SlideShare a Scribd company logo

Разумная безопасность сайта

Download as PPTX, PDF
R
revisium

Как эффективно защитить сайт и при этом создать комфортные условия работы с ним.

Internet
1 of 17
Григорий Земсков Компания “Ревизиум” РАЗУМНАЯ БЕЗОПАСНОСТЬ САЙТА
Как защитить сайт от взлома и создать при этом комфортные условия работы с ним. Цель – поиск баланса комфорт/защищенность
• Защита сайта – это ограничение свобод, “затягивание гаек” техническими средствами • Безопасность сайта – это дисциплина, требующая выполнение инструкций *** Обратная сторона *** • Ограничивается или ломается функциональность сайта • Неудобное администрирование – недовольство владельца/администратора/разработчи ков
ЗАЧЕМ ЗАЩИЩАТЬ САЙТ? Стоит ли задумываться про безопасность?
• “Мой сайт не интересен хакерам…” • “Мой сайт работает на коммерческой CMS на надежном хостинге…” • “Зачем защищать, если есть бэкап?...” • “Мои программисты уже что-то там безопасно настроили…” • “Я регулярно меняю пароли…” Заблуждения
• Любой сайт представляет интерес для хакера: как ресурс или как инструмент для заработка • Любой сайт – постоянно под атаками • Стоимость взлома – копейки • Доступность инструментов и методологий • Безнаказанность хакеров Реальность
Как взламывают
ЗАЩИЩАЕМ САЙТ
Технические средства Комплексная безопасность Организационные меры 1 2+
• Формируем безопасное окружение • Изолируем сайты на хостинге • Обновляем ОС, CMS и плагины • Активируем проактивную защиту (внутренний WAF) • Выполняем Server Hardening • Выполняем CMS Hardening • Устанавливаем двухфакторную аутентификацию на все аккаунты • Встаем под WAF и ANTI-DDOS сервисы • Настраиваем грамотное резервное копирование • Запускаем мониторинг Технические
• Делаем безопасными рабочие места • Защищаем каналы передачи данных • Выбираем надежных подрядчиков • Управляем доступами к домену, сайту и хостингу • Инструктируем сотрудников и подрядчиков • Работаем по договору • Разрабатываем памятку безопасности и контролируем исполнение предписаний • Выполняем регулярный аудит безопасности Организационные
• Настройки сервера и ПО на нем не меняются • CMS, плагины не обновляются • Нет обмена данными с внешними ресурсами • Изменяется только контент сайта • С сайтом работает постоянная группа людей • Перенастраивается сервер, появляются “соседи” на аккаунте • DEV/PROD версии сайта, что-то постоянно дорабатывается, обновляется CMS • Активный обмен данными с внешними ресурсами, активное обновление контента • Периодически привлекаются разные подрядчики VS Типы проектов Динамичный проектСтатичный проект
• Перестала работать часть функций • Нет доступа к некоторым страницам/разделам сайта • Перестал работать обмен с внешними ресурсами • Сайт начал “тормозить” • Не работают задачи по расписанию • Не выполняются предписания, рекомендации по безопасной работе сотрудниками и подрядчиками • Возрастают накладные расходы на поддержку сайта О важности тестирования Организационные проблемыТехнические проблемы
• Раскрывают доступы • Небезопасное рабочее место • Небезопасный сетевой канал • Не учитывают элементы защиты на сайте • Вносят новые уязвимости • Размещают вредоносный код • Оставляют инструменты для работы с БД, файловые менеджеры, чувствительные файлы на хостинге • Объекты социальной инженерии О сотрудниках и подрядчиках
Для каждого сайта можно подобрать вариант защиты – с максимальной безопасностью и комфортной работой.
• Автоматизация рутины, но регулярная проверка • Готовые предписания, сценарии, руководства • Мониторинг на разных уровнях • Участие специалистов по ИБ Делаем жизнь проще
Спасибо за внимание! Вопросы?

Recommended

Безопасность Joomla: теория и практика
Безопасность Joomla: теория и практикаБезопасность Joomla: теория и практика
Безопасность Joomla: теория и практика
revisium
 
Как обеспечить безопасность клиентских сайтов
Как обеспечить безопасность клиентских сайтовКак обеспечить безопасность клиентских сайтов
Как обеспечить безопасность клиентских сайтов
revisium
 
Почему взламывают даже защищенные CMS на безопасном хостинге
Почему взламывают даже защищенные CMS на безопасном хостингеПочему взламывают даже защищенные CMS на безопасном хостинге
Почему взламывают даже защищенные CMS на безопасном хостинге
revisium
 
"На Стачку" - Взлом сайта: 5 стадий принятия неизбежного
"На Стачку" - Взлом сайта: 5 стадий принятия неизбежного"На Стачку" - Взлом сайта: 5 стадий принятия неизбежного
"На Стачку" - Взлом сайта: 5 стадий принятия неизбежного
revisium
 
Выступление Ревизиум на ХостОбзор 2017
Выступление Ревизиум на ХостОбзор 2017Выступление Ревизиум на ХостОбзор 2017
Выступление Ревизиум на ХостОбзор 2017
revisium
 
Почему хакеры выбирают WordPress. WordCamp 2017, Moscow.
Почему хакеры выбирают WordPress. WordCamp 2017, Moscow.Почему хакеры выбирают WordPress. WordCamp 2017, Moscow.
Почему хакеры выбирают WordPress. WordCamp 2017, Moscow.
revisium
 
Земсков - Как обеспечить безопасность клиентских сайтов в процессе оказания у...
Земсков - Как обеспечить безопасность клиентских сайтов в процессе оказания у...Земсков - Как обеспечить безопасность клиентских сайтов в процессе оказания у...
Земсков - Как обеспечить безопасность клиентских сайтов в процессе оказания у...
SEO Conference
 
Взломать Нельзя Защитить: как взламывают сайты и как их эффективно защищать
Взломать Нельзя Защитить: как взламывают сайты и как их эффективно защищатьВзломать Нельзя Защитить: как взламывают сайты и как их эффективно защищать
Взломать Нельзя Защитить: как взламывают сайты и как их эффективно защищать
revisium
 

Recommended

Безопасность Joomla: теория и практика
Безопасность Joomla: теория и практикаБезопасность Joomla: теория и практика
Безопасность Joomla: теория и практика
revisium
 
Как обеспечить безопасность клиентских сайтов
Как обеспечить безопасность клиентских сайтовКак обеспечить безопасность клиентских сайтов
Как обеспечить безопасность клиентских сайтов
revisium
 
Почему взламывают даже защищенные CMS на безопасном хостинге
Почему взламывают даже защищенные CMS на безопасном хостингеПочему взламывают даже защищенные CMS на безопасном хостинге
Почему взламывают даже защищенные CMS на безопасном хостинге
revisium
 
"На Стачку" - Взлом сайта: 5 стадий принятия неизбежного
"На Стачку" - Взлом сайта: 5 стадий принятия неизбежного"На Стачку" - Взлом сайта: 5 стадий принятия неизбежного
"На Стачку" - Взлом сайта: 5 стадий принятия неизбежного
revisium
 
Выступление Ревизиум на ХостОбзор 2017
Выступление Ревизиум на ХостОбзор 2017Выступление Ревизиум на ХостОбзор 2017
Выступление Ревизиум на ХостОбзор 2017
revisium
 
Почему хакеры выбирают WordPress. WordCamp 2017, Moscow.
Почему хакеры выбирают WordPress. WordCamp 2017, Moscow.Почему хакеры выбирают WordPress. WordCamp 2017, Moscow.
Почему хакеры выбирают WordPress. WordCamp 2017, Moscow.
revisium
 
Земсков - Как обеспечить безопасность клиентских сайтов в процессе оказания у...
Земсков - Как обеспечить безопасность клиентских сайтов в процессе оказания у...Земсков - Как обеспечить безопасность клиентских сайтов в процессе оказания у...
Земсков - Как обеспечить безопасность клиентских сайтов в процессе оказания у...
SEO Conference
 
Взломать Нельзя Защитить: как взламывают сайты и как их эффективно защищать
Взломать Нельзя Защитить: как взламывают сайты и как их эффективно защищатьВзломать Нельзя Защитить: как взламывают сайты и как их эффективно защищать
Взломать Нельзя Защитить: как взламывают сайты и как их эффективно защищать
revisium
 
Безопасность Joomla: мифы и реальность
Безопасность Joomla: мифы и реальностьБезопасность Joomla: мифы и реальность
Безопасность Joomla: мифы и реальность
revisium
 
Яндекс.Вебмастерская №3: как найти вирусы и вредоносный код на сайте
Яндекс.Вебмастерская №3: как найти вирусы и вредоносный код на сайтеЯндекс.Вебмастерская №3: как найти вирусы и вредоносный код на сайте
Яндекс.Вебмастерская №3: как найти вирусы и вредоносный код на сайте
revisium
 
Современный агрессивный интернет
Современный агрессивный интернетСовременный агрессивный интернет
Современный агрессивный интернет
revisium
 
Mythbusters - Web Application Security
Mythbusters - Web Application SecurityMythbusters - Web Application Security
Mythbusters - Web Application Security
Mikhail Shcherbakov
 
