Анализ защищенности интернет-проектов

2,648 views
2,562 views

Published on

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
2,648
On SlideShare
0
From Embeds
0
Number of Embeds
440
Actions
Shares
0
Downloads
139
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Анализ защищенности интернет-проектов

  1. 1. Анализ защищенности интернет-проектов Дмитрий Евтеев ( Positive Technologies) Web Application Security Consortium (WASC) Contributor
  2. 2. <ul><li>Хакеры сфокусировали свое внимание на веб-сервисах </li></ul><ul><ul><li>75% всех атак направлено на уровень Web-приложений (Gartner) </li></ul></ul><ul><ul><li>60% всех зафиксированных атак в настоящее время нацелено на эксплуатацию уязвимостей в Web-приложениях (SANS) </li></ul></ul><ul><li>Большинство веб-приложений уязвимы </li></ul><ul><ul><li>90% сайтов являются уязвимыми (Watchfire) </li></ul></ul><ul><ul><li>78% уязвимых Web-приложений могут быть легко атакованы (Symantec) </li></ul></ul><ul><ul><li>80% организаций в 2010 году столкнутся хотя бы одним инцидентом, связанным с безопасностью web-приложений (Gartner) </li></ul></ul>Согласно последним данным аналитиков IBM 75% атак приходиться на Web- приложения, в то время как на обеспечение их безопасности тратиться только 10% от общих затрат.
  3. 3. IBM X-Force 2009 Trend and Risk Report: http://www.servicemanagementcenter.com/main/pages/IBMRBMS/SMRC/ShowCollateral.aspx?oid=74711 Динамика обнаруженных уязвимостей в веб-приложениях с 1998 года
  4. 4. <ul><li>По данным компании Positive Technologies за 2009 год </li></ul><ul><ul><li>79% сайтов содержат критические уязвимости </li></ul></ul><ul><ul><li>58% сайтов содержат уязвимости средней степени риска </li></ul></ul><ul><ul><li>вероятность автоматизированного заражения страниц уязвимого Web-приложения вредоносным кодом при использовании некоторых уязвимостей достигает 100% </li></ul></ul><ul><ul><li>http://ptsecurity.ru/analytics.asp </li></ul></ul>Данные основываются на проведении 6239 автоматических сканирований, детальном анализе 77 Web-приложений, преимущественно с использованием методики «черного-ящика». Уязвимости веб-приложений
  5. 5. Вероятность обнаружения уязвимостей различной степени риска (по данным за 2009 год) http://ptsecurity.ru/analytics.asp Уязвимости веб-приложений
  6. 6. Классификация уязвимостей в web- приложениях <ul><li>Web Application Security Consortium WASC-TCv2 / OWASP Top 10 </li></ul><ul><li>CWE/SANS Top 25 Most Dangerous Programming Errors 2010 </li></ul><ul><li>Threat Classification References Mapping Proposal </li></ul><ul><ul><li>http://projects.webappsec.org/Threat%20Classification%20References%20Mapping%20Proposal </li></ul></ul>http://projects.webappsec.org/Threat-Classification http://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project http://cwe.mitre.org/top25/archive/2010/2010_cwe_sans_top25.pdf
  7. 7. <ul><ul><li>Наиболее часто встречающиеся уязвимости веб-приложений при проведении анализа методом «черного ящика» (данные за 2009 год, http://ptsecurity.ru/analytics.asp ) </li></ul></ul>Наиболее часто встречающиеся уязвимости
  8. 8. <ul><li>&quot;Лаборатория Касперского&quot; предупреждает о массовом взломе - на 10,000 серверов были размещены опасные ссылки </li></ul><ul><li>ScanSafe сообщают об обнаружении в сети Интернет более 64,000 web -сайтов, зараженных одним и тем же интернет-червем </li></ul>Распределение критических уязвимостей по инфицированным сайтам (по данным Positive Technologies за 2009 год) http://ptsecurity.ru/analytics.asp Массовые заражения интернет - ресурсов
  9. 9. Подходы по снижению угроз <ul><li>Директивный подход ( Directive) </li></ul><ul><ul><li>Software Development Life Cycle ( SDLC ), «бумажная безопасность», выстраивание высокоуровневых процессов </li></ul></ul><ul><li>Детективный подход ( Detective) </li></ul><ul><ul><li>Тестирование функций (black/white-box), фаззинг (fuzzing), статический/динамический/ручной анализ исходного кода </li></ul></ul><ul><li>Профилактический подход ( Preventive) </li></ul><ul><ul><li>Intrusion Detection/Prevention Systems (IDS/IPS) , Web Application Firewall ( WAF ) </li></ul></ul><ul><li>Корректирующий подход ( Corrective) </li></ul><ul><ul><li>Ведение журналов событий, обработка инцидентов </li></ul></ul><ul><li>Подход к восстановлению ( Recovery) </li></ul><ul><ul><li>Резервное копирование, стратегия обеспечения непрерывности бизнес-процессов ( BS25999 ) </li></ul></ul>
