УБРиР. Михаил Цыкарев. "Корпоративная культура. Lifestyle поколения Z."
InfoWatch. Рустем Хайретдинов. "Защита веб-приложений - от безопасной разработки до отражения атак"
1. РУСТЭМ ХАЙРЕТДИНОВ
ГЕНЕРАЛЬНЫЙ ДИРЕКТОР АТАК КИЛЛЕР,
ВИЦЕ-ПРЕЗИДЕНТ ИНФОВОТЧ
ТЕЛЕФОН: +7 (903) 961 73 12
EMAIL: RUSTEM@KHAIRETDINOV.COM
Защита веб-приложений - от
безопасной разработки до
отражения атак
27 АПРЕЛЯ 2017
САНКТ-ПЕТЕРБУРГ
#CODEIB
25 МАЯ 2017
БАКУ
#CODEIB
2. 30 лет стажа в ИТ/ 17 лет стажа в ИБ: ЛК, InfoWatch,
Appercut, Attack Killer
Сотни внедрённых ИТ и ИБ-проектов
Кандидат экономических наук, автор методики
оптимизации затрат на ИБ
Преподаватель МВА РАНХиГС при Президенте РФ
ЗДРАВСТВУЙТЕ
Рустэм Хайретдинов,. Мастеркласс. Баку, 25 мая 2017
3. Web-приложения как инструмент бизнеса
Модель угроз для web-приложения
Эволюция парадигмы защиты
Защита – часть процесса
Процессные стыки
Agile
Активно или пассивно
Роль digital officer
Перспективы
О ЧЁМ СЕГОДНЯ?
Рустэм Хайретдинов,. Мастеркласс. Баку, 25 мая 2017
4. ВЗГЛЯД НА ВЕБ-
ПРИЛОЖЕНИЯ
Бизнес
видит
возможности
$10 млрд
объем
российского рынка
электронной
коммерции
Бизнес не
интересуют
уязвимости и
атаки
Безопасность
видит
угрозы
$4 млрд
ущерб российских
компаний
от хакерских атак
Безопасность несет
ответственность за
инциденты
East-West Digital News, 2015 Symantec, 2015
6. В корпоративной информационной системе работают:
• Офисные сотрудники
• Удалённые сотрудники
• Мобильные сотрудники
• Привилегированные сотрудники
• Клиенты, партнёры, поставщики,
• Аутсорсеры
• Интеграторы
• Разработчики
ГДЕ ПЕРИМЕТР?
Рустэм Хайретдинов,. Мастеркласс. Баку, 25 мая 2017
7. ЧТО ПРОИСХОДИТ С УГРОЗАМИ?
1 КИБЕРВОЙНА УЖЕ ЗДЕСЬ. МОЖНО СТАТЬ ЖЕРТВОЙ, НЕ ЯВЛЯЯСЬ ЦЕЛЬЮ
2 ДОСТУП К СИСТЕМАМ У МИЛЛИАРДА ПОЛЬЗОВАТЕЛЕЙ СЕТИ ИНТЕРНЕТ
СМЫКАЮТСЯ КИБЕРВОЙНЫ И ИНФОРМАЦИОННЫЕ ВОЙНЫ
4 СМЫКАЮТСЯ ОНЛАЙН И ОФФЛАЙН УГРОЗЫ
3
5 АТАКУЮЩИЕ АВТОМАТИЗИРУЮТСЯ И ИСПОЛЬЗУЮТ ЭЛЕМЕНТЫ ИИ
Рустэм Хайретдинов,. Мастеркласс. Баку, 25 мая 2017
8. 84% атак
совершаются комплексно:
DDoS+хакерский взлом
Каждый 3-й
ресурс содержит давно
известные уязвимости
От $5
стоимость организации
DDoS-атаки в час
ВЕБ-УГРОЗЫ
В ЦИФРАХ
По данным Qrator Labs и Wallarm
Атаки становятся дешевле,
число их растет
9. Атака Бизнес-риск Финансовый ущерб
Недоступность сайта Уход клиентов Упущенная выгода
Кража секретов Усиление конкурентов Упущенная выгода
Кража персданных Санкции регуляторов Штрафы
Подмена информации Разочарование клиентов Возврат денег
Понижение позиций в поиску Неэффективность рекламы Неэффективные вложения
Атака на пользователей Потеря доверия, отток клиентов Упущенная выгода
Перенаправление трафика Отток клиентов Упущенная выгода
УГРОЗЫ НА ЯЗЫКЕ БИЗНЕСА
Рустэм Хайретдинов,. Мастеркласс. Баку, 25 мая 2017
10. Позавчера – редкие изменения в системе
Вчера – ежедневные изменения в системе
Сегодня – сотни ежедневных изменений в
системе
Завтра – тысячи и десятки тысяч
ежедневных изменений
Что это за изменения?
