Красный сигнал тревоги, повышенная боевая готовность - работает команда безопасности Joomla.
Веб-сайт на базе CMS содержит все компоненты для того, чтобы превратить жизнь команды ИТ-безопасности в кошмар: он общедоступен, работает на мощных компьютерах с отличными возможностями подключения, а базовая система имеет открытый код и широко используется по всему миру, что делает её привлекательной целью для злоумышленников.
Команда Joomla Security Strike Team (JSST) работает над тем, чтобы этот кошмар не стал реальностью для пользователей Joomla.
Работа команды безопасности
Как и любая другая команда в проекте Joomla, JSST - это команда добровольцев, которая распределена по всему миру. В нашем случае это географическое распределение очень важно, потому что бизнес по обеспечению безопасности часто критичен во времени - наличие членов из разных часовых поясов является здесь большим преимуществом, поскольку позволяет команде «дежурить» практически круглосуточно.
Работа команды распределена по четырем направлениям:
- Мониторинг: члены команды управляют десятками тщательно отслеживаемых сайтов, чтобы как можно быстрее узнавать о новых сценариях атак. К счастью, это зондирование редко востребовано, потому что 99% всех проблем безопасности передаются команде конфиденциально, что приводит нас к следующей задаче.
- Обработка проблем: когда сообщается о новой проблеме безопасности, прежде всего это сообщение должно быть подтверждено. После того, как это было сделано, команда начинает углубляться в детали, чтобы проверить проблему и определить, насколько она опасна. Последняя часть чрезвычайно важна, потому что часто сообщения о проблемах в безопасности являются лишь «верхушкой айсберга», а основная причина - другая. Можно с гордостью сказать, что здесь JSST проделывает фантастическую работу, следя за тем, чтобы проблемы были исправлены должным образом.
- Исправление проблемы: после того, как выявлена основная проблема, необходимо разработать и протестировать исправление. Серьёзный вызов заключается в том, чтобы протестировать как можно больше сценариев с очень маленькой командой и без возможности получить обратную связь от третьих лиц (например, разработчиков расширений).
- Проактивные аудиты: перед тем, как новые возможности будут объединены с ядром, JSST выполняет автоматические и ручные проверки нового кода, включенного в эту возможность. Это отличный способ решения проблем еще до того, как они возникнут.
Общение является ключевым
Помимо технической части, работа JSST в основном связана с постоянным общением с различными партнерами.
Первая группа партнеров - исследователи безопасности.
Они постоянно ищут неизвестные проблемы в ядре Joomla, симулируют атаки и сообщают об угрозах проекту. К счастью, предоставления этих сообщений в частном порядке стало промышленным стандартом, чтобы дать поставщику (в данном случае CMS) достаточно времени, чтобы исправить проблему и выпустить защищенную версию. Этот процесс, называемый ответственным раскрытием, работает замечательно, и невозможно не поблагодарить исследователей за то, что они оказывают такую профессиональную поддержку. В обмен на эти сообщения исследователи, как правило, ожидают некоторой «публичности» (предоставляемой путем упоминания в объявлениях по безопасности) и, что наиболее важно, они ожидают некоторой оценки и общения один на один. Последнее, казалось бы, должно быть легко достижимым, но удивительно, что это не так во многих закрытых проектах и проектах с открытым исходным кодом. Поэтому Joomla часто получает положительные отзывы за общение с исследователями.
Вторая группа партнеров за последние пару лет изменила правила игры для JSST: веб-хостинги!
В мире Joomla мы часто видим, как многие сайты взламываются после критических релизов, потому что владельцы сайтов Joomla не обновляют свои установки вовремя - «вовремя» - вот интересная часть, потому что для действительно критических атак у пользователя может быть немногим более чем 10 часов до начала первых автоматических атак. Для решения проблемы медленно обновляющихся пользователей, команда безопасности предоставляет не только актуальный патч, но и инструкции о том, как отфильтровать потенциальные атаки с помощью мер на стороне сервера. Эта информация отправляется многочисленным веб-хостерам, компаниям по обеспечению безопасности и поставщикам CDN по всему миру в то же время, когда происходит релиз, чтобы позволить этим компаниям защитить миллионы пользователей, просто добавив правило фильтрации одним щелчком мыши.
И последнее, но не менее важное: команде также необходимо общаться с сообществом Joomla. Им нужно связываться с командой CMS Maintainer для координации выпусков безопасности, работать вместе с командой маркетинга, чтобы убедиться в том, что важная информация попадает к пользователям. Они также обучают пользователей и разработчиков по темам, связанным с безопасностью, чтобы в целом поднять осознание важности надлежащих мер безопасности.
Joomla серьезно относится к безопасности
JSST несет огромную ответственность. Их задача - защитить миллионы веб-сайтов от атак, не отставая от постоянно возникающих новых сценариев угроз. С гордостью можно сказать, что команда очень серьезно относится к этой обязанности и проделывает большую работу, не только занимая пассивную роль и исправляя сообщенные проблемы, но и активно делая CMS более безопасной. Благодаря ручным и автоматическим аудитам, улучшениям мониторинга и архитектурной безопасности для новых основных версий они стараются решать проблемы до их появления.