Почему происходят Epic fail или безопасность в Web Валерий Хвалёв Консультант по ИТ безопасности.

Презентация:



Advertisements
Похожие презентации
Безопасность прикладных систем. Разработчик, аудитор, пользователь. Сергей Гордейчик Positive Technologies.
Advertisements

Проведение сертификационных испытаний на отсутствие НДВ. Можно ли найти НДВ? Вареница Виталий, Заместитель директора департамента тестирования и сертификации.
© 2012 Presented by: WebDefend – Web Application Firewall Докладчик: Мичкин Андрей Smart Network Distribution.
Безопасность Online-приложений. Безопасность online приложений / / online.xspider.ru
Безопасность интернет-проекта Основные угрозы Инструменты безопасности в платформе.
О безопасности сайта думают в последнюю очередь! индивидуальные разработчики думают о безопасности сайтов в самую последнюю очередь клиенты не готовы платить.
"Бумажная безопасность" - как угроза информационному обществу Борис Симис Директор по развитию Positive Technologies.
Тестирование безопасности или Security and Access Control Testing.
Web/безопасность Совмещая несовместимое Сергей Гордейчик Web Application Security Consortium Positive Technologies.
Особенности проведения тестов на проникновение в организациях банковской сферы © , Digital Security Илья Медведовский, к.т.н. Директор Digital.
Практика противодействия сетевым атакам на интернет-сайты Сергей Рыжиков директор ООО «Битрикс» РИФ-2006 Секция «Информационная безопасность»
Handy Backup – простая в использовании программа резервного копирования данных.
Александр Сербул Руководитель направления контроля качества интеграции и внедрений Автоматическая проверка безопасности интернет-проектов.
ЦИФРОВЫЕ СЕЙФЫ СИСТЕМА ЗАЩИТЫ ВАЖНОЙ ИНФОРМАЦИИ. Существующие методы передачи конфиденциальной информации, такие как электронная почта, файловые сервера.
Windows хостинг – что новенького! Захаренко Максим, Parking.ru.
TopS Business Integrator Департамент Системной Интеграции Направление ИТ-Безопасности.
Месяц поиска уязвимостей Яндекса опыт участия Эльдар
Сервисный подход к управлению данными в современных ИТ- инфраструктурах Иван Скудин Ведущий консультант.
Оценка защищенности Web-приложений Сергей Гордейчик Positive Technologies.
22 мая 2013, Киев 7 вопросов о вашей SharePoint среде, которые помогут избежать неожиданностей Илья Сотников Dell.
Транксрипт:

Почему происходят Epic fail или безопасность в Web Валерий Хвалёв Консультант по ИТ безопасности

Induction Источники Спасибо всем разработчиком за то что даете нам средства к существованию

Identification Источники Более 7 лет опыта в ITSenior Windows System AdministratorJunior Linux System AdministratorPHP web developerIT security consultant (web)ISO Lead AuditorCISSPOWASP community member

Security – basic instinct Абрахам Харольд Маслоу Духовные Престижные Социальные Экзистенциальные Физиологические

БЕЗОПАСНОСТЬ В WEB

Statistic

Statistic

Why..it happens ? Источники Разработчики не владеют достаточными знаниями по написанию безопасного кода Главные приоритеты проекта – минимальный бюджет и сроки Руководство излишне уверенно в профессионализме разработчиков и благонадежности пользователей сайта Руководство не верно оценивает возможные риски Сейчас нам не до этого – вернемся к этому попозже Пассивный подход к вопросам безопасности Отсутствуют стандарты и метрики оценки безопасности web приложения Нет единого комплексного подхода к управлению безопасностью

Destroying myth Источники За уязвимости на сайте несет ответственность разработчик \ администратор Уязвимости не видно = уязвимости нету Поиск уязвимостей – дело хакеров, а у нас их нету Мой сайт использует SSL Мой сайт не представляет никакого интереса хакерам Мое приложение внутри корпоративной сети

Top 10 vulnerability Источники Insecure 3rd party includes Injection (SQL, JS) Cross-Site Scripting (XSS) Broken Authentication and Session Management Insecure Direct Object References Cross-Site Request Forgery (CSRF) Security Misconfiguration Insecure Cryptographic Storage Failure to Restrict URL Access Insufficient Transport Layer Protection

How to protect yourself Источники Следовать мировым практикам организации инфраструктуры Писать безопасный код в соответствии с мировыми практиками Проводить всестороннюю оценку рисков Проводить оценку защищенности и безопасности web решения

Be proactive Источники Ответственные лица Оценка рисков Обработка входящих данных Обработка исходящих данных Пользователи Обработка сессий пользователей Авторизация и аутентификация в приложении Хранение данных Административный интерфейс web приложения Системные настройки сервера Размещение сайта Системы электронной коммерции Исходный код и компоненты приложения Оценка безопасности приложения и возможности проникновения в систему Резервные копии План аварийного восстановления доступности приложения Соответствие законодательству Работа с поставщиками услуг и другими контрагентами

СПАСИБО Валерий Хвалёв