БЕЗОПАСНОСТЬ ИНТЕРНЕТ-ПРОЕКТОВ. СТАТИСТИКА WASC: Кого чаще атакуют? 1 место – правительственные сайты 2 место – сайты, посвящённые образованию 3 место.

Презентация:



Advertisements
Похожие презентации
Создание безопасных Веб-приложений Алексей Кирсанов ведущий разработчик компании «Битрикс»
Advertisements

Практика противодействия сетевым атакам на интернет-сайты Сергей Рыжиков директор ООО «Битрикс» РИФ-2006 Секция «Информационная безопасность»
Миронов Денис директор ООО «Немесис» СПКИР-2006 Секция «Безопасность в Интернете» Безопасность Интернет-проектов.
Семинар 1С-Битрикс, 9 апреля 2009 г. Москва Современные web-уязвимости и угрозы для web-ресурсов Максим Фролов менеджер по интернет-решениям ЗАО Лаборатория.
11 класс (c) Angelflyfree, Основные определения Защита информации – это комплекс мероприятий, направленных на обеспечение информационной безопасности.
11 класс (c) Angelflyfree, Основные определения Защита информации – это комплекс мероприятий, направленных на обеспечение информационной безопасности.
Безопасность веб-проектов Защита сайтов от взломов и атак Сергей Рыжиков директор компании «Битрикс»
Для торжества зла достаточно чтобы достойные люди бездействовали. Оценка существующих угроз безопасности, методов профилактики и противодействия для массовых.
Интенсивное развитие компьютерных сетей делает особенно актуальной проблему анализа работы сетей. Трафик сети является одним из важнейших фактических.
Хакерские утилиты и защита от них. СЕТЕВЫЕ АТАКИ Сетевые атаки - направленные действия на удаленные сервера для создания затруднений в работе или утери.
Защита информации. Информационная безопасность это защищенность информации от любых действий, в резуль­тате которых информация может быть искажена или.
Основные понятия информационной безопасности Выполнила: студент ВМИ-256, Майя Кутырева Проверила: Анастасия Валерьевна Шамакина, программист отдела распределенных.
Хакерские утилиты и защита от них Работа выполнена Миненко Еленой ученицей 10 Б класса.
CNStats © 2008 современное решение для сбора и анализа статистики посещаемости сайта Почему именно CNStats ?
Тема: Информационная безопасность. Информационная среда - Это совокупность условий, средств и методов на базе компьютерных систем, предназначенных для.
Информационная безопасность школы Докладчик: Суслов Кирилл Андреевич.
Оберегая действительно ценное Современные технологии защиты баз данных Дмитрий Пудов, Angara Technologies Group.
Д ипломная работа Федеральное агентство по образованию Тамбовский государственный университет имени Г.Р. Державина Институт открытого образования Кафедра.
CMS Битрикс является универсальным продуктом для создания сайта. Простой и адаптационный интерфейс позволяют даже неподготовленному человеку работать с.
О безопасности сайта думают в последнюю очередь! индивидуальные разработчики думают о безопасности сайтов в самую последнюю очередь клиенты не готовы платить.
Транксрипт:

БЕЗОПАСНОСТЬ ИНТЕРНЕТ-ПРОЕКТОВ

СТАТИСТИКА WASC: Кого чаще атакуют? 1 место – правительственные сайты 2 место – сайты, посвящённые образованию 3 место – медиа-сайты и магазины данные из отчёта Breach и WASC за 2007 год

Конфиденциальность - данные доступны только тем людям, для которых они предназначены Целостность - данные и системные ресурсы изменяются только надлежащим способом и только надлежащими людьми Доступность - системы готовы к работе по требованию и обеспечивают приемлемую производительность БЕЗОПАСНОСТЬ КонфиденциальностьЦелостностьДоступность

ПРИЧИНЫ УЯЗВИМОСТИ САЙТОВ ТЕХНИЧЕСКИЕ АСПЕКТЫ 1. Несовершенство протокола HTTP нет сохранения состояния, все данные, в том числе и данные авторизации передаются заново => появляется возможность подлога. 2. Взлом сайта открывает дорогу ко взлому самого сервера => веб-приложение - «лакомый кусок» для атакующего. 3. Необходимость оставлять неавторизованный доступ по крайней мере к главной странице сайта.

