'

БЕЗОПАСНОСТЬ ИНТЕРНЕТ-ПРОЕКТОВ

Понравилась презентация – покажи это...





Слайд 0

БЕЗОПАСНОСТЬ ИНТЕРНЕТ-ПРОЕКТОВ


Слайд 1

СТАТИСТИКА WASC: Кого чаще атакуют? 1 место – правительственные сайты 2 место – сайты, посвящённые образованию 3 место – медиа-сайты и магазины данные из отчёта Breach и WASC за 2007 год


Слайд 2

Конфиденциальность - данные доступны только тем людям, для которых они предназначены Целостность - данные и системные ресурсы изменяются только надлежащим способом и только надлежащими людьми Доступность - системы готовы к работе по требованию и обеспечивают приемлемую производительность БЕЗОПАСНОСТЬ Конфиденциальность Целостность Доступность


Слайд 3

ПРИЧИНЫ УЯЗВИМОСТИ САЙТОВ ТЕХНИЧЕСКИЕ АСПЕКТЫ 1. Несовершенство протокола HTTP — нет сохранения состояния, все данные, в том числе и данные авторизации передаются заново => появляется возможность подлога. 2. Взлом сайта открывает дорогу ко взлому самого сервера => веб-приложение - «лакомый кусок» для атакующего. 3. Необходимость оставлять неавторизованный доступ по крайней мере к главной странице сайта.


Слайд 4

ПРИЧИНЫ УЯЗВИМОСТИ САЙТОВ ЧЕЛОВЕЧЕСКИЙ ФАКТОР 1. Ошибки в исходном коде продукта 2. Небрежность системных администраторов: - нестойкие пароли - политика безопасности, идущая не от запретов. 3. Доступность и обилие информации по взлому сайтов.


Слайд 5

Потенциальные угрозы Атака на серверное ПО — получение доступа к серверу или отказ в обслуживании. Атака на систему управления- получение контроля над сайтом и дальнейший взлом сервера Атака на стороннее веб-приложение — получение контроля над сайтом с последующим взломом сервера.


Слайд 6

Минимальный – получение доступа к не конфиденциальной информации, к которой не санкционирован доступ, возможность создания косметических проблем и помех в работе проекта. Средний уровень – получение частичного доступа к конфиденциальной информации, частичный обход системы авторизации расширяющий полномочия. Высокий уровень – полный обход системы авторизации, получение неограниченного доступа к системе или приложению, возможность запуска несанкционированных приложений, возможность просмотра или подмены конфиденциальной информации. Каков риск?


Слайд 7

Кто они? Скрипт-кидди (script-kiddie) – в основном, подростки 15-18 лет. Взлом как самоутверждение. Используют уже готовые эксплоиты для атак. Неспособны сами что-либо сделать. Максимальный ущерб – дефейс страниц сайта. Любители-идеалисты («white hat») – как правило, студенты в возрасте 19-24 года либо молодые специалисты. Взлом интересен как процесс. Часто сообщают о взломе и о найденных дырах. Пользы больше, чем вреда. Этическая сторона взлома важнее наживы. Вандалы («black hat») - тоже молодые специалисты либо студенты. Взлом ради нанесения вреда. Максимальный ущерб – от порчи данных до полного удаления страниц сайта/базы данных Профессионалы («grey hat») - опытные хакеры. Взлом интересует только с коммерческой точки зрения. Как правило, ломают на заказ. Ущерб максимальный: от разрушения сайта до кражи важной информации.


Слайд 8

Что им нужно? 1. Коммерческая информация — номера кредитных карт покупателей, пароли и номера кошельков с электронной валютой и т. п. 2. Личная информация — номера паспортов, адреса, имена, телефоны. Предмет особой ценности — адреса электронной почты. 3. Секретная информация — финансовые отчёты, бизнес-планы, документы, письма, базы данных и т. п.


Слайд 9

Как они это делают? 1. Бреши в серверном программном коде и в запросах к базе данных 2. Недостаточная фильтрация данных, поступающих от пользователя. 3. «Слабые» пароли (легко подобрать).


Слайд 10

Не экономьте на безопасности! Взлом сайта чреват не только простоем и потерей покупателей (а значит, и денег), взлом — это удар по имиджу компании!


Слайд 11

Для защиты инфосреды веб-проекта необходимо использовать специальные средства мониторинга и моделирования атак Обязателен аудит кода веб-приложения. Желательно аудит поручать независимым компаниям Как защититься?


Слайд 12

Разработка механизмов безопасности должна быть включена в весь цикл разработки приложения Определение потенциальных проблем. Моделирование угроз. Минимально необходимые привилегии Надежный код Отслеживание и сохранение действий пользователя Разумное использование криптографии Основные принципы безопасности


Слайд 13

Моделирование угроз – изучение архитектуры приложения и его составных частей с целью обнаружения и устранения проблем безопасности Моделирование позволяет оперативно обнаружить и устранить возможные каналы атаки, а также непрерывно поддерживать должный уровень безопасности Моделирование угроз можно выполнять как вручную, так и с помощью специализированных средств – сканеров безопасности (Xspider, Tennable Nessus и им подобные)? Моделирование угроз


Слайд 14

Обеспечение безопасности информационной среды - задача сложная и ответственная. Для обеспечения более высокого уровня безопасности ваших интернет-проектов необходимо комплексно подойти к обеспечению безопасности Информационной среды и веб-приложений. Проще не допустить, чем восстановить! Своевременно устанавливайте обновления продуктов Проводите аудит безопасности у независимых компаний Проверяйте системные логи Подпишитесь на рассылку новостей безопасности


Слайд 15

СПАСИБО ЗА ВНИМАНИЕ!


×

HTML:





Ссылка: