5. • “Мой сайт не интересен хакерам…”
• “Мой сайт работает на
коммерческой CMS на надежном
хостинге…”
• “Зачем защищать, если есть
бэкап?...”
• “Мои программисты уже что-то там
безопасно настроили…”
• “Я регулярно меняю пароли…”
Заблуждения
6. • Любой сайт представляет интерес для
хакера: как ресурс или как инструмент
для заработка
• Любой сайт – постоянно под атаками
• Стоимость взлома – копейки
• Доступность инструментов и
методологий
• Безнаказанность хакеров
Реальность
10. • Формируем безопасное окружение
• Изолируем сайты на хостинге
• Обновляем ОС, CMS и плагины
• Активируем проактивную защиту
(внутренний WAF)
• Выполняем Server Hardening
• Выполняем CMS Hardening
• Устанавливаем двухфакторную
аутентификацию на все аккаунты
• Встаем под WAF и ANTI-DDOS
сервисы
• Настраиваем грамотное резервное
копирование
• Запускаем мониторинг
Технические
11. • Делаем безопасными рабочие
места
• Защищаем каналы передачи
данных
• Выбираем надежных подрядчиков
• Управляем доступами к домену,
сайту и хостингу
• Инструктируем сотрудников и
подрядчиков
• Работаем по договору
• Разрабатываем памятку
безопасности и контролируем
исполнение предписаний
• Выполняем регулярный аудит
безопасности
Организационные
12. • Настройки сервера и ПО на нем не
меняются
• CMS, плагины не обновляются
• Нет обмена данными с внешними
ресурсами
• Изменяется только контент сайта
• С сайтом работает постоянная группа
людей
• Перенастраивается сервер, появляются
“соседи” на аккаунте
• DEV/PROD версии сайта, что-то
постоянно дорабатывается, обновляется
CMS
• Активный обмен данными с внешними
ресурсами, активное обновление
контента
• Периодически привлекаются разные
подрядчики
VS
Типы проектов
Динамичный проектСтатичный проект
13. • Перестала работать часть функций
• Нет доступа к некоторым
страницам/разделам сайта
• Перестал работать обмен с
внешними ресурсами
• Сайт начал “тормозить”
• Не работают задачи по расписанию
• Не выполняются предписания,
рекомендации по безопасной работе
сотрудниками и подрядчиками
• Возрастают накладные расходы на
поддержку сайта
О важности тестирования
Организационные проблемыТехнические проблемы
14. • Раскрывают доступы
• Небезопасное рабочее место
• Небезопасный сетевой канал
• Не учитывают элементы защиты на
сайте
• Вносят новые уязвимости
• Размещают вредоносный код
• Оставляют инструменты для
работы с БД, файловые
менеджеры, чувствительные файлы
на хостинге
• Объекты социальной инженерии
О сотрудниках и
подрядчиках
15. Для каждого сайта можно
подобрать вариант защиты –
с максимальной безопасностью и
комфортной работой.
16. • Автоматизация рутины, но
регулярная проверка
• Готовые предписания, сценарии,
руководства
• Мониторинг на разных уровнях
• Участие специалистов по ИБ
Делаем жизнь проще