1. Статистика по результатам
тестирований на проникновение и
анализа защищенности веб-
приложений 2011-2012
Дмитрий Евтеев

2. http://www.ptsecurity.ru/lab/analytics/
Статистика по результатам тестирований на
проникновение 2011-2012
Статистика уязвимостей в веб-приложениях за 2012 год
(с 2006 года)
Статистика уязвимостей систем дистанционного
банковского обслуживания 2011-2012
Аналитика Positive Technologies

3. Тестирование на проникновение – это один из
методов проведения аудита информационной
безопасности, который при расширении
соответствующих границ позволяет получить оценку
состояния процессов информационной безопасности
на принципиально новом качественном уровне.
Тестирование на проникновение

4. Пентест - это запустить троянчика на
компьютере генерального директора.
Пентест в отличии от аудита ИБ бесполезен.
Пентест бесполезен для Бизнеса.
Пентест - это имитация
действий злоумышленника.
Заблуждения дилетантов про пентесты

5. Позитивное тестирование на проникновение
Заказчик
Формирование
требований,
определение границ
проведения работ
Менеджер
проекта
Управление
проектом
Группа экспертов
Сбор информации
Аналитик
Анализ результатов оценки
защищенности, оформление отчетных
документов
Группа экспертов
Инвентаризация сети,
идентификация сервисов
Группа экспертов
Идентификация уязвимостей:
инструментальное
сканирование и ручные
методы
Группа экспертов
Эксплуатация уязвимостей:
получение доступа,
повышение привилегий
Группа экспертов
Оценка защищенности
веб-приложений
Анализ защищенности с
новым уровнем
привилегий
Группа экспертов
Оценка защищенности
беспроводных сетей
Отчет
Система трекинга
Система автоматизации
социотехнических
проверок
База знаний по уязвимостям и методам
эксплутации
Система
тестирования
Координатор
проекта
Управление
проектом
(технические
аспекты)
Координатор проекта
Управление проектом
(технические аспекты),
контроль качества
Эксперты в различных
областях (SCADA, ERP, и др.)
привлекаются при
необходимости
Презентация Группа экспертов
Оценка эффективности
программы осведомленности в
вопросах ИБ Разработчики
Обновление базы
знаний MaxPatrol
База знаний

6. Минимальный уровень нарушителя для полного
контроля над критичными ресурсами

7. Наиболее распространенные уязвимости

8. Их МНОГО и они уязвимы
«Пароли», Человеки, Технологии, Продукты,
Организационные составляющие и т.п.
Идентификаторы и пароли

9. ВСЕ веб-приложения уязвимы
Их ОЧЕНЬ много и они присутствуют практически во
всех компонентах информационной системы
Уязвимости веб-приложений

10. Уязвимости веб-приложений по степени риска (доля
сайтов, %)
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
Высокий Средний Низкий
45%
90% [ЗНАЧЕ
НИЕ]

11. Позитивный анализ приложений
Заказчик
Формирование
требований,
определение границ
проведения работ
Эксперт
Автоматизированное
сканирование, проверка
соответствия
конфигураций
рекомендациям по
безопасной настройке
Группа экспертов
Анализ PHP-кода
Система трекинга Группа экспертов
Анализ JAVA, ASP.NET и
другого кода
Группа экспертов
Анализ мобильных
приложений
Аналитик
Анализ результатов оценки
защищенности, оформление отчетных
документов
Отчет
Веб-приложение Веб-приложение
Веб-приложение
Мобильное
приложение
Менеджер проекта
Управление проектом
(организационные
вопросы)
Архитектор проекта
Управление проектом
(технические аспекты)

12. Наиболее распространенные уязвимости
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
73%
63%
46%
33% 31% 30% 30%
24%
18% 18%

13. Доля уязвимых сайтов для разных языков
программирования
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
ASP.NET Java Perl PHP
10%
15%
29%
83%
90%
100%
76%
92%
80%
62%
88%
63%
Высокий Средний Низкий

14. Характерные уязвимости для сайтов на различных
языках программирования
PHP Доля сайтов ASP.NET Доля сайтов Java Доля сайтов
Cross-Site Request
Forgery
73%
Cross-Site
Scripting
39%
Insufficient
Authorization
41%
SQL Injection 61%
Cross-Site Request
Forgery
35%
Cross-Site Request
Forgery
35%
Cross-Site
Scripting
43%
Insufficient Anti-
automation
35%
Application
Misconfiguration
29%
Insufficient Anti-
automation
42% SQL Injection 22%
Insufficient
Authentication
29%
Path Traversal 42%
Application
Misconfiguration
17% OS Commanding 29%

15. Доля сайтов по максимальному уровню критичности
уязвимостей
10%
15%
29%
83%
80%
85%
53%
17%
10%
18%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
ASP.NET
Java
Perl
PHP

16. Распределение уязвимостей по уровням риска в
зависимости от типа CMS
25%
25%
7%
70%
72%
89%
5%
3%
4%
Собственной
разработки
Свободные
Коммерческие
Высокий Средний Низкий

17. Демка

18. Вероятность успешной атаки возрастает с числом
доступных систем и сервисов атакующему
Системы X Сервисы X Сервисы других систем &&
Пользователей, при этом Системы/Сервисы/
Пользователи постоянно пополняются
Не эффективное разграничение сетевых сервисов

19. Проблема «Бога»
Проблема множества систем X на количество
пользователей
Обслуживание инфраструктуры
Шифрование?
Установка «закладок»
Управление доступом/использование привилегий

20. Сервисы инфраструктуры
Популяризация «мобильного офиса»
Удаленный доступ для администратора сети
Клиенты и партнеры
Забытый «мусор» на периметре…
Необходимость в публикации приложений для
доступа «из вне»

21. Уровень привилегий, полученных от лица внешнего
нарушителя

22. Демка

23. http://www.ptsecurity.ru/lab/analytics/
Статистика по результатам тестирований на
проникновение 2011-2012
Статистика уязвимостей в веб-приложениях за 2012 год
(с 2006 года)
Статистика уязвимостей систем дистанционного
банковского обслуживания 2011-2012
Более подробно

24. Спасибо за внимание!
sdevteev@gmail.com
http://devteev.blogspot.com
https://twitter.com/devteev