Jak bronić się przed hakerami

opublikowano: 28-07-2021, 20:00

Co sekundę internetowi przestępcy atakują 269 firm. Przedsiębiorcy chronią się dodatkowymi zaporami.

Hakerzy w czasie pandemii bardzo się uaktywnili. Z danych firmy CDNetworks wynika, że w pierwszym półroczu 2020 r. liczba ataków wzrosła aż ośmiokrotnie i sięgnęła 4,2 mld. Najczęściej atakowany był sektor publiczny (26 proc.), handel (23 proc.) i e-commerce (11 proc.).

– To oznacza, że co sekundę atakowanych było 269 firm. Teraz jest ich zapewne o wiele więcej, bo hakerzy nie zwalniają tempa – mówi Michał Bukontt, dyrektor sprzedaży w firmie Sprint.

Najczęstsze ataki

Przestępcy wciąż szukają nowych sposobów na skuteczne zaatakowanie przedsiębiorców. Można wyróżnić kilka najczęściej spotykanych typów ataku na aplikacje internetowe – cross-site scripting, cross-site request forgery oraz SQL injection. Pierwszy sposób polega na umieszczeniu na atakowanej stronie kodu. Będzie on atakował osoby wchodzące na stronę, kradnąc informacje z ich przeglądarek, np. pliki cookies lub zapisane hasła. To pozwoli przestępcom podszyć się pod ofiarę. W ten sposób haker może otrzymać także dostęp do interfejsu programowania aplikacji, kamery internetowej czy innych wrażliwych danych. Z kolei cross-site request forgery sprawia, że użytkownicy serwisu nieświadomie przesyłają do serwera żądania hakerów, czyli doprowadza do przejęcia przez przestępców uprawnień ofiary w danej aplikacji. W skrócie – przestępcy mogą podszyć się pod ofiarę i np. wykonać w jej imieniu przelew na swoje konto albo kupić coś online. Natomiast SQL injection to złośliwy kod, który daje przestępcom dostęp do bazy danych serwisu, czyli pozwala wykraść zgromadzone dane użytkowników, osobowe lub płatnicze.

Michał Bukontt zwraca uwagę, że trzeba pamiętać o ruchu generowanym przez boty. Mogą z nich korzystać zarówno hakerzy, chcący zainfekować dany serwis, jak i konkurencja, żeby zdobyć przewagę biznesową.

Puls Firmy
Użyteczne informacje dla mikro-, małych i średnich firm. Porady i przekrojowe artykuły, dzięki którym dowiesz się, jak rozwinąć biznes
ZAPISZ MNIE
×
Puls Firmy
autor: Sylwester Sacharczuk
Wysyłany raz w tygodniu
Sylwester Sacharczuk
Użyteczne informacje dla mikro-, małych i średnich firm. Porady i przekrojowe artykuły, dzięki którym dowiesz się, jak rozwinąć biznes
ZAPISZ MNIE
Administratorem Pani/a danych osobowych będzie Bonnier Business (Polska) Sp. z o. o. (dalej: my). Adres: ul. Kijowska 1, 03-738 Warszawa. Administratorem Pani/a danych osobowych będzie Bonnier Business (Polska) Sp. z o. o. (dalej: my). Adres: ul. Kijowska 1, 03-738 Warszawa. Nasz telefon kontaktowy to: +48 22 333 99 99. Nasz adres e-mail to: rodo@bonnier.pl. W naszej spółce mamy powołanego Inspektora Ochrony Danych, adres korespondencyjny: ul. Ludwika Narbutta 22 lok. 23, 02-541 Warszawa, e-mail: iod@bonnier.pl. Będziemy przetwarzać Pani/a dane osobowe by wysyłać do Pani/a nasze newslettery. Podstawą prawną przetwarzania będzie wyrażona przez Panią/Pana zgoda oraz nasz „prawnie uzasadniony interes”, który mamy w tym by przedstawiać Pani/u, jako naszemu klientowi, inne nasze oferty. Jeśli to będzie konieczne byśmy mogli wykonywać nasze usługi, Pani/a dane osobowe będą mogły być przekazywane następującym grupom osób: 1) naszym pracownikom lub współpracownikom na podstawie odrębnego upoważnienia, 2) podmiotom, którym zlecimy wykonywanie czynności przetwarzania danych, 3) innym odbiorcom np. kurierom, spółkom z naszej grupy kapitałowej, urzędom skarbowym. Pani/a dane osobowe będą przetwarzane do czasu wycofania wyrażonej zgody. Ma Pani/Pan prawo do: 1) żądania dostępu do treści danych osobowych, 2) ich sprostowania, 3) usunięcia, 4) ograniczenia przetwarzania, 5) przenoszenia danych, 6) wniesienia sprzeciwu wobec przetwarzania oraz 7) cofnięcia zgody (w przypadku jej wcześniejszego wyrażenia) w dowolnym momencie, a także 8) wniesienia skargi do organu nadzorczego (Prezesa Urzędu Ochrony Danych Osobowych). Podanie danych osobowych warunkuje zapisanie się na newsletter. Jest dobrowolne, ale ich niepodanie wykluczy możliwość świadczenia usługi. Pani/Pana dane osobowe mogą być przetwarzane w sposób zautomatyzowany, w tym również w formie profilowania. Zautomatyzowane podejmowanie decyzji będzie się odbywało przy wykorzystaniu adekwatnych, statystycznych procedur. Celem takiego przetwarzania będzie wyłącznie optymalizacja kierowanej do Pani/Pana oferty naszych produktów lub usług.

– Spotkałem się z sytuacją, w której pośrednik ubezpieczeniowy został zaatakowany przez swojego rywala rynkowego. Użył on bota do masowej wysyłki zapytań o kalkulacje ubezpieczenia komunikacyjnego. Dzięki temu mógł proponować klientom lepsze ceny – mówi Michał Bukontt.

Boty są też powszechnie wykorzystywane do rozprzestrzeniania złośliwego oprogramowania typu malware oraz ataków DDoS. Są to przeprowadzane równocześnie z wielu komputerów ataki na system lub usługę sieciową w celu uniemożliwienia ich działania poprzez zajęcie wszystkich wolnych zasobów.

Dodatkowa zapora

Przedsiębiorcy starają się walczyć z hakerami, uruchamiając kolejne zabezpieczenia. Większym zainteresowaniem cieszą się w ostatnim czasie choćby dodatkowe zapory chroniące przed szkodliwym oprogramowaniem. Jedną z nich jest Web Application Firewall (WAF).

– Zainteresowanie tą ochroną wzrosło w ostatnich miesiącach o 25 proc. – mówi Michał Bukontt.

Od klasycznych programów antywirusowych i firewalli WAF różni się przede wszystkim tym, że służy do ochrony serwerów. Natomiast antywirusy dbają przede wszystkim o bezpieczeństwo użytkowników i urządzeń, przez które łączymy się z siecią.

– Ponadto WAF lepiej filtruje ruch na stronie. Może też kontrolować zgodność aplikacji z regulacjami, np. RODO i ruch wewnętrzny w ramach sieci firmowej, czyli blokować dostęp do serwerów, jeśli urządzenie jednego z pracowników zostanie w jakiś sposób zainfekowane lub ktoś przejmie nad nim kontrolę – przekonuje Michał Bukontt.

Jak przygotować dobrą umowę na wdrożenie systemu IT?

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Polecane