Každý web je pod denní palbou zlých robotů (existují i pokusy o ruční zneužití, ale ty jsou méně časté). Jak se útokům bránit? My už přes tři roky používáme cloudové řešení Incapsula a její bezpečnostní prvek WAF.
Je to prvek předřazený před webovým řešením, který filtruje provoz a tím chrání webové stránky i aplikace před útoky. Cílem takových útoků je najít a zneužít slabá místa protokolů například ke změně vzhledu webových stránek nebo ke krádeži citlivých dat. Zjednodušeně by se WAF dal označit za takový antivir pro webové stránky.
Vzhledem k finanční nákladnosti klienti někdy váhají, zda si WAF pořídit. Důrazně to doporučujeme zejména u webových stránek organizací, které se nejčastěji stávají terčem takových útoků (například politická hnutí). Tady stojí za zvážení pořízení modelu s anti DDoS ochranou.
Další možností, jak předcházet napadení webových stránek, je penetrační testování. Ve Forrestu používáme automatizovaný testovací nástroj Acunetix. Test provádíme vždy před spuštěním webového řešení a pak v pravidelných intervalech od spuštění, minimálně 1× ročně.
Pro naše klienty můžeme zajistit i kvalitní „ruční“ penetrační testy, například od firem DCIT, Roman Kümmel, AEC a dalších. Někteří z našich klientů navíc provádí penetrační skeny ve své vlastní režii.
Přečtěte si i předchozí články:
Část I. – Uživatelé vs. ajťáci
Část II. – Nevědomost (ne)omlouvá
Část III. – Kontrola nad daty
