Статистика по результатам тестирований на проникновение и анализа защищенности веб-приложений 2011-2012
Upcoming SlideShare
Loading in...5
×
 

Статистика по результатам тестирований на проникновение и анализа защищенности веб-приложений 2011-2012

on

  • 6,222 views

 

Statistics

Views

Total Views
6,222
Views on SlideShare
926
Embed Views
5,296

Actions

Likes
0
Downloads
17
Comments
0

53 Embeds 5,296

http://devteev.blogspot.ru 3731
http://devteev.blogspot.com 897
http://www.securitylab.ru 277
http://www.devteev.blogspot.ru 89
http://feeds.feedburner.com 76
http://cloud.feedly.com 22
http://devteev.blogspot.de 22
http://devteev.blogspot.it 19
http://devteev.blogspot.co.il 16
http://devteev.blogspot.fr 15
http://translate.googleusercontent.com 10
http://devteev.blogspot.co.uk 10
http://devteev.blogspot.ro 6
http://www.feedspot.com 6
http://devteev.blogspot.fi 6
http://devteev.blogspot.in 6
http://www.newsblur.com 5
http://devteev.blogspot.mx 5
http://devteev.blogspot.com.ar 5
http://devteev.blogspot.ca 5
http://devteev.blogspot.dk 4
http://feedspot.com 4
http://venerates34.rssing.com 4
http://feedly.com 4
http://devteev.blogspot.com.br 4
http://www.feedly.com 4
http://devteev.blogspot.nl 3
http://devteev.blogspot.gr 3
http://devteev.blogspot.kr 3
http://devteev.blogspot.co.nz 3
http://devteev.blogspot.cz 2
http://devteev.blogspot.com.au 2
http://devteev.blogspot.se 2
http://www.devteev.blogspot.com 2
http://devteev.blogspot.co.at 2
http://devteev.blogspot.sg 2
http://www.devteev.blogspot.in 2
http://devteev.blogspot.com.es 2
http://devteev.blogspot.hu 2
http://news.google.com 1
http://feedreader.com 1
http://rss.dev.new-wind.biz 1
http://hivereader.com 1
http://localhost 1
http://devteev.blogspot.sk 1
http://www.feedly.com&_=1371416018425 HTTP 1
http://127.0.0.1 1
http://digg.com 1
http://devteev.blogspot.jp 1
http://newsblur.com 1
More...

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Статистика по результатам тестирований на проникновение и анализа защищенности веб-приложений 2011-2012 Статистика по результатам тестирований на проникновение и анализа защищенности веб-приложений 2011-2012 Presentation Transcript