•Управление учётными записями
пользователей
•Управление инфраструктурой
•Обновление стандартных систем
•Изменение функционала систем
БИЗНЕС НЕ СТРЕМИТСЯ
СДЕЛАТЬ НАМ ЛЕГЧЕ
Рустэм Хайретдинов,. Мастеркласс. Баку, 25 мая 2017
11. 84% случаев атак - это чередование
DDoS атак с попытками взломов сайтов
31% сайтов содержат критические
уязвимости, описания которых доступно публично
Почти 40% атак – это атаки SQLi
37,75%
SQL-инъекции
28,73%
XSS
21,85%
Другие серверные уязвимости
12,07%
Атаки перебора (брутфорс)
5,8%
Прочие
РАСПРЕДЕЛЕНИЕ ПО ТИПАМ АТАК
СТАТИСТИКА АТАК
Рустэм Хайретдинов,. Мастеркласс. Баку, 25 мая 2017
12. Старое ПО и незащищенные тестовые стенды на
периметре проекта, о которых все забыли
1
Заражение сотрудников компании, имеющих нужные
доступы (пароли к FTP, SSH, VPN и т.д.)
2
Случайно опубликованные в открытом доступе учетные записи
(форумы разработчиков, репозитории кода на GitHub и т.д.)
3
Глупые ошибки администрирования
(бездумно сделал “как на хабре”)
4
Слабая парольная политика
4
ПРИЧИНЫ КОМПРОМЕТАЦИИ
САЙТОВ
Рустэм Хайретдинов,. Мастеркласс. Баку, 25 мая 2017
13. • За функционал отвечает бизнес-
подразделение
• За реализацию функционала отвечают
разработчики и внедренцы (свои или чужие)
• За инфраструктуру отвечает ИТ-
департамент
• За поддержку клиентов - колл-центр
• За безопасность – служба
информационной безопасности
КТО ОТВЕТИТ ЗА ВСЁ?
Рустэм Хайретдинов,. Мастеркласс. Баку, 25 мая 2017
15. Осталась такой же, как в ХХ веке:
•Отдельные «навесные» системы с одной
функциональностью
Старые добрые технологии
•«Сигнатуры» (известные угрозы)
•Анализ аномалий (известные и неизвестные угрозы)
Если система безопасности даёт слишком много ложных срабатываний –
её переводят в пассив и сажают человека её контролировать.
ПОТОМУ ЧТО ИБ НЕ МЕНЯЕТСЯ
Рустэм Хайретдинов,. Мастеркласс. Баку, 25 мая 2017
16. ЧТО ТАКОЕ ПАССИВНАЯ БЕЗОПАСНОСТЬ?
1 МНОГО ЛОЖНЫХ СРАБАТЫВАНИЙ, НЕ БЛОКИРУЕМ, А ДЕЛЕГИРУЕМ
ПРИНЯТИЕ РЕШЕНИЯ ЧЕЛОВЕКУ
2 НАЗЫВАЕМ ПАССИВНЫЙ РЕЖИМ
КРАСИВО: «РЕЖИМ ФОРЕНЗИКИ», ПО ФАКТУ ВАЛИМ ВСЁ В SIEM
3 НАНИМАЕМ АНАЛИТИКОВ И СПЕЦИАЛИСТОВ ПО РАССЛЕДОВАНИЯМ.
ВСЁ БОЛЬШЕ И БОЛЬШЕ
ЭТО ТУПИК
Рустэм Хайретдинов,. Мастеркласс. Баку, 25 мая 2017
17. В ТОМ ЛИ НАПРАВЛЕНИИ ВЫ ИДЁТЕ?
- Всё больше бизнеса будет
переноситься в приложения
- Изменения бизнес-систем
будут происходить всё чаще
- Атакующие будут всё активнее
автоматизироваться
НЕ ПОМЕНЯЕТЕ ОТНОШЕНИЕ К ЗАЩИТЕ СЕЙЧАС
– ПОТОМ УЖЕ НЕ УСПЕЕТЕ
Рустэм Хайретдинов,. Мастеркласс. Баку, 25 мая 2017
18. ИЗВЕЧНЫЙ ВОПРОС
Все понимают, каким
надо быть
Все понимают, что так,
как сейчас - плохо
Рустэм Хайретдинов,. Мастеркласс. Баку, 25 мая 2017
19. объект сам по себе,
защита сама по себе
защита изучает объект
перед защитой
защита влияет
на объект
1990-е 2000-е 2010-е 2020-е
интеграция защиты
с объектом
Эволюция принципов защиты
Рустэм Хайретдинов,. Мастеркласс. Баку, 25 мая 2017
20. Переходим от навесных решений к
встроенным, начинаем на этапе
проектирования и кодирования
Используем машинное обучение и
раннее обнаружение атак
КУДА ИДЁМ?
