Безопасность Online-приложений. Безопасность online приложенийwww.ptsecurity.ru / www.maxpatrol.ru www.xspider.ru / online.xspider.ru www.securitylab.ru.

Презентация:



Advertisements
Похожие презентации
Оценка защищенности Web-приложений Сергей Гордейчик Positive Technologies.
Advertisements

Безопасность прикладных систем. Разработчик, аудитор, пользователь. Сергей Гордейчик Positive Technologies.
Соответствие международным и отраслевым стандартам Технологические аспекты.
Слайд-презентация к дипломному проекту на тему «Методы защиты серверных приложений, использующих РНР и MySQL» Дипломант Охлопкова А.А. Гр
Web/безопасность Совмещая несовместимое Сергей Гордейчик Web Application Security Consortium Positive Technologies.
Оценка эффективности программы повышения осведомленности в области ИБ.
Web Application Security Consortium Перспективы развития Сергей Гордейчик Positive Technologies.
Безопасность Веб-приложений Дмитрий Евтеев Эксперт по информационной безопасности.
Почему происходят Epic fail или безопасность в Web Валерий Хвалёв Консультант по ИТ безопасности.
Безопасность: от «бумажных» процессов к реальной защищенности Дмитрий Степанюк Positive Technologies.
Аутентификация в системах Интернет-банкинга Анализ типичных ошибок Сергей Гордейчик Positive Technologies.
Компоненты СМИБ. Модель PDCA, применяемая к процессам СМЗИ.
Налоговая безопасность бизнеса Аспекты информационной безопасности в коммерческих организациях Ведущий специалист отдела терминальных технологий ООО «Праймтек»
Разработка учебно-лабораторного стенда для проведения тестов на проникновение в типовую корпоративную локально- вычислительную сеть предприятия Научный.
ОСНОВНЫЕ ПОЛОЖЕНИЯ ОСНОВНЫЕ ПОЛОЖЕНИЯ НАЦИОНАЛЬНЫХ СТАНДАРТОВ НАЦИОНАЛЬНЫХ СТАНДАРТОВ РОССИЙСКОЙ ФЕДЕРАЦИИ РОССИЙСКОЙ ФЕДЕРАЦИИ В ОБЛАСТИ КАЧЕСТВА И МЕНЕДЖМЕНТА.
Energy Consulting/ Integration Информационно- технологические риски Компании Голов Андрей, CISSP, CISA Руководитель направления ИБ.
Средства анализа защищённости Раздел 2 – Тема 12.
Типичные недостатки в обеспечении безопасности систем ДБО Борис Симис Директор по развитию Positive Technologies.
Безопасность в разработке ПО. Модель угроз Для построения модели нарушителя необходимо обратиться к существующим практикам.
Информационная безопасность как часть бизнеса. Комплексный подход к построению систем управления безопасностью Буйдов Александр Заместитель генерального.
Транксрипт:

Безопасность Online-приложений

Безопасность online приложений / / online.xspider.ru Насколько уязвимы online-приложения? Мировая статистика Mitre: более четверти уязвимостей, обнаруженных в 2006 году приходится на Web-приложения [1]. Mitre: более четверти уязвимостей, обнаруженных в 2006 году приходится на Web-приложения [1]. Symantec «Internet Security Threat Report»: до 70% уязвимостей, используемых злоумышленниками, связаны с Web-приложениями [2]. Symantec «Internet Security Threat Report»: до 70% уязвимостей, используемых злоумышленниками, связаны с Web-приложениями [2]. Web Application Security Consortiums: 70% приложений имеют проблемы с безопасностью [3]. Web Application Security Consortiums: 70% приложений имеют проблемы с безопасностью [3]. Российская действительность До 65% Web-приложении содержат уязвимости высокой степени риска [4]. До 65% Web-приложении содержат уязвимости высокой степени риска [4]. [1] [2] [3] [4]

Безопасность online приложений / / online.xspider.ru Насколько уязвимы online-приложения?

