Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Анализ защищенности интернет-проектов Дмитрий Евтеев ( Positive  Technologies)  Web Application Security Consortium (WASC)...
<ul><li>Хакеры сфокусировали свое внимание на веб-сервисах </li></ul><ul><ul><li>75% всех атак направлено на уровень Web-п...
IBM X-Force 2009 Trend and Risk Report: http://www.servicemanagementcenter.com/main/pages/IBMRBMS/SMRC/ShowCollateral.aspx...
<ul><li>По данным компании  Positive Technologies  за 2009 год </li></ul><ul><ul><li>79% сайтов содержат критические уязви...
Вероятность обнаружения уязвимостей различной степени риска (по данным за 2009 год) http://ptsecurity.ru/analytics.asp Уяз...
Классификация уязвимостей в  web- приложениях <ul><li>Web Application Security Consortium WASC-TCv2  /  OWASP Top 10 </li>...
<ul><ul><li>Наиболее часто встречающиеся уязвимости веб-приложений при проведении анализа методом «черного ящика» (данные ...
<ul><li>&quot;Лаборатория Касперского&quot; предупреждает о массовом взломе - на 10,000 серверов были размещены опасные сс...
Подходы по снижению угроз <ul><li>Директивный подход ( Directive) </li></ul><ul><ul><li>Software Development Life Cycle  (...
Способы обнаружения уязвимостей <ul><li>Тестирование функций </li></ul><ul><ul><li>Метод «черного ящика» ( black - box ) <...
<ul><li>Что такое анализ веб-приложения методикой «черного ящика» ? </li></ul>Web- сервер Рабочее место аудитора Проверка ...
http://www.ptsecurity.ru/maxpatrol.asp Пример автоматизированного тестирования функций методом «черного ящика» <ul><li>Ска...
<ul><li>Более 40% паролей можно взломать из-за простоты </li></ul><ul><li>Статистика по паролям низкой стойкости у админис...
<ul><li>Что такое анализ веб-приложения методикой «белого ящика» ? </li></ul>Web- сервер Рабочее место аудитора Проверка 1...
Распределение узлов по максимальному уровню уязвимости (% сайтов по данным за 2009 год) http://ptsecurity.ru/analytics.asp...
Анализ исходного кода  web- приложения <ul><li>Статический анализ </li></ul><ul><ul><li>Минусы </li></ul></ul><ul><ul><li>...
Анализ исходного кода  web- приложения <ul><li>Динамический анализ </li></ul><ul><ul><li>Минусы </li></ul></ul><ul><li>При...
Уязвимости веб-приложений Распределение уязвимостей согласно классам WASC WSTCv2 (обобщенные результаты по данным  Positiv...
<ul><li>Критические уязвимости можно встретить даже на широко известных и крупных интернет - ресурсах </li></ul>
Как безопасность Web-приложения может поставить под угрозу безопасность всей сети?
<ul><ul><li>Сканирование сети </li></ul></ul><ul><ul><li>Успешно подобран пароль! </li></ul></ul><ul><ul><li>Эксплуатация ...
<ul><ul><li>Сканирование сети </li></ul></ul><ul><ul><li>Успешно подобран пароль! </li></ul></ul><ul><ul><li>Эксплуатация ...
Концепция безопасного интернет-проекта <ul><li>Уязвимость не является свойством интернет-проекта! </li></ul><ul><li>Безопа...
<ul><li>Из чего складывается защищенность веб-ресурса ? </li></ul><ul><li>Процесс разработки  Web- приложения </li></ul><u...
Positive Technologies <ul><li>7 лет работы в области информационной безопасности  </li></ul><ul><li>Основные направления д...
Спасибо за внимание! [email_address] http://devteev.blogspot.com /
Upcoming SlideShare
Loading in …5
×

