Bezpečnost webů

Smutným faktem je, že velká část webových stránek zanedbává bezpečnost a řeší ji až v momentě bezpečnostního incidentu. Jako prevenci můžete využít zkušeností webových specialistů v Lyntu a nechat si zpracovat audit bezpečnosti Vašich stránek.

Z našich výzkumů vyplývá

42 %

českých e-shopů nepoužívá HTTPS nebo ho má špatně nastavené

32 %

českých e-shopů obsahuje bezpečnostní nedostatky různé závažnosti

10 %

českých e-shopů obsahuje kritické bezpečnostní chyby

25 %

webů v soutěži WebTop100 obsahuje kritické bezpečnostní chyby
Chci další čísla

přes 300 000

webů prozrazujících kompletní zdrojové kódy a citlivé údaje jsme našli jednoduchým scanem zranitelností

více než 25 000

pokusů o útok zablokujeme každý týden na jediném exponovanějším webu

téměř 2 000

českých WordPress webů bylo 1.9.2020 kompromitováno kvůli neaktualizované verzi nepotřebného pluginu WP File Manager

12 minut

trvá, než na nově spuštěný server v internetu začnou automatizované útoky

většina

WordPress webů nevědomky prozrazuje e-mailové adresy a jména svých uživatelů a komentujících návštěvníků

77 %

českých e-shopů naprosto ignoruje bezpečnostní HTTP hlavičky, které mohou snížit dopady incidentů

Bezpečnostní audit od Lyntu

Jako prevenci před budoucími bezpečnostními incidenty nabízíme službu auditu zabezpečení webových stránek. Tento audit je vhodný ve všech fázích života webu - od fází jeho návrhu, přes audit při spuštění, po pravidelné audity během jeho provozu.

Během auditu otestujeme odolnost webu proti běžným útokům, zkontrolujeme dodržování best practices, ověříme nastavení serveru a zhodnotíme nalezená rizika. Při auditu používáme jak automatizované nástroje (ať už z vlastní tvorby, nebo nástroje prověřené v bezpečnostních komunitách), tak podrobné manuální postupy pro vyhodnocení a ověření jejich výstupů a nalezení méně častých problémů.

Audit je možné provádět jako tzv. blackbox audit, nebo whitebox audit. V prvním případě se chováme jako reálný útočník, který na startu o Vašem webu a infrastruktuře nic neví. V případě whitebox auditu od Vás potřebujeme práva k přístupu do aplikace a k souborům webu - díky tomu můžeme odhalit mnohem více chyb v kratším čase. Můžeme však samozřejmě použít oba postupy.

Každý rok odhalíme a nahlásíme kritické bezpečnostní problémy na tisícovkách webů.

sec-audit

Dopady bezpečnostních incidentů

Únik citlivých a osobních informací 

Útočníci mohou získat veškeré údaje, které evidujete o Vašich zákaznících. Mohou však získat i přístup k citlivým dokumentům, které nejsou dostupné ve veřejné části webu. Z kompromitovaných webů často získají i přístupové údaje a tokeny k nejrůznějším dalším službám, které na webu využíváte. Pokud nepoužíváte silné hashování hesel a nedbáte na jejich sílu, mohou útočníci získat hesla Vašich uživatelů a pokusit se je použít v jiných službách. Jménem Vaší domény se mohou také pokusit o cílený phishing na další zaměstnance.

Poškození důvěryhodnosti reputace

Bezpečnostní incident může mít ohromný dopad na Vaši důvěryhodnost, kterou jste si u svých klientů dlouho budovali. Opětovné obnovení důvěry a reputace může být během na dlouhou trať.

Finanční ztráty

Dopady kybernetických útoků mohou mít velké přímé i nepřímé finanční dopady. Vaše služba může být mimo provoz i několik dní. Pokud nemáte dobře vyřešené zálohování, mohla být některá data nenávratně ztracena. Malware mohl být na webu klidně i několik měsíců a během té doby mohl část Vašich návštěvníků přesměrovávat na cizí stránky.  Odstranění malware je často časově náročná činnost, která vyžaduje odborný zásah.

Právní problémy

Podle GDPR musí při zpracování osobních údajů správce zajistit jejich bezpečnost. Pokud dojde k úniku dat, vystavujete se pokutě až 20 milionů EUR či 4 % z celkových tržeb. Máte také povinnost jakýkoliv únik osobních údajů hlásit Úřadu pro ochranu osobních údajů do 72 hodin. Pokud provozujete službu pro další subjekty, máte dále jako provozovatel odpovědnost za způsobenou škodu.

Ukázka malware přesměrování na cizí stránku.
Ukázka reálného phishingu - z emailu ředitele se útočník snaží donutit účetní k zaplacení své faktury.

Audit bezpečnosti Vám pomůže minimalizovat rizika.

Poptat audit

Orientační ceny auditu

Cena se může lišit dle velikosti a složitosti projektu a nutnosti případných dalších konzultací nad výsledky.