Безопасность online приложений / / online.xspider.ru Как оценить защищенность приложения? Стандартный «инструментарий» мало применим для Web-приложений BS ISO/IEC (17799) только один раздел, напрямую касающийся прикладных систем BS ISO/IEC (17799) только один раздел, напрямую касающийся прикладных систем A.12.2Корректная обработка информации в приложениях ГОСТ Р ИСО/МЭК касается функций безопасности (аутентификация, аудит и т.д.) а не качества их реализации ГОСТ Р ИСО/МЭК касается функций безопасности (аутентификация, аудит и т.д.) а не качества их реализации База для «стандартов», «требований» и «политик» OWASP top 10 Поддерживается (последняя версия 2007 года) Только 10 уязвимостей Web Security Threat Classification / Текущая версия 1 – 2004/2004 год Готовится к выходу 2 версия

Безопасность online приложений / / online.xspider.ru Web Security Threat Classification WSTC v классов уязвимостей 24 типа атак/уязвимостей 1 Authentication 2 Authorization 3 Client-side Attacks 4 Command Execution 5 Information Disclosure 6 Logical Attacks WSTC v классов уязвимостей 32 типа атак/уязвимостей 1 Authentication 2 Authorization 3 Client-Side 4 Command Execution 5 Information Disclosure 6 Logical Flaws 7 Misconfiguration

Безопасность online приложений / / online.xspider.ru Web Security Threat Classification v 2.0 Добавлены следующие типы атак/уязвимостей: 2.4 Improper Permissions 3.3 Cross-Site Request Forgery 4.7 XML Injection - TCv2 4.8 Mail Command Injection 5.2 Data Leakage 6.5 URL Redirectors 6.6 Improper Parsing (Request/Response Smuggling/Splittng) 7.1 Application Misconfiguration 7.2 Server Misconfiguration

Безопасность online приложений / / online.xspider.ru Способы защиты Выработка и контроль требований по безопасности приложений учитывающих качество реализации Элемент Secure SDLC Элемент Secure SDLC Крайне ресурсоемкое решение Крайне ресурсоемкое решение Тяжело интегрируется во многие модели разработки Тяжело интегрируется во многие модели разработки «Оценка защищенности», «тесты на проникновение» и т.д. Уязвимости обнаруживаются после «сдачи» приложения Уязвимости обнаруживаются после «сдачи» приложения Зачастую уязвимости не устраняются (15% уязвимостей были обнаружены повторно) Зачастую уязвимости не устраняются (15% уязвимостей были обнаружены повторно) Может быть весьма ресурсоемким решением (особенно в случае анализа кода) Может быть весьма ресурсоемким решением (особенно в случае анализа кода) Сканеры уязвимостей Достаточно бюджетное решение Достаточно бюджетное решение Позволяют обнаруживать до 70% уязвимостей Позволяют обнаруживать до 70% уязвимостей Многие типы уязвимостей (особенно связанные с бизнес-логикой) не могут быть найдены сканером Многие типы уязвимостей (особенно связанные с бизнес-логикой) не могут быть найдены сканером Web Application Firewall Бюджетное решение Бюджетное решение Весьма «капризно» в настройке Весьма «капризно» в настройке Низкая эффективность Низкая эффективность Качество реализации защитных механизмов «непрозрачно» Качество реализации защитных механизмов «непрозрачно»

Безопасность online приложений / / online.xspider.ru Эффективность… c) Около половины (58%) d) Немного (33%) e) Очень мало (4%) b) Большую часть (4%) Какую часть работы аудитора может взять на себя сканер? d) Практически никогда (73%) c) Иногда (10%) e) Затрудняюсь ответить (10%) b) В половине случаев (5%) a) Часто (3%) Как часто WAF блокировал вашу работу? Web Application Security Professionals Survey

Безопасность online приложений / / online.xspider.ru Вопросы Positive Technologies