  • Статистика по результатамтестирований на проникновение ианализа защищенности веб-приложений 2011-2012Дмитрий Евтеев
  • http://www.ptsecurity.ru/lab/analytics/Статистика по результатам тестирований напроникновение 2011-2012Статистика уязвимостей в веб-приложениях за 2012 год(с 2006 года)Статистика уязвимостей систем дистанционногобанковского обслуживания 2011-2012Аналитика Positive Technologies
  • Тестирование на проникновение – это один изметодов проведения аудита информационнойбезопасности, который при расширениисоответствующих границ позволяет получить оценкусостояния процессов информационной безопасностина принципиально новом качественном уровне.Тестирование на проникновение
  • Пентест - это запустить троянчика накомпьютере генерального директора.Пентест в отличии от аудита ИБ бесполезен.Пентест бесполезен для Бизнеса.Пентест - это имитациядействий злоумышленника.Заблуждения дилетантов про пентесты
  • Позитивное тестирование на проникновениеЗаказчикФормированиетребований,определение границпроведения работМенеджерпроектаУправлениепроектомГруппа экспертовСбор информацииАналитикАнализ результатов оценкизащищенности, оформление отчетныхдокументовГруппа экспертовИнвентаризация сети,идентификация сервисовГруппа экспертовИдентификация уязвимостей:инструментальноесканирование и ручныеметодыГруппа экспертовЭксплуатация уязвимостей:получение доступа,повышение привилегийГруппа экспертовОценка защищенностивеб-приложенийАнализ защищенности сновым уровнемпривилегийГруппа экспертовОценка защищенностибеспроводных сетейОтчетСистема трекингаСистема автоматизациисоциотехническихпроверокБаза знаний по уязвимостям и методамэксплутацииСистематестированияКоординаторпроектаУправлениепроектом(техническиеаспекты)Координатор проектаУправление проектом(технические аспекты),контроль качестваЭксперты в различныхобластях (SCADA, ERP, и др.)привлекаются принеобходимостиПрезентация Группа экспертовОценка эффективностипрограммы осведомленности ввопросах ИБ РазработчикиОбновление базызнаний MaxPatrolБаза знаний
  • Минимальный уровень нарушителя для полногоконтроля над критичными ресурсами
  • Наиболее распространенные уязвимости
  • Их МНОГО и они уязвимы«Пароли», Человеки, Технологии, Продукты,Организационные составляющие и т.п.Идентификаторы и пароли
  • ВСЕ веб-приложения уязвимыИх ОЧЕНЬ много и они присутствуют практически вовсех компонентах информационной системыУязвимости веб-приложений
  • Уязвимости веб-приложений по степени риска (долясайтов, %)0%10%20%30%40%50%60%70%80%90%Высокий Средний Низкий45%90% [ЗНАЧЕНИЕ]
  • Позитивный анализ приложенийЗаказчикФормированиетребований,определение границпроведения работЭкспертАвтоматизированноесканирование, проверкасоответствияконфигурацийрекомендациям побезопасной настройкеГруппа экспертовАнализ PHP-кодаСистема трекинга Группа экспертовАнализ JAVA, ASP.NET идругого кодаГруппа экспертовАнализ мобильныхприложенийАналитикАнализ результатов оценкизащищенности, оформление отчетныхдокументовОтчетВеб-приложение Веб-приложениеВеб-приложениеМобильноеприложениеМенеджер проектаУправление проектом(организационныевопросы)Архитектор проектаУправление проектом(технические аспекты)
  • Наиболее распространенные уязвимости0%10%20%30%40%50%60%70%80%90%100%73%63%46%33% 31% 30% 30%24%18% 18%
  • Доля уязвимых сайтов для разных языковпрограммирования0%10%20%30%40%50%60%70%80%90%100%ASP.NET Java Perl PHP10%15%29%83%90%100%76%92%80%62%88%63%Высокий Средний Низкий
  • Характерные уязвимости для сайтов на различныхязыках программированияPHP Доля сайтов ASP.NET Доля сайтов Java Доля сайтовCross-Site RequestForgery73%Cross-SiteScripting39%InsufficientAuthorization41%SQL Injection 61%Cross-Site RequestForgery35%Cross-Site RequestForgery35%Cross-SiteScripting43%Insufficient Anti-automation35%ApplicationMisconfiguration29%Insufficient Anti-automation42% SQL Injection 22%InsufficientAuthentication29%Path Traversal 42%ApplicationMisconfiguration17% OS Commanding 29%
  • Доля сайтов по максимальному уровню критичностиуязвимостей10%15%29%83%80%85%53%17%10%18%0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%ASP.NETJavaPerlPHP
  • Распределение уязвимостей по уровням риска взависимости от типа CMS25%25%7%70%72%89%5%3%4%СобственнойразработкиСвободныеКоммерческиеВысокий Средний Низкий
  • Демка
  • Вероятность успешной атаки возрастает с числомдоступных систем и сервисов атакующемуСистемы X Сервисы X Сервисы других систем &&Пользователей, при этом Системы/Сервисы/Пользователи постоянно пополняютсяНе эффективное разграничение сетевых сервисов
  • Проблема «Бога»Проблема множества систем X на количествопользователейОбслуживание инфраструктурыШифрование?Установка «закладок»Управление доступом/использование привилегий
  • Сервисы инфраструктурыПопуляризация «мобильного офиса»Удаленный доступ для администратора сетиКлиенты и партнерыЗабытый «мусор» на периметре…Необходимость в публикации приложений длядоступа «из вне»
  • Уровень привилегий, полученных от лица внешнегонарушителя
  • Демка
  • http://www.ptsecurity.ru/lab/analytics/Статистика по результатам тестирований напроникновение 2011-2012Статистика уязвимостей в веб-приложениях за 2012 год(с 2006 года)Статистика уязвимостей систем дистанционногобанковского обслуживания 2011-2012Более подробно
  • Спасибо за внимание!sdevteev@gmail.comhttp://devteev.blogspot.comhttps://twitter.com/devteev