1 БЕЗОПАСНОСТЬ ОБЛАЧНЫХ СЕРВИСОВ – СТРАХИ РЕАЛЬНЫЕ И МНИМЫЕ Рустем Хайретдинов, Заместитель генерального директора, АО Инфовотч
1
БЕЗОПАСНОСТЬ ОБЛАЧНЫХ СЕРВИСОВ –
СТРАХИ РЕАЛЬНЫЕ И МНИМЫЕ
Рустем Хайретдинов,Заместитель генерального директора,АО Инфовотч
22
Перенос активности в интернет,как в самый дешевый канал для:
- повышения прозрачности- осуществления финансовых транзакций
- обслуживания граждан
Развитие B2B/C/G
33
МОДЕЛЬ УГРОЗ
Внешние
Внутренние
Случайные Намеренные
Отключение питания
Malware DoS Хакерские атаки
Стихийные бедствия
Политические риски
Непропатченные системы
Уязвимости кода
Ошибки в изменениях
Ошибки персонала
Программные закладки
Похищение информации
Мошенничество
3
44
Техническая составляющая
Функциональные последствия
Бизнес-последствия
Недоступность сайта для пользователей
Не происходят транзакции
Невыполнение задач бизнеса
Кража конфиденциальной информации и персональных данных путём взлома веб-ресурсов;
Информация пользователей портала скомпрометирована.
Санкции регуляторов: штрафы, определения в адрес ответственных лиц
Нарушение содержимого веб-приложения, включая изменение информации о мероприятиях, публикации новостей, удаление или искажение файлов и баз данных;
Получение пользователями неверной информации о торгах и мероприятиях.
Падение доверия к ресурсу и компании в целом
УГРОЗЫ И
ПОСЛЕДСТВИЯ
1
55
Техническая составляющая
Функциональные последствия
Бизнес-последствия
Атаки на пользователей сайта путём заражения страниц сайта вирусами и размещения ссылок, содержащих инструменты взлома;
Сайт индексируется поисковиками, как опасный, что понижает его посещаемость.
Падение доверия к ресурсу и компании в целом
Подмена содержания страниц: размещение противозаконного контента: призывы к экстремизму, порнография и т.п.;
Получение пользователаминеверной информации о компании, её позиции, мероприятиях.
Санкции со стороны регуляторов, вплоть до блокировки сайта. Штрафы
УГРОЗЫ И
ПОСЛЕДСТВИЯ
2
66
OWASP TOP-10
1. Инъекции — Injections2. Недочеты системы аутентификации и хранения сессий (Broken Authentication
and Session Management)3. Межсайтовый скриптинг – XSS (Cross Site Scripting)4. Небезопасные прямые ссылки на объекты (Insecure Direct Object References)5. Небезопасная конфигурация (Security Misconfiguration)6. Незащищенность критичных данных (Sensitive Data Exposure)7. Отсутствие функций контроля доступа (Missing Function Level Access Control)8. Межсайтовая подделка запроса (Cross-Site Request Forgery, CSRF/XSRF)9. Использование компонентов с известными уязвимостями (Using Components
with Known Vulnerabilities)10. Непроверенные переадресации и пересылки (Unvalidated Redirects and
Forwards)
77
СПЕЦИФИКА
Непрерывная разработка
Запросы на функции формируются изнутри (функциональный
заказчик) и снаружи (требования, рынок)
Нет времени на систематический анализ
Разработка заказная – заказчик один
SDL cлишком дорог, внешний контроль слишком долог
Функционал превыше всего
Затруднительно оценить ущерб от плохого кода, безопасность не на
первом месте
88
ТРЕБОВАНИЯ И
KPIДёшево: новые фичи
на рынок
Быстро:
Реализация
фантазий
заказчика
Качественно:
Без инцидентов
и ущерба
99
БИЗНЕС-БЕЗОПАСНИК
У вас тут дырка
Да её не найдут
А найдут-не проэксплуатируют
А проэксплуатируют – не нанесут ущерба
А нанесут ущерб – он будет меньше, чем мы заработаем
1010
РАЗРАБОТЧИК –
БЕЗОПАСНИК
У вас тут дырка
Нам она нужна для другого
Да она не эксплуатируемая
Знаем, но некогда исправлять
Если исправим, отвалится функционал
1111
ИЗ МЫШЕК В
ЁЖИКИ
Все понимают, что так,
как сейчас - плохоВсе понимают, как надо
1212
ЧТО ДЕЛАТЬ?
ВАРИАНТ 1, ФАНТАСТИЧЕСКИЙ
Сделать всё правильно. Внедрить SDL,Научить программистов. Найти
бюджеты. Построить процессы. Ага.
1313
ЧТО ДЕЛАТЬ?
ВАРИАНТ 2, СОВЕТСКИЙ
Получить право вето. Пугать бизнес и
программистов. Ну-ну.
1414
ЧТО ДЕЛАТЬ?
ВАРИАНТ 3, ИДЕАЛЬНЫЙ
Стать полезным
1515
Специфика бизнес-приложений
Атаки не предотвращаются, а отражаются в ручном
режиме, когда мало что можно изменить
Приложение проектируется, кодируется и внедряется без
учёта требований информационной безопасности
Безопасники подключаются на этапе тестирования, когда
исправлять приложение очень дорого или невозможно
Малейшее изменение системы требует перенастройки
средств безопасности
Большое количество ложных срабатываний приводит к
тому, что защита переводится в пассивный режим
1616
Безопасная разработка
Проверка модулем
CCS
Выпуск кода в
продакшн
Проверка модулем
WAF
Виртуальный патчинг
Постановка задачи по
исправлению
Выпуск обновлений
Интеграция CCS и
WAF значительно
повысит качество
кода и надежность
веб-приложения.
1717
Комплексная защита
веб-инфраструктуры
Проверка модулем
CCS
Выпуск кода в
продакшн
Проверка модулем
WAF
Виртуальный патчинг
Постановка задачи по
исправлению
Выпуск обновлений
Интеграция CCS и
WAF и AntiDDoS защитит веб-
инфраструктуру
компании от
большинства
интернет-угроз
Дополнение правил
блокировки на модуле
AntiDDoS
1818
РАЗРАБОТЧИК –
БЕЗОПАСНИК
Вот дырка, вот эксплойт, вот рекомендации по исправлению
Спасибо, брат. Как ты это делаешь?
Вот этот запрос завалит базу, надо переписать вот так
Вот этот вызов уронит другое приложение, надо изменить
1919
БИЗНЕС-БЕЗОПАСНИК
У вас в этой функции риск потери клиентских данных с
вероятностью 75%
Охренеть! Зайди за премией
Мы выдали рекомендации разработчикам, а пока
прикрыли компенсирующими мерами
Оптимизировали запросы, производительность колл-центра увеличится на 30%
20
ВОПРОСЫ, ПОЖАЛУЙСТА
Рустем Хайретдинов,Заместитель генерального директора,АО Инфовотч