Порівняльний аналіз рівня інформаційної безпеки сучасних CMS для електронного магазину
Сайты сегодня – набор запчастей Большая часть современных сайтов - набор запчастей низкий уровень стандартной разработки отсутствие единой концепции безопасности несколько аккаунтов для одного пользователя не обновляемое ПО, особенно после модификации
О безопасности сайта думают в последнюю очередь! индивидуальные разработчики думают о безопасности сайтов в самую последнюю очередь клиенты не готовы платить за безопасность интернет-проектов подразумевается, что разработчик должен этим заниматься, но у него не остается ни времени, ни бюджета
Хостинг часто не защищен зачастую уровень администрирования серверов и хостинга критически низкий редко используются системы автоматического мониторинга
Рынок технических решений для электронной коммерции довольно обширен, поэтому в данная работа сконцентрироваться на основных функциональных возможностях существующих платформ, которые необходимы, на сегодняшний день, для эффективного ведения процессов связанных с технической стороной, и со стороны безопасности
Анализ популярных CMS Офіційні сайти Російськомовні спільноти Cтабільна версія Joomla www. joomla. org joom. ru Joomla 2. 5 Drupal drupal. org www. drupal. ru Drupal 7. 15 Modx modx. com modx. ru MODX Revolution 2. 2. 4 Word. Press wordpress. org ru. wordpress. org Word. Press 3. 4. 1 Typo 3 typo 3. org www. typo 3. ru TYPO 3 4. 7. 2 Image. CMS www. imagecms. net Image. CMS 3. 3. 6. 72 CMS Made Simple www. cmsmadesimple. org www. cmsmadesimple. ru CMSMS 1. 11
Анализ популярных CMS Дата останнього релізу: Вага распакованного PHP version архіву, Mb Joomla 19 червня 2012 31, 2 5. 2. x Drupal 01 серпня 2012 14, 1 5. 2. 6 та більше Modx 15 червня 2012 31, 7 5. 1. 2 та більше Word. Press 27 червня 2012 14, 9 5. 2. 4 та більше Typo 3 25 квітня 2012 84, 7 5. 3. x Image. CMS 07 серпня 2012 10, 5 5. 3. x CMS Made Simple 28 липня 2012 13, 8 5. 2. 4 та більше
Число зараженых сайтов, которые построены как на платных так и на бесплатных CMS
Пример зависимости проблемных сайтов выполненных на разных версиях CMS
Выводы: Своевременно обновляемые версии CMS снижают риск появления проблем в среднем в два раза. Наиболее явно пользу от перехода на свежие версии заметна на примере Joomla и Word. Press. Последнюю версию Joomla использовали только 3% сайтов на Joomla, а самую последнюю версию Word. Press использовали 15% сайтов. При этом доля проблемных сайтов на Joomla в три раза выше, чем на Word. Press. Очевидно, что своевременное обновление версии CMS повышает безопасность сайта.
Выводы: Гипотезой из сделанного мной исследования является то, что сайты на коммерческих CMS чаще разрабатываются силами профессиональных разработчиков, которые своевременно следят за обновлением версий, за счёт этого уменьшается число заражённых сайтов (исключение Word. Press бесплатная версия с бесплатными и платными плагинами) Распределение проблемных сайтов по типам веб-серверов в целом совпадает с рейтингом популярности вебсерверов, в связи с чем можно говорить, что версия того или иного веб-сервера является решающим фактором безопасности сайта.
Выводы: Проанализировав плюсы и минусы каждого решения можно выбрать наиболее оптимальный для себя вариант. Вот список наиболее популярных решений: "Битрикс: Управление сайтом" протестирован компанией Positive Technologies на предмет уязвимости продукта ко всем видам известных атак на веб-приложения, продукта присвоен статус "Безопасного вебприложения" и выдан сертификат соответствия. Продукт полностью документирован. Коммерческая версия продукта поставляется в исходных текстах. Все обновления продукта и новые модули можно скачивать по технологии Siteс. Update для поддержки постоянной актуальности системы.
Цикл разработки Перед выпуском модуля идет обязательное тестирование разработчиками на внутренних серверах с разными базами данных, операционными системами и версиями PHP Отдел тестирования проверяет на соответствие бизнес-функциональности и наличие ошибок Отдел безопасности проверяет на наличие уязвимостей Модуль поступает в бета-тестирование клиентам и партнерам Разработчики работают в компании по 5 -8 лет, но все равно допускают ошибки в безопасности. Почему?
Комплекс «Проактивная защита» Инструменты безопасности Web Application Firewall (Проактивный фильтр защиты от атак) Веб-антивирус Аутентификация и система составных паролей Технология защиты сессии пользователя Активная реакция на вторжение Контроль целостности системы Защита от фишинга Шифрование данных Групповые политики безопасности Защита при регистрации и авторизации Журнал событий
Шифрование данных Полная поддержка работы по SSL. Один из ключевых вариантов обеспечения защищенности проекта – шифрование данных и сессионных значений при передаче между пользователем и сайтом. Зачастую разделяются режимы работы пользователей и администратора. Новые параметры позволят использовать несколько режимов работы с сайтом для пользователей при установленном SSL сертификате.
Журнал вторжений В журнале вторжений ведется запись попыток внедрения SQL, атак через XSS и внедрения PHP.
Защита административных разделов по IP Защита позволяет строго регламентировать сети, которые считаются безопасными и из которых сотрудникам разрешается администрировать сайт
Защита от фишинга Фи шинг (англ. phishing, от password — пароль и fishing — рыбная ловля, выуживание) — вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей — логинам и паролям. Это достигается путем проведения массовых рассылок электронных писем от имени популярных брендов, например, от имени социальных сетей (Facebook, ВКонтакте), банков (Ситибанк, Альфа-банк), прочих сервисов (Rambler, Mail. ru) Фишинг — одна из разновидностей социальной инженерии, основанной на незнании пользователями основ сетевой безопасности При включенной защите все ссылки с сайта через редиректы защищаются дополнительным параметром индивидуальным для сайта и для этого перехода. Внешние переходы не будут работать
Спасибо за внимание! Вопросы?
Скачать презентацию Порівняльний аналіз рівня інформаційної безпеки сучасних CMS для
Презенташка для 1 курс 25.11.ppt