Основные мифы безопасности бизнес-приложений Илья Медведовский, к.т.н., директор Digital Security.

Презентация:



Advertisements
Похожие презентации
Тест на проникновение в соответствии с PCI DSS Илья Медведовский Digital Security Директор, к.т.н.
Advertisements

Особенности проведения тестов на проникновение в организациях банковской сферы © , Digital Security Илья Медведовский, к.т.н. Директор Digital.
Клиент банка под атакой © 2009, Digital Security.
ИC промышленных предприятий: защитить нельзя взломать.
Коробочное решение для защиты электронного документооборота Андрей ШАРОВ Электронные Офисные Системы 2007.
Мобильный офис глазами пентестера Дмитрий Евтеев (Positive Technologies)
Применение иерархического метода для построения защищенной операционной системы. Выполнила Шилова О. И-411.
Разработка учебно-лабораторного стенда для проведения тестов на проникновение в типовую корпоративную локально- вычислительную сеть предприятия Научный.
Проблемы и уязвимости в системах ДБО © , Digital Security Digital Security.
Типичные недостатки в обеспечении безопасности систем ДБО Борис Симис Директор по развитию Positive Technologies.
SIEM от ООО Инновационые Технологии в Бизнесе Security Capsule SIEM (система мониторинга и корреляции событий)
1 Особенности, возможности и перспективы использования специального программного обеспечения в агентствах недвижимости Павел Гурин, консультант по информационным.
Программное обеспечение как услуга (SaaS) Лекция 8.
1 БГУ КАФЕДРА ТЕЛЕКОММУНИКАЦИЙ И ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ ФАКУЛЬТЕТ РАДИОФИЗИКИ И КОМПЬЮТЕРНЫХ ТЕХНОЛОГИЙ Магистрант Бобова Александра Александровна Руководители:
Средства анализа защищённости Раздел 2 – Тема 12.
Презентация на тему:ERP Системы
Миронов Денис директор ООО «Немесис» СПКИР-2006 Секция «Безопасность в Интернете» Безопасность Интернет-проектов.
Эффективность в каждом решении Управление разработкой Корпоративного портала: как грамотно выстроить работу с подрядчиком.
Защита баз данных. Повестка дня Реалии сегодняшнего дня … Источники атак Уязвимости СУБД Что делать ? Кто поможет ? DbProtect – новое предлагаемое решение.
Корпоративный портал на основе коробочного решения На примере QSOFT: Корпоративный портал Михаил Токовинин, генеральный директор компании QSOFT +7 (495)
Транксрипт:

Основные мифы безопасности бизнес-приложений Илья Медведовский, к.т.н., директор Digital Security

© , Digital Security Основные мифы безопасности бизнес-приложений Digital Security 2 Обеспечение безопасности корпоративных бизнес-приложений это одна из важнейших задач современного бизнеса

© , Digital Security Миф 1. Бизнес-приложение является внутренним значит у нас не может быть проблем из сети Интернет 3 Взгляд с точки зрения бизнеса: Наиболее характерен для внутренних корпоративных ERP систем Бизнес наивно полагает, что ERP система не подключена к Интернет бизнес давно вышел за рамки внутренней среды Интеграция с удаленными офисами Интеграция с партнерами, поставщиками, закупщиками Практически все системы класса ERP так или иначе предоставляют доступ из сети Интернет Даже если приложение внутреннее, то вовсе не означает, что в него невозможно проникнуть из Интернета Основные мифы безопасности бизнес-приложений

© , Digital Security Миф 1. Бизнес-приложение является внутренним значит у нас не может быть проблем из сети Интернет 4 Взгляд с технической точки зрения: 1.Проще атаковать пользователей Связь соц. инженерии с программными уязвимостями в популярных браузерах в ERP системах Существует возможность, позволяющая проникнуть в ИС компании, с целью передачи критичных данных из SAP системы через уязвимости клиентских утилит SAP 2.Если к ERP системе предусмотрен доступ из Интернет Аналогично любой другой доступной в Интернет системе Множество уязвимостей, присущих веб-приложениям Основные мифы безопасности бизнес-приложений

© , Digital Security Миф 2. Безопасность бизнес-приложений это проблема производителя 5 Следует четко понимать, что безопасность приложения это проблема бизнеса, никоим образом не имеющая отношения к производителю Основные мифы безопасности бизнес-приложений С каких пор производитель несет ответственность за инциденты? Производитель продает лицензию его ответственность явно указана в лицензионном соглашении Вопросы безопасности не являются конкурентным преимуществом