Анализ защищенности интернет-проектов

2,842 views

Published on

Published in: Technology
  • Be the first to comment

Анализ защищенности интернет-проектов

  1. 1. Анализ защищенности интернет-проектов Дмитрий Евтеев ( Positive Technologies) Web Application Security Consortium (WASC) Contributor
  2. 2. <ul><li>Хакеры сфокусировали свое внимание на веб-сервисах </li></ul><ul><ul><li>75% всех атак направлено на уровень Web-приложений (Gartner) </li></ul></ul><ul><ul><li>60% всех зафиксированных атак в настоящее время нацелено на эксплуатацию уязвимостей в Web-приложениях (SANS) </li></ul></ul><ul><li>Большинство веб-приложений уязвимы </li></ul><ul><ul><li>90% сайтов являются уязвимыми (Watchfire) </li></ul></ul><ul><ul><li>78% уязвимых Web-приложений могут быть легко атакованы (Symantec) </li></ul></ul><ul><ul><li>80% организаций в 2010 году столкнутся хотя бы одним инцидентом, связанным с безопасностью web-приложений (Gartner) </li></ul></ul>Согласно последним данным аналитиков IBM 75% атак приходиться на Web- приложения, в то время как на обеспечение их безопасности тратиться только 10% от общих затрат.
  3. 3. IBM X-Force 2009 Trend and Risk Report: http://www.servicemanagementcenter.com/main/pages/IBMRBMS/SMRC/ShowCollateral.aspx?oid=74711 Динамика обнаруженных уязвимостей в веб-приложениях с 1998 года
  4. 4. <ul><li>По данным компании Positive Technologies за 2009 год </li></ul><ul><ul><li>79% сайтов содержат критические уязвимости </li></ul></ul><ul><ul><li>58% сайтов содержат уязвимости средней степени риска </li></ul></ul><ul><ul><li>вероятность автоматизированного заражения страниц уязвимого Web-приложения вредоносным кодом при использовании некоторых уязвимостей достигает 100% </li></ul></ul><ul><ul><li>http://ptsecurity.ru/analytics.asp </li></ul></ul>Данные основываются на проведении 6239 автоматических сканирований, детальном анализе 77 Web-приложений, преимущественно с использованием методики «черного-ящика». Уязвимости веб-приложений
  5. 5. Вероятность обнаружения уязвимостей различной степени риска (по данным за 2009 год) http://ptsecurity.ru/analytics.asp Уязвимости веб-приложений
  6. 6. Классификация уязвимостей в web- приложениях <ul><li>Web Application Security Consortium WASC-TCv2 / OWASP Top 10 </li></ul><ul><li>CWE/SANS Top 25 Most Dangerous Programming Errors 2010 </li></ul><ul><li>Threat Classification References Mapping Proposal </li></ul><ul><ul><li>http://projects.webappsec.org/Threat%20Classification%20References%20Mapping%20Proposal </li></ul></ul>http://projects.webappsec.org/Threat-Classification http://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project http://cwe.mitre.org/top25/archive/2010/2010_cwe_sans_top25.pdf
  7. 7. <ul><ul><li>Наиболее часто встречающиеся уязвимости веб-приложений при проведении анализа методом «черного ящика» (данные за 2009 год, http://ptsecurity.ru/analytics.asp ) </li></ul></ul>Наиболее часто встречающиеся уязвимости
  8. 8. <ul><li>&quot;Лаборатория Касперского&quot; предупреждает о массовом взломе - на 10,000 серверов были размещены опасные ссылки </li></ul><ul><li>ScanSafe сообщают об обнаружении в сети Интернет более 64,000 web -сайтов, зараженных одним и тем же интернет-червем </li></ul>Распределение критических уязвимостей по инфицированным сайтам (по данным Positive Technologies за 2009 год) http://ptsecurity.ru/analytics.asp Массовые заражения интернет - ресурсов
  9. 9. Подходы по снижению угроз <ul><li>Директивный подход ( Directive) </li></ul><ul><ul><li>Software Development Life Cycle ( SDLC ), «бумажная безопасность», выстраивание высокоуровневых процессов </li></ul></ul><ul><li>Детективный подход ( Detective) </li></ul><ul><ul><li>Тестирование функций (black/white-box), фаззинг (fuzzing), статический/динамический/ручной анализ исходного кода </li></ul></ul><ul><li>Профилактический подход ( Preventive) </li></ul><ul><ul><li>Intrusion Detection/Prevention Systems (IDS/IPS) , Web Application Firewall ( WAF ) </li></ul></ul><ul><li>Корректирующий подход ( Corrective) </li></ul><ul><ul><li>Ведение журналов событий, обработка инцидентов </li></ul></ul><ul><li>Подход к восстановлению ( Recovery) </li></ul><ul><ul><li>Резервное копирование, стратегия обеспечения непрерывности бизнес-процессов ( BS25999 ) </li></ul></ul>
