СПКИР-2006 Секция «Безопасность в Интернете» Безопасность Интернет-проектов Миронов Денис директор ООО «Немесис»
Безопасность корпоративного сайта Веб-сайт - часть корпоративной инфраструктуры. Взлом корпоративного сайта - это удар по репутации и имиджу компании. Очень неприятное в подобных событиях - огласка происшествия. Но потеря данных с сайта, информации о клиентах – это уже прямые убытки. И огласка таких происшествий происходит далеко не всегда. Чем серьезнее компания и известнее ее имя и продукты, тем существеннее бывают риски и убытки от взлома корпоративного сайта. Cайт – это имидж и репутация
Составляющие информационной среды Современный Интернет-сайт – является традиционным программным приложением, которое функционирует в рамках операционной системы и серверного программного обеспечения. • Веб-приложения. Система управления сайтом, форум, лента новостей, гостевая книга, статистика и многое другое. • Серверное программное обеспечение. Сервисы, функционирующие на вебсервере, отвечающие за отправку и получение почты, передачу файлов, удалённое управление. • Среда программирования, библиотеки и модули. Веб-сервер состоит из комплекса программных продуктов.
Векторы атак • Система управления сайтом. Первая атака злоумышленника обычно направлена на систему управления сайтом и другие веб-приложения , которые находятся в пределах сайта. Уязвимости обнаруживают ежедневно в десятках различных веб-приложений и если производитель не может незамедлительно отреагировать на ситуацию и выпустить обновление безопасности для своего продукта, то вся безопасность сервера становится под угрозу. • Информационная среда. Веб-сервер, среда интерпретирования, база данных, сервис для передачи файлов и почты. Несвоевременное обновление серверного программного обеспечения, позволяет злоумышленнику используя известную уязвимость сервиса передачи файлов (FTP), получить доступ на чтение, запись, изменение данных, получение привилегий суперпользователя ОС и главное скрыть сам факт взлома системы. • Политики безопасности. Причиной взлома может оказаться слабая политика безопасности системы. В качестве примера можно привести: недостаточную стойкость паролей, отсутствие авторизации, использование одной учётной записи для получения почты и удалённого доступа. Какова вероятность взлома вашего сайта?
Оценка ущерба. • Дефейс– злоумышленник заменяет титульную страницу корпоративного сайта, вследствие чего, компания теряет лицо в прямом и переносном смысле. Не слишком приятная перспектива кусать локти, глядя на взломанный сайт…
Ваш сайт может стать поздравительной открыткой =)
Посланием….
…. или просто весёлой картинкой!
Результат «дефейса» - один: удар по репутации и имиджу компании.
Оценка ущерба. • Спам – в случае рассылки спама с вашего сервера, доменное имя и IP адрес попадают в «чёрные списки» и легальная рассылка станет затруднительной. • Зомби – если ваш сервер был использован как «плацдарм» для атак на другие системы, в лог файлах атакуемых систем будет записан IP адрес вашего сервера, вместо IP злоумышленника. Более того, если ваш сервер используется для проведения Do. S атак, объёма трафика может оказаться недостаточно для обслуживания легитимных пользователей. • Фишинг – имея возможность вести переписку от вашего имени, злоумышленник может вводить в заблуждение ваших клиентов и других пользователей сети Интернет. Может быть причинен ущерб и о вашей компании останутся не самые хорошие впечатления.
Как защитить сайт? Комплекс решений направленных на обеспечение безопасности Интернет-проекта: • Инсталляция проверенных веб-приложений. Первый удар принимает на себя веб-приложение, которое взаимодействует с пользователем. Поэтому рекомендуем выбирать проверенные на взлом приложения. • Непрерывный мониторинг и контроль. Постоянный мониторинг и контроль информационной среды, позволит в кротчайший срок выявлять и предотвращать нарушение безопасности вашей системы. • Независимый аудит безопасности информационной среды. Непрерывный аудит обеспечит независимый экспертный надзор и сохранит безопасность сайта на высоком уровне. Комплексный подход позволит выйти на более высокий уровень безопасности ваших Интернет-проектов.
Спасибо за внимание! Отвечу на ваши вопросы. Денис Миронов Компания «Немесис» www. nsecurity. ru Denis. mironov@nsecurity. ru (812) 983 -55 -42
Скачать презентацию СПКИР-2006 Секция Безопасность в Интернете Безопасность Интернет-проектов Миронов
d96a44d8090575c5db118ca247f5bdb8.ppt