ПРИЧИНЫ УЯЗВИМОСТИ САЙТОВ ЧЕЛОВЕЧЕСКИЙ ФАКТОР 1. Ошибки в исходном коде продукта 2. Небрежность системных администраторов: - нестойкие пароли - политика безопасности, идущая не от запретов. 3. Доступность и обилие информации по взлому сайтов.

Потенциальные угрозы Атака на серверное ПО получение доступа к серверу или отказ в обслуживании. Атака на систему управления- получение контроля над сайтом и дальнейший взлом сервера Атака на стороннее веб- приложение получение контроля над сайтом с последующим взломом сервера.

Минимальный – получение доступа к не конфиденциальной информации, к которой не санкционирован доступ, возможность создания косметических проблем и помех в работе проекта. Средний уровень – получение частичного доступа к конфиденциальной информации, частичный обход системы авторизации расширяющий полномочия. Высокий уровень – полный обход системы авторизации, получение неограниченного доступа к системе или приложению, возможность запуска несанкционированных приложений, возможность просмотра или подмены конфиденциальной информации. Каков риск?

Кто они? Скрипт-кидди (script-kiddie) – в основном, подростки лет. Взлом как самоутверждение. Используют уже готовые эксплоиты для атак. Неспособны сами что- либо сделать. Максимальный ущерб – дефейс страниц сайта. Любители-идеалисты («white hat») – как правило, студенты в возрасте года либо молодые специалисты. Взлом интересен как процесс. Часто сообщают о взломе и о найденных дырах. Пользы больше, чем вреда. Этическая сторона взлома важнее наживы. Вандалы («black hat») - тоже молодые специалисты либо студенты. Взлом ради нанесения вреда. Максимальный ущерб – от порчи данных до полного удаления страниц сайта/базы данных Профессионалы («grey hat») - опытные хакеры. Взлом интересует только с коммерческой точки зрения. Как правило, ломают на заказ. Ущерб максимальный: от разрушения сайта до кражи важной информации.

Что им нужно? 1. Коммерческая информация номера кредитных карт покупателей, пароли и номера кошельков с электронной валютой и т. п. 2. Личная информация номера паспортов, адреса, имена, телефоны. Предмет особой ценности адреса электронной почты. 3. Секретная информация финансовые отчёты, бизнес- планы, документы, письма, базы данных и т. п.

Как они это делают? 1. Бреши в серверном программном коде и в запросах к базе данных 2. Недостаточная фильтрация данных, поступающих от пользователя. 3. «Слабые» пароли (легко подобрать).

Не экономьте на безопасности! Взлом сайта чреват не только простоем и потерей покупателей (а значит, и денег), взлом это удар по имиджу компании!

Для защиты инфосреды веб-проекта необходимо использовать специальные средства мониторинга и моделирования атак Обязателен аудит кода веб-приложения. Желательно аудит поручать независимым компаниям Как защититься?

Разработка механизмов безопасности должна быть включена в весь цикл разработки приложения Определение потенциальных проблем. Моделирование угроз. Минимально необходимые привилегии Надежный код Отслеживание и сохранение действий пользователя Разумное использование криптографии Основные принципы безопасности

Моделирование угроз – изучение архитектуры приложения и его составных частей с целью обнаружения и устранения проблем безопасности Моделирование позволяет оперативно обнаружить и устранить возможные каналы атаки, а также непрерывно поддерживать должный уровень безопасности Моделирование угроз можно выполнять как вручную, так и с помощью специализированных средств – сканеров безопасности (Xspider, Tennable Nessus и им подобные) Моделирование угроз

Обеспечение безопасности информационной среды - задача сложная и ответственная. Для обеспечения более высокого уровня безопасности ваших интернет-проектов необходимо комплексно подойти к обеспечению безопасности Информационной среды и веб-приложений. Проще не допустить, чем восстановить! Своевременно устанавливайте обновления продуктов Проводите аудит безопасности у независимых компаний Проверяйте системные логи Подпишитесь на рассылку новостей безопасности

СПАСИБО ЗА ВНИМАНИЕ!