Практика противодействия сетевым атакам на интернет-сайты Сергей Рыжиков директор ООО «Битрикс» РИФ-2006 Секция «Информационная безопасность»

Презентация:



Advertisements
Похожие презентации
Безопасность веб-проектов Защита сайтов от взломов и атак Сергей Рыжиков директор компании «Битрикс»
Advertisements

Миронов Денис директор ООО «Немесис» СПКИР-2006 Секция «Безопасность в Интернете» Безопасность Интернет-проектов.
Создание безопасных Веб-приложений Алексей Кирсанов ведущий разработчик компании «Битрикс»
Проблемы информационной безопасности by-нета Докладчик: Финансовый директор СООО«Белсек» Мартинкевич Дмитрий Станиславович.
Алгоритмы шифрования и их применение в.Net приложениях для защиты данных Radislav Kerimhanov
БЕЗОПАСНОСТЬ ИНТЕРНЕТ-ПРОЕКТОВ. СТАТИСТИКА WASC: Кого чаще атакуют? 1 место – правительственные сайты 2 место – сайты, посвящённые образованию 3 место.
О безопасности сайта думают в последнюю очередь! индивидуальные разработчики думают о безопасности сайтов в самую последнюю очередь клиенты не готовы платить.
Системы управления сайтами: тенденции рынка и требования пользователей Алексей Сидоренко Директор по развитию 1С-Битрикс.
Безопасность интернет-проекта Основные угрозы Инструменты безопасности в платформе.
Особенности проведения тестов на проникновение в организациях банковской сферы © , Digital Security Илья Медведовский, к.т.н. Директор Digital.
Основные понятия информационной безопасности Выполнила: студент ВМИ-256, Майя Кутырева Проверила: Анастасия Валерьевна Шамакина, программист отдела распределенных.
БЕЗОПАСНОСТЬ РАБОТЫ В ЛОКАЛЬНОЙ СЕТИ Учитель информатики и математики МОУ «Ушаковская СОШ» Шимановского района Амурской области Гатилова Татьяна Геннадьевна.
Уязвимость сайтов и обеспечение их безопасности. Цели атак на сайты Получение секретной информации (пароли и т.п.) Получение конфиденциальной информации.
ОСНОВНЫЕ ВИДЫ И ПРИЕМЫ ХАКЕРСКИХ АТАК Свидетель 3.
Клиент банка под атакой © 2009, Digital Security.
Семинар 1С-Битрикс, 9 апреля 2009 г. Москва Современные web-уязвимости и угрозы для web-ресурсов Максим Фролов менеджер по интернет-решениям ЗАО Лаборатория.
Разработка ПО Системная интеграция IT-аутсорсинг.
Хакерские утилиты и защита от них. СЕТЕВЫЕ АТАКИ Сетевые атаки - направленные действия на удаленные сервера для создания затруднений в работе или утери.
W w w. a l a d d i n. r u Владимир Здор, Руководитель направления аутентификации и защиты информации Корпоративная система защиты конфиденциальной информации.
Слайд-презентация к дипломному проекту на тему «Методы защиты серверных приложений, использующих РНР и MySQL» Дипломант Охлопкова А.А. Гр
Транксрипт:

Практика противодействия сетевым атакам на интернет-сайты Сергей Рыжиков директор ООО «Битрикс» РИФ-2006 Секция «Информационная безопасность»

Безопасность корпоративного сайта Веб-сайт - часть корпоративной инфраструктуры. Взлом корпоративного сайта - это удар по репутации и имиджу компании. Очень неприятное в подобных событиях - огласка происшествия. Но потеря данных с сайта, информации о клиентах – это уже прямые убытки. И огласка таких происшествий происходит далеко не всегда. Чем серьезнее компания и известнее ее имя и продукты, тем существеннее бывают риски и убытки от взлома корпоративного сайта. Когда сайт – это имидж и репутация

Потенциальные угрозы Взлом информационной среды (операционная система, веб-сервер, среда программирования, база данных) Взлом системы управления сайтом Взлом сторонних веб-приложений Что угрожает вашему сайту?

Уровни риска Минимальный – получение доступа к не конфиденциальной информации, к которой не санкционирован доступ, возможность создания косметических проблем и помех в работе проекта. Средний уровень – получение частичного доступа к конфиденциальной информации, частичный обход системы авторизации расширяющий полномочия. Высокий уровень – полный обход системы авторизации, получение неограниченного доступа к системе или приложению, возможность запуска несанкционированных приложений, возможность просмотра или подмены конфиденциальной информации. Степень угроз можно разделить на три уровня риска:

Уязвимости веб-проектов Автоматизированный подбор Недостаточная аутентификация (Insufficient Authentication) Небезопасное восстановление паролей (Weak Password Recovery Validation) Авторизация Предсказуемое значение сессии (Credential/Session Prediction) Недостаточная авторизация (Insufficient Authorization) Отсутствие таймаута сессии (Insufficient Session Expiration) Фиксация сессии (Session Fixation) Атаки на клиента Подмена содержимого (Content Spoofing) Межсайтовое выполнение сценариев (Cross-site Scriptin - XSS) Выполнение кода Переполнение буфера (Buffer Overflow) Атака на функции форматирования строк (Format String Attack) Внедрение операторов (LDAP Injection) Выполнение команд ОС (OS Commanding) Внедрение команд SQL (SQL Injection) Внедрение серверных расширений (SSI Injection) Внедрение операторов XPath (XPath Injection) Разглашение информации Индексирование директорий (Directory Indexing) Утечка информации (Information Leakage) Обратный путь в директориях (Path Traversal) Предсказуемое расположение ресурсов (Predictable Resource Location) Логические атаки Злоупотребление функциями (Abuse of Functionality) Отказ в обслуживании (Denial of Service) Недостаточное противодействие автоматизации (Insufficient Anti-automation) Недостаточная проверка процесса (Insufficient Process Validation)

Безопасность веб-проектов Очень часто сайты состоят из веб-приложений разных разработчиков (c многочисленными паролями, разными требованиями). В многосайтовом веб-проекте подобная ситуация создает серьезные проблемы. Интернет-сайт является традиционным программным приложением, которое работает в рамках операционной системы и серверного программного обеспечения, использует сервисные функции операционной системы и других программных продуктов. Составляющие веб-проекта: Информационная среда Операционная система Веб-сервер Среда программирования База данных Система управления сайтом Сторонние веб-приложения

Как защитить сайт? Для защиты инфосреды веб-проекта, даже если сайт размещен у хостинг-провайдера, необходимо использовать специальные средства мониторинга. Требуйте аудита веб-приложений у разработчиков. Если сайт разработан студия дизайна, изучайте политику безопасности.

Внешний аудит безопасности Для обеспечения высокого уровня защищенности закажите независимый аудит информационной безопасности у сторонних компаний (например, Positive Technologies, «Немесис»). Непрерывный аудит обеспечит независимый экспертный надзор и сохранит уровень безопасности сайта на высоком достигнутом уровне.

Рекомендации поручить задачу обеспечения безопасности дата-центру или хостинг- провайдеру (DATAFORT, Мастерхост и другие); использовать внешние программы для надежного мониторинга информационной среды. Обеспечение безопасности информационной среды - задача сложная и ответственная. Для обеспечения более высокого уровня безопасности ваших интернет-проектов необходимо комплексно подойти к обеспечению безопасности Информационной среды и веб-приложений.

Спасибо за внимание! Отвечу на ваши вопросы.