  10. 10. Способы обнаружения уязвимостей <ul><li>Тестирование функций </li></ul><ul><ul><li>Метод «черного ящика» ( black - box ) </li></ul></ul><ul><ul><li>Метод «серого ящика» ( gray - box ) </li></ul></ul><ul><ul><li>Метод «белого ящика» ( white - box ) </li></ul></ul><ul><li>Фаззинг ( fuzzing) </li></ul><ul><li>Анализ исходного кода </li></ul><ul><ul><li>Статический анализ </li></ul></ul><ul><ul><li>Динамический анализ </li></ul></ul><ul><ul><li>Ручной анализ </li></ul></ul><ul><li>Бинарный анализ приложения ( binary analysis ) </li></ul>
  11. 11. <ul><li>Что такое анализ веб-приложения методикой «черного ящика» ? </li></ul>Web- сервер Рабочее место аудитора Проверка 1 Проверка N Найдена уязвимость <ul><li>Уязвимость 1: подбор пароля Impact: доступ к приложению (с ограниченными привилегиями) </li></ul><ul><li>Уязвимость 2: внедрение операторов SQL Impact: только чтение файлов (включена опция magic quotes) </li></ul><ul><li>Уязвимость 3: выход за каталог Impact: только чтение файлов (потенциально LFI) </li></ul><ul><li>Уязвимость 4: предсказуемое значение идентификатора загружаемого файла Уязвимость 3 + Уязвимость 4 = Impact: выполнение команд на сервере </li></ul>
  12. 12. http://www.ptsecurity.ru/maxpatrol.asp Пример автоматизированного тестирования функций методом «черного ящика» <ul><li>Сканирование с использованием MaxPatrol </li></ul>
  13. 13. <ul><li>Более 40% паролей можно взломать из-за простоты </li></ul><ul><li>Статистика по паролям низкой стойкости у администраторов : </li></ul>Данные основываются на анализе более чем 185 тысяч паролей пользователей ( http://www.ptsecurity.ru/download/PT-Metrics-Passwords-2009.pdf ). Статистика используемых паролей в России
  14. 14. <ul><li>Что такое анализ веб-приложения методикой «белого ящика» ? </li></ul>Web- сервер Рабочее место аудитора Проверка 1 <ul><li>Уязвимости на первом этапе: внедрение операторов SQL, межсайтовое выполнение сценариев, различные варианты утечки информации и пр. </li></ul><ul><li>Уязвимости на втором этапе: логические уязвимости, предсказуемое значение идентификатора сессии, подделка HTTP- запросов и пр. </li></ul><ul><li>Уязвимости на других этапах: небезопасные конфигурации, уровень соответствия архитектуры приложения отраслевым стандартам и пр. </li></ul>Проверка N Найдены уязвимости Найдены недостатки
  15. 15. Распределение узлов по максимальному уровню уязвимости (% сайтов по данным за 2009 год) http://ptsecurity.ru/analytics.asp Уязвимости веб-приложений
  16. 16. Анализ исходного кода web- приложения <ul><li>Статический анализ </li></ul><ul><ul><li>Минусы </li></ul></ul><ul><ul><li>Ошибки первого рода (false negative — «ненайденные уязвимости») при использовании статического анализа возникают в силу следующих причин: </li></ul></ul><ul><ul><li>при программировании w eb-приложения используется сложный синтаксис; </li></ul></ul><ul><ul><li>проверки переменных происходят с использованием собственных функций приложения; </li></ul></ul><ul><ul><li>отсутствуют соответствующие сигнатуры. </li></ul></ul><ul><ul><li>В силу фундаментальных ограничений сигнатурного поиска возникает множество ошибок второго рода (false positive — «ложные сообщения об уязвимостях»). </li></ul></ul><ul><ul><li>Плюсы </li></ul></ul><ul><li>Простота в реализации. </li></ul><ul><li>Наиболее известные разработчики коммерческих продуктов </li></ul><ul><ul><li>Armorize Technologies, Fortify, Ounce Labs </li></ul></ul>
  17. 17. Анализ исходного кода web- приложения <ul><li>Динамический анализ </li></ul><ul><ul><li>Минусы </li></ul></ul><ul><li>Присущи те же недостатки, что и сканерам безопасности. Например, невозможно выявить уязвимости «Небезопасное восстановление паролей», «Отсутствие тайм-аута сессии», «Логические атаки» и пр. </li></ul><ul><li>Сложность в реализации. </li></ul><ul><ul><li>Плюсы </li></ul></ul><ul><li>Наиболее качественная оценка исходного кода. </li></ul><ul><li>Наиболее известные разработчики коммерческих продуктов </li></ul><ul><ul><li>Coverity, Valgrind, Fortify PTA </li></ul></ul>
