Актуальные подходы к защите веб-ресурсов — одна из важных тем Форума ГосСОПКА. Ведущий сессии «Атака на наш веб, о которой хочется рассказать», заместитель генерального директора компании «Перспективный мониторинг» Александр Пушкин поделился с читателями BIS Journal мнением о том, почему атаки на веб-ресурсы всё ещё остаются проблемой, несмотря на понятные средства защиты от них, и какой должна быть отправная точка в расследовании.
Эксперт пояснил, где проходит граница между оправданной локальной блокировкой и ущербом для бизнеса, а также чем полезно обсуждение реальных кейсов атак на веб-ресурс в профессиональном сообществе.
Национальный координационный центр по компьютерным инцидентам (НКЦКИ) проведёт Форум ГосСОПКА 14–15 апреля 2026 года в кластере «Ломоносов» (Москва). Оператором мероприятия выступает Медиа Группа «Авангард». Основные задачи форума — это обсуждение практических и правовых вопросов функционирования ГосСОПКА, взаимодействие и консолидация опыта между госорганами, центрами ГосСОПКА и представителями ключевых сфер экономики РФ. В рамках сессии «Атака на наш веб, о которой хочется рассказать», организованной компанией «Перспективный мониторинг», участники разберут реальные атаки на веб-ресурсы, методы их выявления, артефакты инцидентов и решения, которые помогают повысить устойчивость веб-инфраструктуры.
Роль взаимодействия в рамках ГосСОПКА сегодня определяется не только нормативной логикой, но и самой природой современных атак, утверждает Александр Пушкин. В условиях, когда многие участники системы не имеют достаточно ресурсов и видимости для обнаружения сложных атак, система выступает как координатор, центр компетенций и регулятор. А площадка по типу Форума ГосСОПКА становится местом, где можно сопоставить практический опыт, выявить слабые места текущего взаимодействия и наметить способы их устранения.
Атаки на веб продолжают требовать пристального внимания специалистов. Александр Пушкин отмечает, что наличие средств защиты не спасает от инцидентов — в связи с высокой скоростью развития, усложнением и распространением веб-технологий. Поэтому формальное применение защитных средств должно уступить место развитию устойчивых подходов к обнаружению, расследованию и принятию решений по итогам инцидента.
Полностью блокировать все атаки на конкретный веб-ресурс не способен даже корректно настроенный межсетевой экран для веб-приложений (WAF). Это связано с развитием методик обхода WAF, включая автоматизированные сценарии WAF bypass, а также с распределением атак на несколько запросов. Межсетевому экрану очень сложно отличить случайную ошибку с кодом 404 от целенаправленного поиска. Атака вроде бы тривиальна, но когда утекает полный архив сайта со всеми логинами и паролями, то угроза перестаёт быть такой незначительной.
При этом в стандартных логах веб-сервера есть вся необходимая информация для того, чтобы определить и направление атаки, и на какие элементы она направлена, и насколько она успешна. Таким образом, полезным шагом для большинства крупных организаций и субъектов КИИ может стать системный анализ стандартных журналов веб-серверов — потенциал его применения во многих компаниях остаётся нераскрытым.
Эксперт высказался о том, когда и в какой форме оправдана блокировка атакуемой части веб-ресурса. Локальные ограничения могут быть уместны, когда угроза связана с конкретным компонентом — например с уязвимым модулем CMS. Чтобы свести к минимуму угрозу успешных атак, достаточно ограничить доступ к этому компоненту средствами межсетевого экрана или непосредственно веб-сервера. Часть функционала будет утрачена, но в целом сайт продолжит работу, причём может оказаться, что заблокированный модуль мало кому был нужен. Если же в таком сценарии пойти на ограничение доступа ко всему ресурсу, это создаст риск ущерба для бизнеса.
В качестве примера Александр Пушкин привёл кейс интернет-магазина по продаже авиабилетов. Сайт магазина содержал блог на базе Wordpress, использовавший определённый плагин. Когда появился эксплойт для этого модуля с удалённым выполнением кода (RCE), было решено не отключать сайт и даже не закрывать блог. Вместо этого команда заблокировала уязвимый плагин в административной панели, а затем по логам убедилась, что никто не успел проэксплуатировать его. Этот подход, по сути, позволил локализовать риск с минимальным воздействием на сервис, и при этом полагаться на артефакты инцидента, а не на избыточно жёсткие предположения.
— Существует много ситуаций, когда в одиночку организация практически не в состоянии противостоять угрозам атак на ИТ-инфраструктуру. В таких случаях необходимы сотрудничество, координация и взаимопомощь на уровне отрасли или в масштабах всей страны. ГосСОПКА выступает таким координатором, центром компетенций и регулятором.
Одной из самых острых тем, по моему мнению, остаются атаки на веб. Проблема известна давно, есть понятные и широко применяемые средства защиты, но инциденты продолжают возникать и, скорее всего, никуда не исчезнут.
На сессии «Атака на наш веб, о которой хочется рассказать» мы разберём не только технические детали реальных атак, но и организационные аспекты реагирования: насколько выстроено взаимодействие подразделений, как принимаются решения и где возникают узкие места. Для участников это возможность посмотреть на инцидент целиком — от выявления до практических выводов по повышению защищённости веб-ресурса.
Больше практических разборов компьютерных атак, подходов к их обнаружению, расследованию инцидентов и взаимодействию в рамках ГосСОПКА будет представлено на Форуме ГосСОПКА 14–15 апреля 2026 года в кластере «Ломоносов» в Москве. Зарегистрироваться можно на сайте форума, а актуальная программа доступна по ссылке.