ПОВЫШАЕМ УРОВЕНЬ ОТВЕТСТВЕННОСТИ
КОНЦЕНТРИРУЕМ ОТВЕТСТВЕННОСТЬ В ОДНИХ РУКАХ
Рустэм Хайретдинов,. Мастеркласс. Баку, 25 мая 2017
21. • Интеграция разработки, средств анализа
защищённости и настроек средств
защиты
• Объединение ответственности за бизнес
и приложение в одном месте
• Комбинирование самообучения с
прямым автоматическим управлением
настройками на основе анализа
приложения
CONTINUOS SECURITY
Рустэм Хайретдинов,. Мастеркласс. Баку, 25 мая 2017
22. ЗАДАЧА:
Автоматизировать
процесс безопасной
разработки
Шаг 1:
Обеспечивать возможность
своевременных обновлений
приложения, даже если они
содержат уязвимости
Шаг 2:
Разбираться в разработке,
уязвимостях, уметь давать
четкие рекомендации
программистам
Шаг 3:
Контролировать
закрытие
уязвимостей, как
внутри, так и вовне
Рустэм Хайретдинов,. Мастеркласс. Баку, 25 мая 2017
25. Разбор кейса 1
Интеграция разработки
rustem@khairetdinov.com
+7 (903) 961-7312
РУСТЭМ ХАЙРЕТДИНОВ
CEO ATTACK KILLER
Рустэм Хайретдинов,. Мастеркласс. Баку, 25 мая 2017
26. ЭЛЕКТРОННЫЙ МАГАЗИН
Дано:
•Продажи в Интернет >5%
•Мотивация на рост до 20%
•Есть позиция Digital Officer
•Свои разработчики в стиле Agile
•Традиционные ИБ
•Конфликт бизнеса, разработки, ИБ и ИТ
Решение:
•Переход к тестированию в процессе разработки
•Переход от кейсов к рискам
•Принятие окончательного решения Digital Officer
Рустэм Хайретдинов,. Мастеркласс. Баку, 25 мая 2017
27. Разбор кейса 2
Замена человека роботом
rustem@khairetdinov.com
+7 (903) 961-7312
РУСТЭМ ХАЙРЕТДИНОВ
CEO ATTACK KILLER
Рустэм Хайретдинов,. Мастеркласс. Баку, 25 мая 2017
28. РЕГИОНАЛЬНЫЕ
ГОСУСЛУГИ
Дано:
•Очень-очень-очень далеко
•Социально важная функция
•Разработчики когда какие – госторги решают
•Agile погоняет agil-ом: надо всё, вчера и безопасно
•ИБ нет – один человек на всё
Решение:
•Формулировка требований к ПО
с постепенным ужесточением
•Приёмка вместе с тестированием
•«Покорми робота и ничего не трогай»
Рустэм Хайретдинов,. Мастеркласс. Баку, 25 мая 2017
29. Спасибо за внимание!
Ваши вопросы?
rustem@khairetdinov.com
+7 (903) 961-7312
РУСТЭМ ХАЙРЕТДИНОВ
CEO ATTACK KILLER
Рустэм Хайретдинов,. Мастеркласс. Баку, 25 мая 2017
Editor's Notes
Мировой финансовый кризис привёл к усилению тенденций перехода крупных компаний к Интернет, как к самому дешёвому каналу привлечения и обслуживания клиентов. В результате большинство крупных компаний и значительное число мелких компаний уже имеют в промышленной эксплуатации критичные бизнес-приложения с доступом к ним по Интернет
Однако бизнес не всегда понимает, что такое веб-угрозы и какой ущерб они могут нанести. Бизнес видит возможности: привлечение широкой аудитории, снижение издержек и пр. Безопасность смотрит на веб с другой стороны – с точки зрения технических угроз, и несет ответственность за инциденты
https://megamozg.ru/post/24494/ - об объемах российского ecommerce
http://rg.ru/2016/01/26/kiberataki.html - об ущербе
Год от года в мире спокойней не становится. Не смотря на то, что компании покупают средства защиты, хакеры отыскивают новые возможности для реализации успешных атак. По статистике компаний Qrator и Wallarm, в этом году количество атак снова увеличилось. Почему?
Хакеры реализовывают атаки комплексно. В 84% инцидентах зафиксирован и DDoS и хакерский взлом – все аще хакеры обращают внимание на уровень приложения, так как его защитить сложней всего. В силу нескольких причин: частых обновлений (новый код – новые дыры), невнимательности или халатности администраторов и программистов
Так например, каждый 3-й ресурс содержит давно известные уязвимости, информация о которых уже не один год есть не только на специализированных ресурсах, но и в СМИ
И еще один тренд: снижение стоимости организации атаки. Атаку подготовить просто и дешево. За последние года стоимость ДДоС-атак снизилась на порядок.
Все это приводит к увеличению числа атак на веб-ресурсы.
Как объяснить, чем опасны угрозы бизнесу?
Недоступность сайта – чаще всего в следствие DDoS-атаки – приводит к оттоку лояльных и тем более не лояльных клиентов. Бизнес теряет деньги.
Кража чувствительной информации – чаще всего в следствие хакерского взлома – конкуренты получают конфиденциальную информацию о маркетинговых акциях компании и меняют свои предложения. Бизнес теряет деньги
Кража персональных данных, данных платежных карт – в следствие хакерских взломов – может привести к запрету заниматься данной деятельностью