  18. 18. Уязвимости веб-приложений Распределение уязвимостей согласно классам WASC WSTCv2 (обобщенные результаты по данным Positive Technologies за 2009 год) http://ptsecurity.ru/analytics.asp
  19. 19. <ul><li>Критические уязвимости можно встретить даже на широко известных и крупных интернет - ресурсах </li></ul>
  20. 20. Как безопасность Web-приложения может поставить под угрозу безопасность всей сети?
  21. 21. <ul><ul><li>Сканирование сети </li></ul></ul><ul><ul><li>Успешно подобран пароль! </li></ul></ul><ul><ul><li>Эксплуатация SQL Injection </li></ul></ul><ul><ul><li>Выполнение команд на сервере </li></ul></ul><ul><ul><li>Повышение привилегий </li></ul></ul><ul><ul><li>Атака на внутренние ресурсы </li></ul></ul>Как безопасность Web-приложения может поставить под угрозу безопасность всей сети?
  22. 22. <ul><ul><li>Сканирование сети </li></ul></ul><ul><ul><li>Успешно подобран пароль! </li></ul></ul><ul><ul><li>Эксплуатация SQL Injection </li></ul></ul><ul><ul><li>Выполнение команд на сервере </li></ul></ul><ul><ul><li>Повышение привилегий </li></ul></ul><ul><ul><li>Атака на внутренние ресурсы </li></ul></ul><ul><ul><li>Внутренний пентест </li></ul></ul><ul><ul><li>Установка сканера MaxPatrol </li></ul></ul><ul><ul><li>Поиск уязвимостей </li></ul></ul><ul><ul><li>Эксплуатация уязвимостей </li></ul></ul><ul><ul><li>Перемещение в ИС ЦО </li></ul></ul><ul><ul><li>Проведение атаки на ресурсы ЦО </li></ul></ul><ul><ul><li>Получение максимальных привилегий во всей сети! </li></ul></ul>Как безопасность Web-приложения может поставить под угрозу безопасность всей сети?
  23. 23. Концепция безопасного интернет-проекта <ul><li>Уязвимость не является свойством интернет-проекта! </li></ul><ul><li>Безопасность должна быть разумной </li></ul><ul><li>Безопасность должна быть комплексной </li></ul><ul><li>Безопасность – это непрерывный процесс </li></ul>
  24. 24. <ul><li>Из чего складывается защищенность веб-ресурса ? </li></ul><ul><li>Процесс разработки Web- приложения </li></ul><ul><li>Жизненный цикл разработки программного обеспечения (SDLC) </li></ul><ul><li>Требования к информационной безопасности (архитектура приложения) </li></ul><ul><li>Состояние промышленной среды </li></ul><ul><li>Поддержка актуального состояния ОС/ПО и сопутствующих компонентов </li></ul><ul><li>Безопасные конфигурации ( CIS , etc) </li></ul><ul><li>Обеспечение доступности </li></ul><ul><li>Анализ защищенности </li></ul><ul><li>Проверка выполнения требований к информационной безопасности </li></ul><ul><li>Тестирование функций (fuzzing) и поиск уязвимостей (WASC, OWASP) </li></ul><ul><li>Непрерывный мониторинг </li></ul><ul><li>IDS/IPS </li></ul><ul><li>Web Application Firewall (WAF) </li></ul>Концепция безопасного интернет-проекта
  25. 25. Positive Technologies <ul><li>7 лет работы в области информационной безопасности </li></ul><ul><li>Основные направления деятельности: </li></ul><ul><ul><li>разработка одного из лучших сетевых сканеров XSpider ; </li></ul></ul><ul><ul><li>разработка уникального продукта - системы контроля защищенности и соответствия стандартам MaxPatrol ; </li></ul></ul><ul><ul><li>предоставление консалтинговых и сервисных услуг в области информационной безопасности; </li></ul></ul><ul><ul><li>развитие специализированного портала Securitylab. </li></ul></ul><ul><li>Positive Technologies – лаборатория безопасности </li></ul><ul><ul><li>постоянный мониторинг новых уязвимостей; </li></ul></ul><ul><ul><li>внутренняя система описания уязвимостей; </li></ul></ul><ul><ul><li>одна из наиболее профессиональных команд в Европе; </li></ul></ul><ul><ul><li>MaxPatrol – ежедневные обновления. </li></ul></ul>
  26. 26. Спасибо за внимание! [email_address] http://devteev.blogspot.com /

×