Základní audit

10 - 15 000 Kč bez DPH
rozsah 6 - 8 hodin

Audit se zaměřuje na nejčastější chyby a jeho součástí jsou:

  • Identifikace technologií.
  • Audit běžných chyb.
  • Dodržování základních best practices.

Standardní audit

20 - 30 000 Kč bez DPH
rozsah 10 - 18 hodin

Během auditu se zkoumá chování aplikace a aktivně se vyhledávají slabá místa. Součástí auditu jsou:

  • Podrobná identifikace technologií.
  • Podrobný audit běžných chyb.
  • Dodržování best practices.
  • Audit běhového prostředí aplikace.
  • Základní analýza zdrojového kódu.

Rozšířený audit

45 000 + Kč bez DPH
rozsah 25+ hodin

Komplexní audit celé aplikace, zdrojových kódů, běhového prostředí, vývojových procesů i souvisejících rizik.

  • Podrobná identifikace technologií.
  • Podrobný audit běžných chyb.
  • Dodržování best practices.
  • Podrobný audit běhového prostředí aplikace.
  • Analýza zdrojového kódu.
  • Audit procesů a souvisejících rizik.
Poptat audit

Základní

15 - 20 000
Kč bez DPH

Standardní

25 - 35 000
Kč bez DPH

Rozšířený

50 000+
Kč bez DPH
Identifikace technologií
Audit běžných chyb
Dodržování best practices
Audit prostředí
Audit zdrojového kódu
Analýza souvisejících rizik
Odhad časové náročnosti
6 - 8 hodin
10 - 18 hodin
25+ hodin

Výstupy z auditu

Standardní výstup

  • tabulka s výsledkem provedených testů
  • krátká zpráva se základním popisem největších problémů
  • zhodnocení stavu webu a doporučení dalších kroků

Rozšiřující služby

  • podrobná online konzultace výsledků
  • vytvoření kompletní zprávy s doporučeními
  • dohled na realizací oprav

Rozšiřující služby jsou účtovány hodinovou sazbou 1800 Kč bez DPH.

audit-tabulka

Oblasti nejčastějších problémů

Chyby v aplikaci

  • Neošetřené vstupy
  • Neprodukční soubory
  • Špatná oprávnění
  • Slabá/výchozí hesla
  • Neaktualizované knihovny
  • Bad Practices

Problémy prostředí

  • Výpisy složek
  • Zobrazení chybových hlášek
  • Špatná izolace webů
  • Zpřístupnění neveřejných částí
  • Neaktualizované komponenty
  • Nešifrované protokoly
  • Služby na dalších portech

Zanedbaná prevence

  • Bezpečnostní hlavičky
  • Hashování hesel
  • Nevhodné role uživatelů
  • Neblokování podezřelých požadavků
  • Nefunkční zálohování

Naše přednášky a články

Celý playlist bezpečnostních přednášek a materiály z nich.

Články

Další články o bezpečnosti na našem blogu.

Kdo audit provádí?

Specialista na bezpečnost

Ing. Vladimír Smitka

Za provádění bezpečnostních auditů je v Lyntu zodpovědný Vláďa Smitka.
Vláďa se zabývá počítačovými sítěmi, konfigurací linuxových serverů a webovým vývojem už od roku 2003. O bezpečnosti přednášel na desítkách českých i světových konferencích, několik let dělal porotce pro technické zpracování webů v soutěži WebTop100 a má za sebou nalezení a nahlášení chyb na stovkách tisíc webů.
Více o Vláďovi

Poptávka auditu

Co se bude dít?

  • Využijte kontaktní formulář, nebo další možnosti kontaktu.
  • V ideálním případě vyplňte i název webu a další technické detaily projektu, abychom ho mohli zběžně prohlédnout před domluvou dalšího postupu.
  • Pokud potřebujete pro zahájení spolupráce NDA, máme smlouvu připravenou k vyplnění online.
  • V případě, že aktuálně řešíte bezpečnostní incident, dejte nám o této skutečnosti vědět, abychom společně mohli co nejdříve nasadit protiopatření.
  • Společně si domluvíme rozsah auditu a odhadneme časovou náročnost.
  • Vyměníme si potřebné přístupy (to lze bezpečně např. pomocí keybase, PGP nebo pomocí bezpečných jednorázových odkazů).
  • Pustíme se do auditu a typicky během několika pracovních dní poskytneme první výstupy.
  • Po dokončení auditu obdržíte report s nalezenými problémy a doporučení, jak dále postupovat.
  • Pokud potřebujete, můžeme si domluvit online schůzku, kde výstupy podrobně probereme.
  • Můžeme dohlédnout nad realizací oprav a pomoci s jejich nasazením.

    Lynt services s.r.o

    Již 12 let vytváříme efektivnější kampaně, zrychlujeme weby a řešíme jejich bezpečnost. Kombinujeme marketing, vývoj a automatizaci.
    poptávka služeb
    sunmooncloud