  10. 10. Способы обнаружения уязвимостей <ul><li>Тестирование функций </li></ul><ul><ul><li>Метод «черного ящика» ( black - box ) </li></ul></ul><ul><ul><li>Метод «серого ящика» ( gray - box ) </li></ul></ul><ul><ul><li>Метод «белого ящика» ( white - box ) </li></ul></ul><ul><li>Фаззинг ( fuzzing) </li></ul><ul><li>Анализ исходного кода </li></ul><ul><ul><li>Статический анализ </li></ul></ul><ul><ul><li>Динамический анализ </li></ul></ul><ul><ul><li>Ручной анализ </li></ul></ul><ul><li>Бинарный анализ приложения ( binary analysis ) </li></ul>
  11. 11. <ul><li>Что такое анализ веб-приложения методикой «черного ящика» ? </li></ul>Web- сервер Рабочее место аудитора Проверка 1 Проверка N Найдена уязвимость <ul><li>Уязвимость 1: подбор пароля Impact: доступ к приложению (с ограниченными привилегиями) </li></ul><ul><li>Уязвимость 2: внедрение операторов SQL Impact: только чтение файлов (включена опция magic quotes) </li></ul><ul><li>Уязвимость 3: выход за каталог Impact: только чтение файлов (потенциально LFI) </li></ul><ul><li>Уязвимость 4: предсказуемое значение идентификатора загружаемого файла Уязвимость 3 + Уязвимость 4 = Impact: выполнение команд на сервере </li></ul>
  12. 12. http://www.ptsecurity.ru/maxpatrol.asp Пример автоматизированного тестирования функций методом «черного ящика» <ul><li>Сканирование с использованием MaxPatrol </li></ul>
  13. 13. <ul><li>Более 40% паролей можно взломать из-за простоты </li></ul><ul><li>Статистика по паролям низкой стойкости у администраторов : </li></ul>Данные основываются на анализе более чем 185 тысяч паролей пользователей ( http://www.ptsecurity.ru/download/PT-Metrics-Passwords-2009.pdf ). Статистика используемых паролей в России
  14. 14. <ul><li>Что такое анализ веб-приложения методикой «белого ящика» ? </li></ul>Web- сервер Рабочее место аудитора Проверка 1 <ul><li>Уязвимости на первом этапе: внедрение операторов SQL, межсайтовое выполнение сценариев, различные варианты утечки информации и пр. </li></ul><ul><li>Уязвимости на втором этапе: логические уязвимости, предсказуемое значение идентификатора сессии, подделка HTTP- запросов и пр. </li></ul><ul><li>Уязвимости на других этапах: небезопасные конфигурации, уровень соответствия архитектуры приложения отраслевым стандартам и пр. </li></ul>Проверка N Найдены уязвимости Найдены недостатки
  15. 15. Распределение узлов по максимальному уровню уязвимости (% сайтов по данным за 2009 год) http://ptsecurity.ru/analytics.asp Уязвимости веб-приложений
  16. 16. Анализ исходного кода web- приложения <ul><li>Статический анализ </li></ul><ul><ul><li>Минусы </li></ul></ul><ul><ul><li>Ошибки первого рода (false negative — «ненайденные уязвимости») при использовании статического анализа возникают в силу следующих причин: </li></ul></ul><ul><ul><li>при программировании w eb-приложения используется сложный синтаксис; </li></ul></ul><ul><ul><li>проверки переменных происходят с использованием собственных функций приложения; </li></ul></ul><ul><ul><li>отсутствуют соответствующие сигнатуры. </li></ul></ul><ul><ul><li>В силу фундаментальных ограничений сигнатурного поиска возникает множество ошибок второго рода (false positive — «ложные сообщения об уязвимостях»). </li></ul></ul><ul><ul><li>Плюсы </li></ul></ul><ul><li>Простота в реализации. </li></ul><ul><li>Наиболее известные разработчики коммерческих продуктов </li></ul><ul><ul><li>Armorize Technologies, Fortify, Ounce Labs </li></ul></ul>
