БЕЗОПАСНОСТЬ ИНТЕРНЕТ-ПРОЕКТОВ презентация

сайты, посвящённые
образованию

3 место – медиа-сайты и магазины

данные из отчёта
Breach и WASC
за 2007 год

- данные и системные ресурсы изменяются только надлежащим способом и только надлежащими людьми
Доступность - системы готовы к работе по требованию и обеспечивают приемлемую производительность

БЕЗОПАСНОСТЬ

Конфиденциальность

Целостность

Доступность

состояния,
все данные, в том числе и данные авторизации передаются
заново => появляется возможность подлога.

2. Взлом сайта открывает дорогу ко взлому самого
сервера => веб-приложение - «лакомый кусок» для атакующего.

3. Необходимость оставлять неавторизованный доступ по
крайней мере к главной странице сайта.

системных
администраторов:
- нестойкие пароли
- политика безопасности,
идущая не от запретов.

3. Доступность и обилие
информации по взлому сайтов.

или отказ в обслуживании.

Атака на систему управления- получение контроля над сайтом и дальнейший взлом сервера

Атака на стороннее веб-приложение — получение контроля над сайтом с последующим взломом сервера.

санкционирован доступ, возможность создания косметических проблем и помех в работе проекта.
Средний уровень – получение частичного доступа к конфиденциальной информации, частичный обход системы авторизации расширяющий полномочия.
Высокий уровень – полный обход системы авторизации, получение неограниченного доступа к системе или приложению, возможность запуска несанкционированных приложений, возможность просмотра или подмены конфиденциальной информации.

Каков риск?

самоутверждение. Используют уже готовые эксплоиты для атак. Неспособны сами что-либо сделать. Максимальный ущерб – дефейс страниц сайта.
Любители-идеалисты («white hat») – как правило, студенты в возрасте 19-24 года либо молодые специалисты. Взлом интересен как процесс. Часто сообщают о взломе и о найденных дырах. Пользы больше, чем вреда. Этическая сторона взлома важнее наживы.
Вандалы («black hat») - тоже молодые специалисты либо студенты. Взлом ради нанесения вреда. Максимальный ущерб – от порчи данных до полного удаления страниц сайта/базы данных
Профессионалы («grey hat») - опытные хакеры. Взлом интересует только с коммерческой точки зрения. Как правило, ломают на заказ. Ущерб максимальный: от разрушения сайта до кражи важной информации.

и номера кошельков с электронной валютой и т. п.

2. Личная информация — номера паспортов, адреса, имена, телефоны. Предмет особой ценности — адреса электронной почты.

3. Секретная информация — финансовые отчёты, бизнес-планы, документы, письма, базы данных и т. п.

запросах к
базе данных

2. Недостаточная фильтрация данных, поступающих от
пользователя.

3. «Слабые» пароли (легко подобрать).

покупателей (а значит, и денег),

взлом — это удар по имиджу
компании!

атак

Обязателен аудит кода веб-приложения.
Желательно аудит поручать независимым компаниям

Как защититься?

потенциальных проблем. Моделирование угроз.
Минимально необходимые привилегии
Надежный код
Отслеживание и сохранение действий пользователя
Разумное использование криптографии

Основные принципы безопасности

целью обнаружения и устранения проблем безопасности

Моделирование позволяет оперативно обнаружить и устранить возможные каналы атаки, а также непрерывно поддерживать должный уровень безопасности

Моделирование угроз можно выполнять как вручную, так и с помощью специализированных средств – сканеров безопасности (Xspider, Tennable Nessus и им подобные)‏

Моделирование угроз

более высокого уровня безопасности ваших интернет-проектов необходимо комплексно подойти к обеспечению безопасности Информационной среды и веб-приложений.

Проще не допустить, чем восстановить!

Своевременно устанавливайте обновления продуктов

Проводите аудит безопасности у независимых компаний

Проверяйте системные логи

Подпишитесь на рассылку новостей безопасности