© , Digital Security 6 Миф 2. Безопасность бизнес-приложений это проблема производителя Основные мифы безопасности бизнес-приложений 1.Программные ошибки 2.Архитектурные ошибки 3.Ошибки конфигурации 4.Проблемы человеческого фактора Проблемы безопасности: { { производитель администратор разработка и администрирование } }

© , Digital Security Миф 3. Бизнес-приложения плохо изучены значит нам ничего не грозит 7 Взгляд с точки зрения бизнеса: часто располагаются внутри корпоративной сети разработчики, думают что их система является внутренней (миф 1), сложной и недоступной и не обращают внимания на вопросы обеспечения безопасности Основные мифы безопасности бизнес-приложений Безопасность бизнес-приложений, по определению, на несколько порядков ниже, чем безопасность типовых ОС и ПО

© , Digital Security Миф 3. Бизнес-приложения плохо изучены значит нам ничего не грози т 8 Взгляд с технической точки зрения: В популярных ОС и приложениях ежемесячно находятся уязвимости, так как они находятся под постоянным прицелом хакеров В итоге популярные приложения так или иначе становятся безопаснее Внутренние бизнес-приложения закрыты для посторонних глаз Иллюзия защищенности «безопасно, потому что засекречено» Как только внутренние бизнес-приложения попадают во внешнюю сеть, или злоумышленник сталкивается с ними, то иллюзии исчезают За время работ по анализу защищенности различных специфичных бизнес- приложений, мы находили множество тривиальных и крайне опасных уязвимостей в архитектуре безопасности, которые редко встречаются в популярных продуктах Основные мифы безопасности бизнес-приложений

© , Digital Security Миф 4. Безопасность ERP это матрица SOD. У нас есть SOD у нас нет проблем с безопасностью 9 Взгляд с точки зрения бизнеса: Самый типовой и крайне опасный миф: безопасность ERP = матрица SOD Разве установка правильных прав пользователей на контроллере домена является панацеей для безопасности информационной системы в целом? ERP система только с матрицей SOD = дорогие стальные ворота с дорогой современной системой контроля доступа и видеонаблюдения, установленные в чистом поле Основные мифы безопасности бизнес-приложений

© , Digital Security Миф 4. Безопасность ERP это матрица SOD. У нас есть SOD у нас нет проблем с безопасностью 10 Взгляд с технической точки зрения: Необходимо рассматривать различные уровни: Сетевой уровень Уровень операционной системы Уровень СУБД Уровень самого бизнес-приложения или ERP-системы Уровень дополнительных компонентов и веб-приложений Уровень клиентских компонентов ERP-системы Недостатки хотя бы на одном из данных уровней могут привести к полной компрометации системы, даже в случае идеально настроенной матрицы SOD Рассматривая безопасность бизнес-приложений, нужно рассматривать систему в комплексе Основные мифы безопасности бизнес-приложений

© , Digital Security Итоги 11 Основные мифы безопасности бизнес-приложений С одной стороны: Бизнес-приложения являются основной всего бизнеса компании С другой стороны: На лицо тотальное недоценивание как производителями, так и потребителями вопросов, связанных с информационной безопасностью бизнес-приложений

© , Digital Security Статистика уязвимостей в популярных бизнес-приложениях за 2009 год 12 Основные мифы безопасности бизнес-приложений Всего опубликовано Обнаружены Digital Security Опубликованы Digital Security SAP Oracle За время работы с 2007 года специалистами DSecRG было проведено большое количество исследований, в том числе: за 2008 год было написано и опубликовано 41 уведомление о безопасности, содержащее 225 уязвимостей; за 2009 год было написано 64 уведомления о безопасности, содержащих 155 уязвимостей. Из них 37 было опубликовано.

© , Digital Security Пример проникновения в корпоративную сеть через приложение 13

© , Digital Security Проникновение в SAP 14

© , Digital Security Распространение прав 15

© , Digital Security Итоги проникновения 16 Получен доступ к 80% SAP систем компании из сети Интернет, даже не используя «продвинутые» методы атак! В ходе проникновения были использованы только уязвимости SAP систем Сценарий проникновения инвариантен относительно ПО, оборудования и инфраструктуры компании Несмотря на безопасные настройки КИС, успех данного сценария атаки был обусловлен отсутствием должного внимания к безопасности бизнес-приложений SAP

© , Digital Security Вопросы 17 Наши ресурсы: Основные мифы безопасности бизнес-приложений