Миронов Денис директор ООО «Немесис» СПКИР-2006 Секция «Безопасность в Интернете» Безопасность Интернет-проектов.

Презентация:



Advertisements
Похожие презентации
Практика противодействия сетевым атакам на интернет-сайты Сергей Рыжиков директор ООО «Битрикс» РИФ-2006 Секция «Информационная безопасность»
Advertisements

БЕЗОПАСНОСТЬ ИНТЕРНЕТ-ПРОЕКТОВ. СТАТИСТИКА WASC: Кого чаще атакуют? 1 место – правительственные сайты 2 место – сайты, посвящённые образованию 3 место.
Хакерские утилиты и защита от них. СЕТЕВЫЕ АТАКИ Сетевые атаки - направленные действия на удаленные сервера для создания затруднений в работе или утери.
Хакерские утилиты и защита от них Работа выполнена Миненко Еленой ученицей 10 Б класса.
Безопасность веб-проектов Защита сайтов от взломов и атак Сергей Рыжиков директор компании «Битрикс»
Система усиленной аутентификации по отпечатку пальца.
Электронная почта, телеконференции, обмен файлами Почта - традиционные средства связи, позволяющие обмениваться информацией, по крайней мере, двум абонентам.
Системы управления сайтами: тенденции рынка и требования пользователей Алексей Сидоренко Директор по развитию 1С-Битрикс.
НАСТОЙКА МЕХАНИЗМОВ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ СЕРВЕРОВ ЭЛЕКТРОННОЙ ПОЧТЫ.
Хакерские утилиты и защита от них. СЕТЕВЫЕ АТАКИ Сетевые атаки - направленные действия на удаленные сервера для создания затруднений в работе или утери.
Клиент банка под атакой © 2009, Digital Security.
Особенности проведения тестов на проникновение в организациях банковской сферы © , Digital Security Илья Медведовский, к.т.н. Директор Digital.
Организация корпоративной защиты от вредоносных программ Алексей Неверов Пермский государственный университет, кафедра Процессов управления и информационной.
Защищенность и отказоустойчивость ОС Повторение модуля, основные понятия и вопросы для повторения.
«Система дистанционного обслуживания клиентов» (СДОК)
Информационная безопасность. Функции сети Интернет коммуникативная развлечения деловая информационная.
Основные мифы безопасности бизнес-приложений Илья Медведовский, к.т.н., директор Digital Security.
Сетевые черви и защита от них. СЕТЕВЫЕ ЧЕРВИ Сетевые черви - это вредоносные программы, которые проникают на компьютер, используя сервисы компьютерных.
Интернет Контроль Сервер Интернет Контроль Сервер (ИКС) - это готовый программный Интернет шлюз с огромным набором функций для решения всех задач взаимодействия.
ПРОДАЖА ПОЧТОВЫХ ЯЩИКОВ Выполнил студент группы Клоков Денис
Транксрипт:

Миронов Денис директор ООО «Немесис» СПКИР-2006 Секция «Безопасность в Интернете» Безопасность Интернет-проектов

Безопасность корпоративного сайта Веб-сайт - часть корпоративной инфраструктуры. Взлом корпоративного сайта - это удар по репутации и имиджу компании. Очень неприятное в подобных событиях - огласка происшествия. Но потеря данных с сайта, информации о клиентах – это уже прямые убытки. И огласка таких происшествий происходит далеко не всегда. Чем серьезнее компания и известнее ее имя и продукты, тем существеннее бывают риски и убытки от взлома корпоративного сайта. Cайт – это имидж и репутация

Составляющие информационной среды Современный Интернет-сайт – является традиционным программным приложением, которое функционирует в рамках операционной системы и серверного программного обеспечения. Веб-сервер состоит из комплекса программных продуктов. Веб-приложения. Система управления сайтом, форум, лента новостей, гостевая книга, статистика и многое другое. Серверное программное обеспечение. Сервисы, функционирующие на веб- сервере, отвечающие за отправку и получение почты, передачу файлов, удалённое управление. Среда программирования, библиотеки и модули.

Векторы атак Система управления сайтом. Первая атака злоумышленника обычно направлена на систему управления сайтом и другие веб-приложения, которые находятся в пределах сайта. Уязвимости обнаруживают ежедневно в десятках различных веб-приложений и если производитель не может незамедлительно отреагировать на ситуацию и выпустить обновление безопасности для своего продукта, то вся безопасность сервера становится под угрозу. Информационная среда. В еб-сервер, среда интерпретирования, база данных, сервис для передачи файлов и почты. Несвоевременное обновление серверного программного обеспечения, позволяет злоумышленнику используя известную уязвимость сервиса передачи файлов (FTP), получить доступ на чтение,запись,изменение данных, получение привилегий суперпользователя ОС и главное скрыть сам факт взлома системы. Политики безопасности. Причиной взлома может оказаться слабая политика безопасности системы. В качестве примера можно привести: недостаточную стойкость паролей, отсутствие авторизации, использование одной учётной записи для получения почты и удалённого доступа. Какова вероятность взлома вашего сайта?

Оценка ущерба. Дефейс – злоумышленник заменяет титульную страницу корпоративного сайта, вследствие чего, компания теряет лицо в прямом и переносном смысле. Не слишком приятная перспектива кусать локти, глядя на взломанный сайт…

Ваш сайт может стать поздравительной открыткой =)

Посланием….

….или просто весёлой картинкой!

Результат «дефейса» - один: удар по репутации и имиджу компании.

Оценка ущерба. Спам – в случае рассылки спама с вашего сервера, доменное имя и IP адрес попадают в «чёрные списки» и легальная рассылка станет затруднительной. Зомби – если ваш сервер был использован как «плацдарм» для атак на другие системы, в лог файлах атакуемых систем будет записан IP адрес вашего сервера, вместо IP злоумышленника. Более того, если ваш сервер используется для проведения DoS атак, объёма трафика может оказаться недостаточно для обслуживания легитимных пользователей. Фишинг – имея возможность вести переписку от вашего имени, злоумышленник может вводить в заблуждение ваших клиентов и других пользователей сети Интернет. Может быть причинен ущерб и о вашей компании останутся не самые хорошие впечатления.

Как защитить сайт? Инсталляция проверенных веб-приложений. Первый удар принимает на себя веб-приложение, которое взаимодействует с пользователем. Поэтому рекомендуем выбирать проверенные на взлом приложения. Непрерывный мониторинг и контроль. Постоянный мониторинг и контроль информационной среды, позволит в кротчайший срок выявлять и предотвращать нарушение безопасности вашей системы. Независимый аудит безопасности информационной среды. Непрерывный аудит обеспечит независимый экспертный надзор и сохранит безопасность сайта на высоком уровне. Комплекс решений направленных на обеспечение безопасности Интернет-проекта: Комплексный подход позволит выйти на более высокий уровень безопасности ваших Интернет-проектов.

Спасибо за внимание! Отвечу на ваши вопросы. Денис Миронов Компания «Немесис» (812)