Application security? Firewall it!
Application security? Firewall it!Application security? Firewall it!
Application security? Firewall it!
Positive Hack Days
 
Безопасность WordPress
Безопасность WordPress Безопасность WordPress
Безопасность WordPress
Dmitry Kondryuk
 
Как обезопасить PBN от взлома? Практические рекомендации
Как обезопасить PBN от взлома? Практические рекомендацииКак обезопасить PBN от взлома? Практические рекомендации
Как обезопасить PBN от взлома? Практические рекомендации
NaZapad
 
Зоопарк python веб-фреймворков
Зоопарк python веб-фреймворковЗоопарк python веб-фреймворков
Зоопарк python веб-фреймворков
PyNSK
 
Лечение мобильных, поисковых редиректов и дорвеев на сайте
Лечение мобильных, поисковых редиректов и дорвеев на сайте Лечение мобильных, поисковых редиректов и дорвеев на сайте
Лечение мобильных, поисковых редиректов и дорвеев на сайте
revisium
 
Методы выполнения требования 6.6 PCI DSS – практический выбор
Методы выполнения требования 6.6 PCI DSS – практический выборМетоды выполнения требования 6.6 PCI DSS – практический выбор
Методы выполнения требования 6.6 PCI DSS – практический выбор
Denis Bezkorovayny
 
Waf.js: как защищать веб-приложения с использованием JavaScript
Waf.js: как защищать веб-приложения с использованием JavaScriptWaf.js: как защищать веб-приложения с использованием JavaScript
Waf.js: как защищать веб-приложения с использованием JavaScript
Positive Hack Days
 
QA Fest 2014. Катерина Овеченко. Безопасность сессий в веб-приложениях: практ...
QA Fest 2014. Катерина Овеченко. Безопасность сессий в веб-приложениях: практ...QA Fest 2014. Катерина Овеченко. Безопасность сессий в веб-приложениях: практ...
QA Fest 2014. Катерина Овеченко. Безопасность сессий в веб-приложениях: практ...
QAFest
 
Основные угрозы безопасности для интернет-бизнеса в 2014 году
Основные угрозы безопасности для интернет-бизнеса в 2014 годуОсновные угрозы безопасности для интернет-бизнеса в 2014 году
Основные угрозы безопасности для интернет-бизнеса в 2014 году
SiteSecure
 
Где прячутся мобильные вирусы — Григорий Земсков
Где прячутся мобильные вирусы — Григорий ЗемсковГде прячутся мобильные вирусы — Григорий Земсков
Где прячутся мобильные вирусы — Григорий Земсков
Yandex
 
Alex Eden - Не доверяй и проверяй
Alex Eden - Не доверяй и проверяйAlex Eden - Не доверяй и проверяй
Alex Eden - Не доверяй и проверяй
UISGCON
 
70 - Spring. Установка GlassFish
70 - Spring. Установка GlassFish70 - Spring. Установка GlassFish
70 - Spring. Установка GlassFish
Roman Brovko
 
Подготовка интернет-магазина к боевым условиям
Подготовка интернет-магазина к боевым условиямПодготовка интернет-магазина к боевым условиям
Подготовка интернет-магазина к боевым условиям
Anton Baranov
 
Chrome push notifications. Анатомия и разработка
Chrome push notifications. Анатомия и разработкаChrome push notifications. Анатомия и разработка
Chrome push notifications. Анатомия и разработка
Alexandr Mikhaylenko
 
PT MIFI Labxss
PT MIFI LabxssPT MIFI Labxss
PT MIFI Labxss
Dmitry Evteev
 
Губкин Александр
Губкин АлександрГубкин Александр
Губкин Александр
Александ Губкин
 
Современные технологии сайтостроения для решения бизнес-задач
Современные технологии сайтостроения для решения бизнес-задач Современные технологии сайтостроения для решения бизнес-задач
Современные технологии сайтостроения для решения бизнес-задач
simai
 
Эффективный сайт для бизнеса
Эффективный сайт для бизнесаЭффективный сайт для бизнеса
Эффективный сайт для бизнеса
Annely Nurkaliyeva
 

More Related Content

What's hot

Яндекс.Вебмастерская №3: как найти вирусы и вредоносный код на сайте
Яндекс.Вебмастерская №3: как найти вирусы и вредоносный код на сайтеЯндекс.Вебмастерская №3: как найти вирусы и вредоносный код на сайте
Яндекс.Вебмастерская №3: как найти вирусы и вредоносный код на сайте
revisium
 
Application security? Firewall it!
Application security? Firewall it!Application security? Firewall it!
Application security? Firewall it!
Positive Hack Days
 