  17. 17. Анализ исходного кода web- приложения <ul><li>Динамический анализ </li></ul><ul><ul><li>Минусы </li></ul></ul><ul><li>Присущи те же недостатки, что и сканерам безопасности. Например, невозможно выявить уязвимости «Небезопасное восстановление паролей», «Отсутствие тайм-аута сессии», «Логические атаки» и пр. </li></ul><ul><li>Сложность в реализации. </li></ul><ul><ul><li>Плюсы </li></ul></ul><ul><li>Наиболее качественная оценка исходного кода. </li></ul><ul><li>Наиболее известные разработчики коммерческих продуктов </li></ul><ul><ul><li>Coverity, Valgrind, Fortify PTA </li></ul></ul>
  18. 18. Уязвимости веб-приложений Распределение уязвимостей согласно классам WASC WSTCv2 (обобщенные результаты по данным Positive Technologies за 2009 год) http://ptsecurity.ru/analytics.asp
  19. 19. <ul><li>Критические уязвимости можно встретить даже на широко известных и крупных интернет - ресурсах </li></ul>
  20. 20. Как безопасность Web-приложения может поставить под угрозу безопасность всей сети?
  21. 21. <ul><ul><li>Сканирование сети </li></ul></ul><ul><ul><li>Успешно подобран пароль! </li></ul></ul><ul><ul><li>Эксплуатация SQL Injection </li></ul></ul><ul><ul><li>Выполнение команд на сервере </li></ul></ul><ul><ul><li>Повышение привилегий </li></ul></ul><ul><ul><li>Атака на внутренние ресурсы </li></ul></ul>Как безопасность Web-приложения может поставить под угрозу безопасность всей сети?
  22. 22. <ul><ul><li>Сканирование сети </li></ul></ul><ul><ul><li>Успешно подобран пароль! </li></ul></ul><ul><ul><li>Эксплуатация SQL Injection </li></ul></ul><ul><ul><li>Выполнение команд на сервере </li></ul></ul><ul><ul><li>Повышение привилегий </li></ul></ul><ul><ul><li>Атака на внутренние ресурсы </li></ul></ul><ul><ul><li>Внутренний пентест </li></ul></ul><ul><ul><li>Установка сканера MaxPatrol </li></ul></ul><ul><ul><li>Поиск уязвимостей </li></ul></ul><ul><ul><li>Эксплуатация уязвимостей </li></ul></ul><ul><ul><li>Перемещение в ИС ЦО </li></ul></ul><ul><ul><li>Проведение атаки на ресурсы ЦО </li></ul></ul><ul><ul><li>Получение максимальных привилегий во всей сети! </li></ul></ul>Как безопасность Web-приложения может поставить под угрозу безопасность всей сети?
  23. 23. Концепция безопасного интернет-проекта <ul><li>Уязвимость не является свойством интернет-проекта! </li></ul><ul><li>Безопасность должна быть разумной </li></ul><ul><li>Безопасность должна быть комплексной </li></ul><ul><li>Безопасность – это непрерывный процесс </li></ul>
  24. 24. <ul><li>Из чего складывается защищенность веб-ресурса ? </li></ul><ul><li>Процесс разработки Web- приложения </li></ul><ul><li>Жизненный цикл разработки программного обеспечения (SDLC) </li></ul><ul><li>Требования к информационной безопасности (архитектура приложения) </li></ul><ul><li>Состояние промышленной среды </li></ul><ul><li>Поддержка актуального состояния ОС/ПО и сопутствующих компонентов </li></ul><ul><li>Безопасные конфигурации ( CIS , etc) </li></ul><ul><li>Обеспечение доступности </li></ul><ul><li>Анализ защищенности </li></ul><ul><li>Проверка выполнения требований к информационной безопасности </li></ul><ul><li>Тестирование функций (fuzzing) и поиск уязвимостей (WASC, OWASP) </li></ul><ul><li>Непрерывный мониторинг </li></ul><ul><li>IDS/IPS </li></ul><ul><li>Web Application Firewall (WAF) </li></ul>Концепция безопасного интернет-проекта
  25. 25. Positive Technologies <ul><li>7 лет работы в области информационной безопасности </li></ul><ul><li>Основные направления деятельности: </li></ul><ul><ul><li>разработка одного из лучших сетевых сканеров XSpider ; </li></ul></ul><ul><ul><li>разработка уникального продукта - системы контроля защищенности и соответствия стандартам MaxPatrol ; </li></ul></ul><ul><ul><li>предоставление консалтинговых и сервисных услуг в области информационной безопасности; </li></ul></ul><ul><ul><li>развитие специализированного портала Securitylab. </li></ul></ul><ul><li>Positive Technologies – лаборатория безопасности </li></ul><ul><ul><li>постоянный мониторинг новых уязвимостей; </li></ul></ul><ul><ul><li>внутренняя система описания уязвимостей; </li></ul></ul><ul><ul><li>одна из наиболее профессиональных команд в Европе; </li></ul></ul><ul><ul><li>MaxPatrol – ежедневные обновления. </li></ul></ul>
  26. 26. Спасибо за внимание! [email_address] http://devteev.blogspot.com /

×