Статистика по результатам тестирований на проникновение и анализа защищенности веб-приложений 2011-2012

  • 6,070 views
Uploaded on

 

  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
6,070
On Slideshare
0
From Embeds
0
Number of Embeds
58

Actions

Shares
Downloads
24
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Статистика по результатамтестирований на проникновение ианализа защищенности веб-приложений 2011-2012Дмитрий Евтеев
  • 2. http://www.ptsecurity.ru/lab/analytics/Статистика по результатам тестирований напроникновение 2011-2012Статистика уязвимостей в веб-приложениях за 2012 год(с 2006 года)Статистика уязвимостей систем дистанционногобанковского обслуживания 2011-2012Аналитика Positive Technologies
  • 3. Тестирование на проникновение – это один изметодов проведения аудита информационнойбезопасности, который при расширениисоответствующих границ позволяет получить оценкусостояния процессов информационной безопасностина принципиально новом качественном уровне.Тестирование на проникновение
  • 4. Пентест - это запустить троянчика накомпьютере генерального директора.Пентест в отличии от аудита ИБ бесполезен.Пентест бесполезен для Бизнеса.Пентест - это имитациядействий злоумышленника.Заблуждения дилетантов про пентесты
  • 5. Позитивное тестирование на проникновениеЗаказчикФормированиетребований,определение границпроведения работМенеджерпроектаУправлениепроектомГруппа экспертовСбор информацииАналитикАнализ результатов оценкизащищенности, оформление отчетныхдокументовГруппа экспертовИнвентаризация сети,идентификация сервисовГруппа экспертовИдентификация уязвимостей:инструментальноесканирование и ручныеметодыГруппа экспертовЭксплуатация уязвимостей:получение доступа,повышение привилегийГруппа экспертовОценка защищенностивеб-приложенийАнализ защищенности сновым уровнемпривилегийГруппа экспертовОценка защищенностибеспроводных сетейОтчетСистема трекингаСистема автоматизациисоциотехническихпроверокБаза знаний по уязвимостям и методамэксплутацииСистематестированияКоординаторпроектаУправлениепроектом(техническиеаспекты)Координатор проектаУправление проектом(технические аспекты),контроль качестваЭксперты в различныхобластях (SCADA, ERP, и др.)привлекаются принеобходимостиПрезентация Группа экспертовОценка эффективностипрограммы осведомленности ввопросах ИБ РазработчикиОбновление базызнаний MaxPatrolБаза знаний
  • 6. Минимальный уровень нарушителя для полногоконтроля над критичными ресурсами
  • 7. Наиболее распространенные уязвимости
  • 8. Их МНОГО и они уязвимы«Пароли», Человеки, Технологии, Продукты,Организационные составляющие и т.п.Идентификаторы и пароли
  • 9. ВСЕ веб-приложения уязвимыИх ОЧЕНЬ много и они присутствуют практически вовсех компонентах информационной системыУязвимости веб-приложений
  • 10. Уязвимости веб-приложений по степени риска (долясайтов, %)0%10%20%30%40%50%60%70%80%90%Высокий Средний Низкий45%90% [ЗНАЧЕНИЕ]
  • 11. Позитивный анализ приложенийЗаказчикФормированиетребований,определение границпроведения работЭкспертАвтоматизированноесканирование, проверкасоответствияконфигурацийрекомендациям побезопасной настройкеГруппа экспертовАнализ PHP-кодаСистема трекинга Группа экспертовАнализ JAVA, ASP.NET идругого кодаГруппа экспертовАнализ мобильныхприложенийАналитикАнализ результатов оценкизащищенности, оформление отчетныхдокументовОтчетВеб-приложение Веб-приложениеВеб-приложениеМобильноеприложениеМенеджер проектаУправление проектом(организационныевопросы)Архитектор проектаУправление проектом(технические аспекты)
  • 12. Наиболее распространенные уязвимости0%10%20%30%40%50%60%70%80%90%100%73%63%46%33% 31% 30% 30%24%18% 18%
  • 13. Доля уязвимых сайтов для разных языковпрограммирования0%10%20%30%40%50%60%70%80%90%100%ASP.NET Java Perl PHP10%15%29%83%90%100%76%92%80%62%88%63%Высокий Средний Низкий
  • 14. Характерные уязвимости для сайтов на различныхязыках программированияPHP Доля сайтов ASP.NET Доля сайтов Java Доля сайтовCross-Site RequestForgery73%Cross-SiteScripting39%InsufficientAuthorization41%SQL Injection 61%Cross-Site RequestForgery35%Cross-Site RequestForgery35%Cross-SiteScripting43%Insufficient Anti-automation35%ApplicationMisconfiguration29%Insufficient Anti-automation42% SQL Injection 22%InsufficientAuthentication29%Path Traversal 42%ApplicationMisconfiguration17% OS Commanding 29%
  • 15. Доля сайтов по максимальному уровню критичностиуязвимостей10%15%29%83%80%85%53%17%10%18%0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%ASP.NETJavaPerlPHP
  • 16. Распределение уязвимостей по уровням риска взависимости от типа CMS25%25%7%70%72%89%5%3%4%СобственнойразработкиСвободныеКоммерческиеВысокий Средний Низкий
  • 17. Демка
  • 18. Вероятность успешной атаки возрастает с числомдоступных систем и сервисов атакующемуСистемы X Сервисы X Сервисы других систем &&Пользователей, при этом Системы/Сервисы/Пользователи постоянно пополняютсяНе эффективное разграничение сетевых сервисов
  • 19. Проблема «Бога»Проблема множества систем X на количествопользователейОбслуживание инфраструктурыШифрование?Установка «закладок»Управление доступом/использование привилегий
  • 20. Сервисы инфраструктурыПопуляризация «мобильного офиса»Удаленный доступ для администратора сетиКлиенты и партнерыЗабытый «мусор» на периметре…Необходимость в публикации приложений длядоступа «из вне»
  • 21. Уровень привилегий, полученных от лица внешнегонарушителя
  • 22. Демка
  • 23. http://www.ptsecurity.ru/lab/analytics/Статистика по результатам тестирований напроникновение 2011-2012Статистика уязвимостей в веб-приложениях за 2012 год(с 2006 года)Статистика уязвимостей систем дистанционногобанковского обслуживания 2011-2012Более подробно
  • 24. Спасибо за внимание!sdevteev@gmail.comhttp://devteev.blogspot.comhttps://twitter.com/devteev