'

Основные мифы безопасности бизнес-приложений

Понравилась презентация – покажи это...





Слайд 0

Основные мифы безопасности бизнес-приложений Илья Медведовский, к.т.н., директор Digital Security


Слайд 1

© 2002—2010, Digital Security Основные мифы безопасности бизнес-приложений Digital Security 2 Обеспечение безопасности корпоративных бизнес-приложений — это одна из важнейших задач современного бизнеса


Слайд 2

© 2002—2010, Digital Security Миф 1. Бизнес-приложение является внутренним — значит у нас не может быть проблем из сети Интернет 3 Взгляд с точки зрения бизнеса: Наиболее характерен для внутренних корпоративных ERP систем Бизнес наивно полагает, что ERP система не подключена к Интернет бизнес давно вышел за рамки внутренней среды Интеграция с удаленными офисами Интеграция с партнерами, поставщиками, закупщиками Практически все системы класса ERP так или иначе предоставляют доступ из сети Интернет Даже если приложение внутреннее, то вовсе не означает, что в него невозможно проникнуть из Интернета Основные мифы безопасности бизнес-приложений


Слайд 3

© 2002—2010, Digital Security Миф 1. Бизнес-приложение является внутренним — значит у нас не может быть проблем из сети Интернет 4 Взгляд с технической точки зрения: Проще атаковать пользователей Связь соц. инженерии с программными уязвимостями в популярных браузерах в ERP системах Существует возможность, позволяющая проникнуть в ИС компании, с целью передачи критичных данных из SAP системы через уязвимости клиентских утилит SAP Если к ERP системе предусмотрен доступ из Интернет Аналогично любой другой доступной в Интернет системе Множество уязвимостей, присущих веб-приложениям Основные мифы безопасности бизнес-приложений


Слайд 4

© 2002—2010, Digital Security Миф 2. Безопасность бизнес-приложений — это проблема производителя 5 Следует четко понимать, что безопасность приложения — это проблема бизнеса, никоим образом не имеющая отношения к производителю Основные мифы безопасности бизнес-приложений С каких пор производитель несет ответственность за инциденты? Производитель продает лицензию — его ответственность явно указана в лицензионном соглашении Вопросы безопасности не являются конкурентным преимуществом


Слайд 5

© 2002—2010, Digital Security 6 Миф 2. Безопасность бизнес-приложений — это проблема производителя Основные мифы безопасности бизнес-приложений Программные ошибки Архитектурные ошибки Ошибки конфигурации Проблемы человеческого фактора Проблемы безопасности: { { производитель администратор разработка и администрирование администрирование } }


Слайд 6

© 2002—2010, Digital Security Миф 3. Бизнес-приложения плохо изучены — значит нам ничего не грозит 7 Взгляд с точки зрения бизнеса: часто располагаются внутри корпоративной сети разработчики, думают что их система является внутренней (миф 1), сложной и недоступной и не обращают внимания на вопросы обеспечения безопасности Основные мифы безопасности бизнес-приложений Безопасность бизнес-приложений, по определению, на несколько порядков ниже, чем безопасность типовых ОС и ПО


Слайд 7

© 2002—2010, Digital Security Миф 3. Бизнес-приложения плохо изучены — значит нам ничего не грозит 8 Взгляд с технической точки зрения: В популярных ОС и приложениях ежемесячно находятся уязвимости, так как они находятся под постоянным прицелом хакеров В итоге популярные приложения так или иначе становятся безопаснее Внутренние бизнес-приложения закрыты для посторонних глаз Иллюзия защищенности «безопасно, потому что засекречено» Как только внутренние бизнес-приложения попадают во внешнюю сеть, или злоумышленник сталкивается с ними, то иллюзии исчезают За время работ по анализу защищенности различных специфичных бизнес-приложений, мы находили множество тривиальных и крайне опасных уязвимостей в архитектуре безопасности, которые редко встречаются в популярных продуктах Основные мифы безопасности бизнес-приложений


Слайд 8

© 2002—2010, Digital Security Миф 4. Безопасность ERP — это матрица SOD. У нас есть SOD — у нас нет проблем с безопасностью 9 Взгляд с точки зрения бизнеса: Самый типовой и крайне опасный миф: безопасность ERP = матрица SOD Разве установка правильных прав пользователей на контроллере домена является панацеей для безопасности информационной системы в целом? ERP система только с матрицей SOD = дорогие стальные ворота с дорогой современной системой контроля доступа и видеонаблюдения, установленные в чистом поле Основные мифы безопасности бизнес-приложений


Слайд 9

© 2002—2010, Digital Security Миф 4. Безопасность ERP — это матрица SOD. У нас есть SOD — у нас нет проблем с безопасностью 10 Взгляд с технической точки зрения: Необходимо рассматривать различные уровни: Сетевой уровень Уровень операционной системы Уровень СУБД Уровень самого бизнес-приложения или ERP-системы Уровень дополнительных компонентов и веб-приложений Уровень клиентских компонентов ERP-системы Недостатки хотя бы на одном из данных уровней могут привести к полной компрометации системы, даже в случае идеально настроенной матрицы SOD Рассматривая безопасность бизнес-приложений, нужно рассматривать систему в комплексе Основные мифы безопасности бизнес-приложений


Слайд 10

© 2002—2010, Digital Security Итоги 11 Основные мифы безопасности бизнес-приложений С одной стороны: Бизнес-приложения являются основной всего бизнеса компании С другой стороны: На лицо тотальное недоценивание как производителями, так и потребителями вопросов, связанных с информационной безопасностью бизнес-приложений


Слайд 11

© 2002—2010, Digital Security Статистика уязвимостей в популярных бизнес-приложениях за 2009 год 12 Основные мифы безопасности бизнес-приложений Всего опубликовано Обнаружены Digital Security Опубликованы Digital Security SAP 14 11 7 Oracle 114 12 5 За время работы с 2007 года специалистами DSecRG было проведено большое количество исследований, в том числе: за 2008 год было написано и опубликовано 41 уведомление о безопасности, содержащее 225 уязвимостей; за 2009 год было написано 64 уведомления о безопасности, содержащих 155 уязвимостей. Из них 37 было опубликовано.


Слайд 12

© 2002—2010, Digital Security Пример проникновения в корпоративную сеть через приложение 13


Слайд 13

© 2002—2010, Digital Security Проникновение в SAP 14


Слайд 14

© 2002—2010, Digital Security Распространение прав 15


Слайд 15

© 2002—2010, Digital Security Итоги проникновения 16 Получен доступ к 80% SAP систем компании из сети Интернет, даже не используя «продвинутые» методы атак! В ходе проникновения были использованы только уязвимости SAP систем Сценарий проникновения инвариантен относительно ПО, оборудования и инфраструктуры компании Несмотря на безопасные настройки КИС, успех данного сценария атаки был обусловлен отсутствием должного внимания к безопасности бизнес-приложений SAP


Слайд 16

© 2002—2009, Digital Security Вопросы 17 Наши ресурсы: www.dsec.ru www.dsecrg.ru www.pcidss.ru Основные мифы безопасности бизнес-приложений


×

HTML:





Ссылка: