- Главная
- Разное
- Дизайн
- Бизнес и предпринимательство
- Аналитика
- Образование
- Развлечения
- Красота и здоровье
- Финансы
- Государство
- Путешествия
- Спорт
- Недвижимость
- Армия
- Графика
- Культурология
- Еда и кулинария
- Лингвистика
- Английский язык
- Астрономия
- Алгебра
- Биология
- География
- Детские презентации
- Информатика
- История
- Литература
- Маркетинг
- Математика
- Медицина
- Менеджмент
- Музыка
- МХК
- Немецкий язык
- ОБЖ
- Обществознание
- Окружающий мир
- Педагогика
- Русский язык
- Технология
- Физика
- Философия
- Химия
- Шаблоны, картинки для презентаций
- Экология
- Экономика
- Юриспруденция
Основные мифы безопасности бизнес-приложений презентация
Содержание
- 1. Основные мифы безопасности бизнес-приложений
- 2. © 2002—2010, Digital Security Основные мифы
- 3. © 2002—2010, Digital Security Миф 1.
- 4. © 2002—2010, Digital Security Миф 1.
- 5. © 2002—2010, Digital Security Миф 2.
- 6. © 2002—2010, Digital Security 6 Миф
- 7. © 2002—2010, Digital Security Миф 3.
- 8. © 2002—2010, Digital Security Миф 3.
- 9. © 2002—2010, Digital Security Миф 4.
- 10. © 2002—2010, Digital Security Миф 4.
- 11. © 2002—2010, Digital Security Итоги 11
- 12. © 2002—2010, Digital Security Статистика уязвимостей
- 13. © 2002—2010, Digital Security Пример проникновения
- 14. © 2002—2010, Digital Security Проникновение в SAP 14
- 15. © 2002—2010, Digital Security Распространение прав 15
- 16. © 2002—2010, Digital Security Итоги проникновения
- 17. © 2002—2009, Digital Security Вопросы 17
Слайд 1
Основные мифы
безопасности бизнес-приложений
Илья Медведовский,
к.т.н., директор Digital Security
Слайд 2
© 2002—2010, Digital Security
Основные мифы безопасности бизнес-приложений
Digital Security
2
Обеспечение безопасности
корпоративных бизнес-приложений —
это одна из важнейших задач современного бизнеса
Слайд 3
© 2002—2010, Digital Security
Миф 1. Бизнес-приложение является внутренним — значит у
3
Взгляд с точки зрения бизнеса:
Наиболее характерен для внутренних корпоративных ERP систем
Бизнес наивно полагает, что ERP система не подключена к Интернет
бизнес давно вышел за рамки внутренней среды
Интеграция с удаленными офисами
Интеграция с партнерами, поставщиками, закупщиками
Практически все системы класса ERP так или иначе предоставляют доступ из сети Интернет
Даже если приложение внутреннее, то вовсе не означает, что в него невозможно проникнуть из Интернета
Основные мифы безопасности бизнес-приложений
Слайд 4
© 2002—2010, Digital Security
Миф 1. Бизнес-приложение является внутренним — значит у
4
Взгляд с технической точки зрения:
Проще атаковать пользователей
Связь соц. инженерии с программными уязвимостями
в популярных браузерах
в ERP системах
Существует возможность, позволяющая проникнуть в ИС компании, с целью передачи критичных данных из SAP системы через уязвимости клиентских утилит SAP
Если к ERP системе предусмотрен доступ из Интернет
Аналогично любой другой доступной в Интернет системе
Множество уязвимостей, присущих веб-приложениям
Основные мифы безопасности бизнес-приложений
Слайд 5
© 2002—2010, Digital Security
Миф 2. Безопасность бизнес-приложений — это проблема производителя
5
Следует
Основные мифы безопасности бизнес-приложений
С каких пор производитель несет ответственность за инциденты?
Производитель продает лицензию — его ответственность явно указана в лицензионном соглашении
Вопросы безопасности не являются конкурентным преимуществом
Слайд 6
© 2002—2010, Digital Security
6
Миф 2. Безопасность бизнес-приложений — это проблема производителя
Основные
Программные ошибки
Архитектурные ошибки
Ошибки конфигурации
Проблемы человеческого фактора
Проблемы безопасности:
{
{
производитель
администратор
разработка и
администрирование
администрирование
}
}
Слайд 7
© 2002—2010, Digital Security
Миф 3. Бизнес-приложения плохо изучены — значит нам
7
Взгляд с точки зрения бизнеса:
часто располагаются внутри корпоративной сети
разработчики, думают что их система является внутренней (миф 1), сложной и недоступной и не обращают внимания на вопросы обеспечения безопасности
Основные мифы безопасности бизнес-приложений
Безопасность бизнес-приложений, по определению, на несколько порядков ниже, чем безопасность типовых ОС и ПО
Слайд 8
© 2002—2010, Digital Security
Миф 3. Бизнес-приложения плохо изучены — значит нам
8
Взгляд с технической точки зрения:
В популярных ОС и приложениях ежемесячно находятся уязвимости, так как они находятся под постоянным прицелом хакеров
В итоге популярные приложения так или иначе становятся безопаснее
Внутренние бизнес-приложения закрыты для посторонних глаз
Иллюзия защищенности «безопасно, потому что засекречено»
Как только внутренние бизнес-приложения попадают во внешнюю сеть, или злоумышленник сталкивается с ними, то иллюзии исчезают
За время работ по анализу защищенности различных специфичных бизнес-приложений, мы находили множество тривиальных и крайне опасных уязвимостей в архитектуре безопасности, которые редко встречаются в популярных продуктах
Основные мифы безопасности бизнес-приложений
Слайд 9
© 2002—2010, Digital Security
Миф 4. Безопасность ERP — это матрица SOD.
9
Взгляд с точки зрения бизнеса:
Самый типовой и крайне опасный миф:
безопасность ERP = матрица SOD
Разве установка правильных прав пользователей на контроллере домена является панацеей для безопасности информационной системы в целом?
ERP система только с матрицей SOD = дорогие стальные ворота с дорогой современной системой контроля доступа и видеонаблюдения, установленные в чистом поле
Основные мифы безопасности бизнес-приложений
Слайд 10
© 2002—2010, Digital Security
Миф 4. Безопасность ERP — это матрица SOD.
10
Взгляд с технической точки зрения:
Необходимо рассматривать различные уровни:
Сетевой уровень
Уровень операционной системы
Уровень СУБД
Уровень самого бизнес-приложения или ERP-системы
Уровень дополнительных компонентов и веб-приложений
Уровень клиентских компонентов ERP-системы
Недостатки хотя бы на одном из данных уровней могут привести к полной компрометации системы, даже в случае идеально настроенной матрицы SOD
Рассматривая безопасность бизнес-приложений, нужно рассматривать систему в комплексе
Основные мифы безопасности бизнес-приложений
Слайд 11
© 2002—2010, Digital Security
Итоги
11
Основные мифы безопасности бизнес-приложений
С одной стороны:
Бизнес-приложения являются основной
С другой стороны:
На лицо тотальное недоценивание как производителями, так и потребителями вопросов, связанных с информационной безопасностью бизнес-приложений
Слайд 12
© 2002—2010, Digital Security
Статистика уязвимостей в популярных бизнес-приложениях за 2009 год
12
Основные
Всего опубликовано
Обнаружены Digital Security
Опубликованы Digital Security
SAP
14
11
7
Oracle
114
12
5
За время работы с 2007 года специалистами DSecRG было проведено большое количество исследований, в том числе:
за 2008 год было написано и опубликовано 41 уведомление о безопасности, содержащее 225 уязвимостей;
за 2009 год было написано 64 уведомления о безопасности, содержащих 155 уязвимостей. Из них 37 было опубликовано.
Слайд 16
© 2002—2010, Digital Security
Итоги проникновения
16
Получен доступ к 80% SAP систем компании
В ходе проникновения были использованы только уязвимости SAP систем
Сценарий проникновения инвариантен относительно ПО, оборудования и инфраструктуры компании
Несмотря на безопасные настройки КИС, успех данного сценария атаки был обусловлен отсутствием должного внимания к безопасности бизнес-приложений SAP
Слайд 17
© 2002—2009, Digital Security
Вопросы
17
Наши ресурсы:
www.dsec.ru
www.dsecrg.ru
www.pcidss.ru
Основные мифы безопасности бизнес-приложений
