Wordfence недавно выпустил Wordfence CLI , высокопроизводительный сканер вредоносных программ командной строки, который использует наш обширный набор сигнатур обнаружения вредоносных программ для быстрого сканирования файловых систем на наличие инфекций.
В последние годы в сообществе WordPress наблюдается сдвиг в сторону предотвращения, а не обнаружения инцидентов безопасности. Это отражает более широкое внедрение лучших практик, таких как многофакторная аутентификация, управление уязвимостями и усиление конфигурации.
Хотя мы согласны с тем, что предотвращение всегда лучше, чем обнаружение или устранение, одной из важных концепций кибербезопасности является глубокая защита (defense-in-depth), поэтому важно иметь хорошо продуманный план реагирования на инциденты и адекватный мониторинг безопасности. Ни одно решение безопасности не обеспечивает идеальную защиту от уязвимостей нулевого дня (zero-day), и даже полностью заблокированный сайт может быть скомпрометирован, если он использует ресурсы совместно с другими сайтами, которые остаются уязвимыми. В сегодняшней статье мы обсудим нашу философию обеспечения безопасности веб-сайтов, включая несколько ключевых проблем и концепций кибербезопасности, а также то, как они связаны со сканерами вредоносных программ.
Безопасность должна служить пользователям, а не наоборот
Есть старая поговорка: лучшая камера — это та, которая у вас есть, а лучшее решение для обеспечения безопасности — это то, которое вы действительно будете использовать. Пользователи усложняют защиту систем, ведь легко защитить систему, которую никто не хочет использовать, потому что она заблокирована. Безопасность, которую легко использовать, но которую трудно обойти, намного лучше, чем безопасность, которую трудно использовать и которую невозможно обойти, и один из основных постулатов кибербезопасности заключается в том, что не существует такой защиты, которую было бы невозможного обойти.
Вот почему Wordfence уделяет первоочередное внимание пользовательскому опыту и стремится включить как можно больше уровней безопасности в пакет, который будет прост в использовании для подавляющего большинства владельцев сайтов WordPress. Традиционно это означало предложения на основе плагинов. Несмотря на ограничения использования плагина безопасности, наши многочисленные функции, в том числе брандмауэр веб-приложений, двухфакторная аутентификация, черный список IP-адресов и сканер вредоносных программ и уязвимостей, помогают защитить более 4 миллионов сайтов, обнаружить миллионы вредоносных файлов и заблокировать их. а также миллиарды атак каждый год.
В нашем отчете Wordfence о состоянии безопасности WordPress за 2022 год мы сообщили, что наш брандмауэр заблокировал более 159 миллиардов атак с подстановкой украденных учётных данных, 23 миллиарда сканирований конфигурации и около 12 миллиардов атак на известные уязвимости. Вы также можете в режиме реального времени получить представление об объеме атак, которые мы блокируем, на панели управления Wordfence Intelligence.
Предположим, что безопасность сайта нарушена
Хотя это может показаться пессимистичным, «предполагать нарушение» — это критический подход в кибербезопасности, который предполагает планирование мер по смягчению последствий на случай взлома сайта. Для многих сайтов, даже самых защищенных, компрометация — это вопрос того, когда, а не если, и быстрое обнаружение инцидента является ключом к минимизации ущерба. Если ваш сайт был скомпрометирован, важно это выявить как можно скорее, чтобы не дать злоумышленнику набрать силу и повысить свои привилегии в системе. Хорошо продуманный план реагирования на инциденты бесполезен, если вы не знаете, что инцидент происходит.
Например, взлом Solarwinds оставался незамеченным более года, что позволило злоумышленникам заразить тысячи критически важных систем посредством атаки на цепочку поставок. При наличии надлежащего мониторинга безопасности и обнаружения это продолжавшееся год заражение могло быть обнаружено гораздо раньше и затронуло бы гораздо меньше систем. Это также подчеркивает, что даже те, кто стремится обеспечить максимальную безопасность, все еще могут иметь пробелы в системе защиты, из-за которых злоумышленник может прорвать оборону.
Многоуровневая защита
Ни одно решение никогда не будет идеальным, и невозможно полностью исключить риск, можно только управлять им. Один из наиболее эффективных способов управления риском — это многоуровневая защита, при которой обход любого уровня не позволяет злоумышленнику получить полный контроль. Вот почему, например, важно использовать как надежные пароли, так и многофакторную аутентификацию, а также почему резервное копирование важно, но не заменяет обнаружение вторжений.
Другим примером этого является контраст между облачными решениями и нашим брандмауэром веб-приложений: облачное решение хорошо подходит для обеспечения защиты от DDOS и блокировки некоторых типовых атак, в то время как наш WAF выигрывает от работы с плагином, поскольку он может блокировать атаки и специально предназначен для борьбы с уязвимостями WordPress без излишней блокировки законного трафика.
Наша команда внедрила сотни правил, которые используют уникальные возможности нашего брандмауэра веб-приложений. Многие из наблюдаемых нами уязвимостей, связанных с повышением привилегий и обходом аутентификации, имеют параметры и значения, которые требуют специального опыта и методов для адекватного блокирования. Например, многие уязвимости повышения привилегий, такие как та, которую мы обнаружили в теме JupiterX , используют административные функции, которые случайно были доступны пользователям с низким уровнем привилегий часто через AJAX-действия.
С помощью общего набора правил ModSecurity атаки этого типа невозможно заблокировать без полного нарушения большей части функций сайта. Даже самые продвинутые облачные брандмауэры, способные сканировать параметры POST путем терминирования TLS на границе, все равно не позволяют администраторам выполнять необходимые задачи. Благодаря нашим специальным правилам брандмауэра, брандмауэр Wordfence способен легко блокировать вредоносный трафик, не влияя на функциональность сайта, а благодаря нашим собственным исследованиям уязвимостей мы часто первыми выпускаем правила брандмауэра для новых критических уязвимостей.
Доверенное доверие
Часто упускаемая из виду концепция кибербезопасности — это проблема «доверия». В любой системе злоумышленник, который может запустить код, может подделать любой другой код, выполняющийся на том же уровне привилегий. Это часто используется в качестве аргумента против сканеров вредоносных программ на основе плагинов и, по общему признанию, представляет собой проблему, поскольку любой злоумышленник, способный скомпрометировать сайт до такой степени, что он может выполнить код, может запустить этот код на том же уровне привилегий, что и плагин.
Многие из наших пользователей устанавливают Wordfence после того , как узнали о взломе и успешно используют наш сканер для исправления. Большинство вредоносных программ все еще недостаточно сложны, чтобы избежать обнаружения таким образом, и даже вредоносное ПО, предназначенное для этого, часто не может полностью скрыть свои следы от обнаружения. Кроме того, согласно исследованиям, проведенным нашей командой среди злоумышленников WordPress, многие из них не желают или не могут разрабатывать собственные средства уклонения от обнаружения или платить за готовые решения.
Тем не менее, такое вмешательство становится все более распространенным, и ни один сканер на основе плагинов не застрахован от него, но наш сканер на основе плагинов по-прежнему надежно обнаруживает огромное количество вредоносных программ, и у нас есть телеметрия, чтобы доказать это — около 1 миллиона сайтов успешно использовали Wordfence для очистки от вредоносного ПО в 2022 году.
К счастью, даже самые хитроумно спроектированные вредоносные программы на основе файлов не могут успешно скрыться от сканера, в который они не могут вмешаться, а Wordfence CLI — эффективное решение для сайтов, которым необходим этот дополнительный уровень обнаружения.
Ответственное восстановление
Когда дело доходит до исправления ситуации, универсальный подход просто не работает. Многие сайты имеют уникальные потребности, собственный код или технический долг. Замена основных файлов и плагинов WordPress на известные чистые версии может решить многие проблемы, и наш сканер предлагает такую возможность, но многие заражения просто возникнут повторно, если не устранить основную причину. Инструменты для автоматизации исправления могут быть невероятно полезными, но полностью автоматизированное исправление может вызвать больше проблем, чем решить, обеспечивая при этом ложное чувство безопасности — окончательные решения по исправлению всегда должен принимать человек. Вот почему наши Wordfence Care и Wordfence Response предложения используют опытных аналитиков для очистки вашего веб-сайта и возвращения его в рабочее состояние, и мы настоятельно рекомендуем эти услуги менее опытным владельцам сайтов или владельцам сайтов, которые просто хотят доверить экспертам устранение проблем.
Постоянное улучшение
Наши сигнатуры вредоносных программ предназначены для обнаружения не только активных заражений, но также артефактов, создаваемых вредоносными программами, и других индикаторов компрометации. Наша команда специалистов постоянно отслеживает новые варианты вредоносного ПО и ежемесячно выпускает десятки новых сигнатур, чтобы не отставать от злоумышленников. Поскольку в наших сигнатурах используются тщательно составленные регулярные выражения, каждая сигнатура может обнаружить тысячи, а зачастую и миллионы уникальных вредоносных файлов.
В духе постоянного совершенствования мы запустили дополнительный удобный уровень безопасности с помощью нашего сканера Wordfence CLI. Хотя он предназначен для опытных пользователей и администраторов, он открывает новые возможности обнаружения, которые были недоступны с помощью нашего сканера-плагина.
Больше гибкости с помощью Wordfence CLI
Одним из наиболее частых запросов, которые мы получали на протяжении многих лет, была возможность запускать сканирование программно через командную строку, а не через плагин. Это не только снижает проблемы несанкционированного доступа и приводит к значительному повышению производительности, но также позволяет расширить возможности использования — вы можете использовать его для сканирования резервных копий за пределами корневого каталога веб-сайта, чтобы убедиться в их целостности перед их восстановлением, или для более тщательного сканирования базы данных, запуская его на экспортированных базах данных, поскольку сканирование действующих баз данных обычно требует чрезвычайно больших ресурсов. Вы можете использовать его для быстрого сканирования только файлов, которые были недавно изменены, передав результаты команды Linux find в сканер командной строки Wordfence, или исключить сигнатуры из сканирования в тех редких случаях, когда ваш собственный код обнаруживается одной из наших сигнатур.
Wordfence CLI имеет открытый исходный код и может быть полностью кастомизирован или разветвлен, и хотя наш базовый бесплатный набор сигнатур не может использоваться в коммерческих целях, он предназначен для обнаружения наиболее распространенных признаков компрометации, обнаруженных на более чем 90% всех зараженных сайтов. Имейте в виду, что большинство заражений включают в себя несколько вредоносных компонентов, поэтому для более комплексного сканирования и исправления мы рекомендуем наш набор коммерческих сигнатур, который обнаруживает более 18 миллионов уникальных вариантов действующего вредоносного ПО.
Заключение
В сегодняшней статье мы обсудили некоторые ключевые компоненты нашей стратегии по обеспечению безопасности веб-сайтов, включая пользовательский опыт, многоуровневую безопасность, предположение о взломе, проблему доверия, ответственное исправление и наше стремление к постоянному совершенствованию. Наша цель — обеспечить максимальную безопасность вашего веб-сайта, а это означает обеспечение безопасности, которую вы действительно будете использовать.
Хотя ни одно решение не обеспечивает идеальную защиту, Wordfence предлагает пакеты предотвращения, обнаружения и исправления, которые значительно улучшат вашу безопасность, оставаясь при этом совместимыми с другими решениями. С запуском Wordfence CLI теперь можно сканировать сотни или даже тысячи сайтов с помощью одной лицензии по конкурентоспособной цене, сохраняя при этом ресурсы сервера.
Источник: https://www.wordfence.com/blog/2023/09/malware-scanning-an-essential-layer-of-website-security/