Статистика по результатам тестирований на проникновение и анализа защищенности веб-приложений 2011-2012

7,142 views
7,111 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
7,142
On SlideShare
0
From Embeds
0
Number of Embeds
67
Actions
Shares
0
Downloads
27
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Статистика по результатам тестирований на проникновение и анализа защищенности веб-приложений 2011-2012

  1. 1. Статистика по результатамтестирований на проникновение ианализа защищенности веб-приложений 2011-2012Дмитрий Евтеев
  2. 2. http://www.ptsecurity.ru/lab/analytics/Статистика по результатам тестирований напроникновение 2011-2012Статистика уязвимостей в веб-приложениях за 2012 год(с 2006 года)Статистика уязвимостей систем дистанционногобанковского обслуживания 2011-2012Аналитика Positive Technologies
  3. 3. Тестирование на проникновение – это один изметодов проведения аудита информационнойбезопасности, который при расширениисоответствующих границ позволяет получить оценкусостояния процессов информационной безопасностина принципиально новом качественном уровне.Тестирование на проникновение
  4. 4. Пентест - это запустить троянчика накомпьютере генерального директора.Пентест в отличии от аудита ИБ бесполезен.Пентест бесполезен для Бизнеса.Пентест - это имитациядействий злоумышленника.Заблуждения дилетантов про пентесты
  5. 5. Позитивное тестирование на проникновениеЗаказчикФормированиетребований,определение границпроведения работМенеджерпроектаУправлениепроектомГруппа экспертовСбор информацииАналитикАнализ результатов оценкизащищенности, оформление отчетныхдокументовГруппа экспертовИнвентаризация сети,идентификация сервисовГруппа экспертовИдентификация уязвимостей:инструментальноесканирование и ручныеметодыГруппа экспертовЭксплуатация уязвимостей:получение доступа,повышение привилегийГруппа экспертовОценка защищенностивеб-приложенийАнализ защищенности сновым уровнемпривилегийГруппа экспертовОценка защищенностибеспроводных сетейОтчетСистема трекингаСистема автоматизациисоциотехническихпроверокБаза знаний по уязвимостям и методамэксплутацииСистематестированияКоординаторпроектаУправлениепроектом(техническиеаспекты)Координатор проектаУправление проектом(технические аспекты),контроль качестваЭксперты в различныхобластях (SCADA, ERP, и др.)привлекаются принеобходимостиПрезентация Группа экспертовОценка эффективностипрограммы осведомленности ввопросах ИБ РазработчикиОбновление базызнаний MaxPatrolБаза знаний
  6. 6. Минимальный уровень нарушителя для полногоконтроля над критичными ресурсами
  7. 7. Наиболее распространенные уязвимости
  8. 8. Их МНОГО и они уязвимы«Пароли», Человеки, Технологии, Продукты,Организационные составляющие и т.п.Идентификаторы и пароли
  9. 9. ВСЕ веб-приложения уязвимыИх ОЧЕНЬ много и они присутствуют практически вовсех компонентах информационной системыУязвимости веб-приложений
  10. 10. Уязвимости веб-приложений по степени риска (долясайтов, %)0%10%20%30%40%50%60%70%80%90%Высокий Средний Низкий45%90% [ЗНАЧЕНИЕ]
  11. 11. Позитивный анализ приложенийЗаказчикФормированиетребований,определение границпроведения работЭкспертАвтоматизированноесканирование, проверкасоответствияконфигурацийрекомендациям побезопасной настройкеГруппа экспертовАнализ PHP-кодаСистема трекинга Группа экспертовАнализ JAVA, ASP.NET идругого кодаГруппа экспертовАнализ мобильныхприложенийАналитикАнализ результатов оценкизащищенности, оформление отчетныхдокументовОтчетВеб-приложение Веб-приложениеВеб-приложениеМобильноеприложениеМенеджер проектаУправление проектом(организационныевопросы)Архитектор проектаУправление проектом(технические аспекты)
  12. 12. Наиболее распространенные уязвимости0%10%20%30%40%50%60%70%80%90%100%73%63%46%33% 31% 30% 30%24%18% 18%
  13. 13. Доля уязвимых сайтов для разных языковпрограммирования0%10%20%30%40%50%60%70%80%90%100%ASP.NET Java Perl PHP10%15%29%83%90%100%76%92%80%62%88%63%Высокий Средний Низкий
  14. 14. Характерные уязвимости для сайтов на различныхязыках программированияPHP Доля сайтов ASP.NET Доля сайтов Java Доля сайтовCross-Site RequestForgery73%Cross-SiteScripting39%InsufficientAuthorization41%SQL Injection 61%Cross-Site RequestForgery35%Cross-Site RequestForgery35%Cross-SiteScripting43%Insufficient Anti-automation35%ApplicationMisconfiguration29%Insufficient Anti-automation42% SQL Injection 22%InsufficientAuthentication29%Path Traversal 42%ApplicationMisconfiguration17% OS Commanding 29%
  15. 15. Доля сайтов по максимальному уровню критичностиуязвимостей10%15%29%83%80%85%53%17%10%18%0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%ASP.NETJavaPerlPHP
  16. 16. Распределение уязвимостей по уровням риска взависимости от типа CMS25%25%7%70%72%89%5%3%4%СобственнойразработкиСвободныеКоммерческиеВысокий Средний Низкий
  17. 17. Демка
  18. 18. Вероятность успешной атаки возрастает с числомдоступных систем и сервисов атакующемуСистемы X Сервисы X Сервисы других систем &&Пользователей, при этом Системы/Сервисы/Пользователи постоянно пополняютсяНе эффективное разграничение сетевых сервисов
  19. 19. Проблема «Бога»Проблема множества систем X на количествопользователейОбслуживание инфраструктурыШифрование?Установка «закладок»Управление доступом/использование привилегий
  20. 20. Сервисы инфраструктурыПопуляризация «мобильного офиса»Удаленный доступ для администратора сетиКлиенты и партнерыЗабытый «мусор» на периметре…Необходимость в публикации приложений длядоступа «из вне»
  21. 21. Уровень привилегий, полученных от лица внешнегонарушителя
  22. 22. Демка
  23. 23. http://www.ptsecurity.ru/lab/analytics/Статистика по результатам тестирований напроникновение 2011-2012Статистика уязвимостей в веб-приложениях за 2012 год(с 2006 года)Статистика уязвимостей систем дистанционногобанковского обслуживания 2011-2012Более подробно
  24. 24. Спасибо за внимание!sdevteev@gmail.comhttp://devteev.blogspot.comhttps://twitter.com/devteev

×