30. mail

30. mail avab Telia taas oma uksed Eesti ettevõtete esindajatele, et koos tehnoloogia-, IT- ja küberturvalisuse ekspertidega arutada päevakajalisi teemasid ning tehnoloogiaajastuga seotud väljakutseid.
Digitark
, 09.04.2024 16:00
Ettevõtlus
1 min lugemine

Digitund: kui ohtlik saab kaugtöö olla?

Digitunnil on külas Telia IKT teenuste juhtimise grupijuht Alar Kurvits ja Telia küberturvalisuse valdkonnajuht Margus Vaino, kes räägivad kaugtööst.
Digitark
, 08.04.2024 08:00
Ettevõtlus
3 min lugemine

Mida tähendab Samsungi seadmete puhul lisanimi Enterprise Edition?  

Viimastel aastatel on Samsung nii mõnelegi nutiseadmele lisanud märke, et tegemist on Enterprise Edition versiooniga.
Mart Laanemägi
Mart Laanemägi
, 26.03.2024 08:00
Ettevõtlus
4 min lugemine

Vähem vaeva, rohkem tulemust. Asjalik videokoosolek eeldab korralikku tehnikat 

Koosolekud, kus meeskonna liikmed ei asu samas ruumis, sageli isegi mitte samas riigis, on kõigest mõne viimase aastaga valdavaks muutunud.
Digitark
, 24.03.2024 08:00
Ettevõtlus
5 min lugemine

7 olulist sammu ettevõtte küberturvalisuse tagamiseks 

Eesti ettevõtete ja inimeste vastu tehakse iga kuu järjepidevalt üle miljoni küberrünnaku.
Digitark
, 21.03.2024 08:00

ONLINE-ABI SINULE!

Sa ei pea ise ekspert olema, et oma IT-seadmeid või telefone ühendada ja seadistada – online-abi testib automaatselt su ühenduse tervist.
Loen lähemalt

Soeta parimat digitehnikat!

Laiast valikust digitehnikast aitame sul leida just sulle sobivad tooted. Kasuta järelmaksu, võrdle tooteid ja küsi nõu online-chatist.
Sisenen e-poodi

Telia TV

Filmiklassikast kuni kõige kuumemate sarjadeni – oma lemmikud ja uued elamused leiad siit!
Loen lähemalt