Waf.js: как защищать веб-приложения с использованием JavaScript
Waf.js: как защищать веб-приложения с использованием JavaScriptWaf.js: как защищать веб-приложения с использованием JavaScript
Waf.js: как защищать веб-приложения с использованием JavaScript
Positive Hack Days
 
QA Fest 2014. Катерина Овеченко. Безопасность сессий в веб-приложениях: практ...
QA Fest 2014. Катерина Овеченко. Безопасность сессий в веб-приложениях: практ...QA Fest 2014. Катерина Овеченко. Безопасность сессий в веб-приложениях: практ...
QA Fest 2014. Катерина Овеченко. Безопасность сессий в веб-приложениях: практ...
QAFest
 
Alex Eden - Не доверяй и проверяй
Alex Eden - Не доверяй и проверяйAlex Eden - Не доверяй и проверяй
Alex Eden - Не доверяй и проверяй
UISGCON
 

What's hot (19)

Безопасность Joomla: мифы и реальность
Безопасность Joomla: мифы и реальностьБезопасность Joomla: мифы и реальность
Безопасность Joomla: мифы и реальность
 
Яндекс.Вебмастерская №3: как найти вирусы и вредоносный код на сайте
Яндекс.Вебмастерская №3: как найти вирусы и вредоносный код на сайтеЯндекс.Вебмастерская №3: как найти вирусы и вредоносный код на сайте
Яндекс.Вебмастерская №3: как найти вирусы и вредоносный код на сайте
 
Современный агрессивный интернет
Современный агрессивный интернетСовременный агрессивный интернет
Современный агрессивный интернет
 
Mythbusters - Web Application Security
Mythbusters - Web Application SecurityMythbusters - Web Application Security
Mythbusters - Web Application Security
 
Application security? Firewall it!
Application security? Firewall it!Application security? Firewall it!
Application security? Firewall it!
 
Безопасность WordPress
Безопасность WordPress Безопасность WordPress
Безопасность WordPress
 
Как обезопасить PBN от взлома? Практические рекомендации
Как обезопасить PBN от взлома? Практические рекомендацииКак обезопасить PBN от взлома? Практические рекомендации
Как обезопасить PBN от взлома? Практические рекомендации
 
Зоопарк python веб-фреймворков
Зоопарк python веб-фреймворковЗоопарк python веб-фреймворков
Зоопарк python веб-фреймворков
 
Лечение мобильных, поисковых редиректов и дорвеев на сайте
Лечение мобильных, поисковых редиректов и дорвеев на сайте Лечение мобильных, поисковых редиректов и дорвеев на сайте
Лечение мобильных, поисковых редиректов и дорвеев на сайте
 
Методы выполнения требования 6.6 PCI DSS – практический выбор
Методы выполнения требования 6.6 PCI DSS – практический выборМетоды выполнения требования 6.6 PCI DSS – практический выбор
Методы выполнения требования 6.6 PCI DSS – практический выбор
 
Waf.js: как защищать веб-приложения с использованием JavaScript
Waf.js: как защищать веб-приложения с использованием JavaScriptWaf.js: как защищать веб-приложения с использованием JavaScript
Waf.js: как защищать веб-приложения с использованием JavaScript
 
QA Fest 2014. Катерина Овеченко. Безопасность сессий в веб-приложениях: практ...
QA Fest 2014. Катерина Овеченко. Безопасность сессий в веб-приложениях: практ...QA Fest 2014. Катерина Овеченко. Безопасность сессий в веб-приложениях: практ...
QA Fest 2014. Катерина Овеченко. Безопасность сессий в веб-приложениях: практ...
 
Основные угрозы безопасности для интернет-бизнеса в 2014 году
Основные угрозы безопасности для интернет-бизнеса в 2014 годуОсновные угрозы безопасности для интернет-бизнеса в 2014 году
Основные угрозы безопасности для интернет-бизнеса в 2014 году
 
Где прячутся мобильные вирусы — Григорий Земсков
Где прячутся мобильные вирусы — Григорий ЗемсковГде прячутся мобильные вирусы — Григорий Земсков
Где прячутся мобильные вирусы — Григорий Земсков
 
Alex Eden - Не доверяй и проверяй
Alex Eden - Не доверяй и проверяйAlex Eden - Не доверяй и проверяй
Alex Eden - Не доверяй и проверяй
 
70 - Spring. Установка GlassFish
70 - Spring. Установка GlassFish70 - Spring. Установка GlassFish
70 - Spring. Установка GlassFish
 
Подготовка интернет-магазина к боевым условиям
Подготовка интернет-магазина к боевым условиямПодготовка интернет-магазина к боевым условиям
Подготовка интернет-магазина к боевым условиям
 
Chrome push notifications. Анатомия и разработка
Chrome push notifications. Анатомия и разработкаChrome push notifications. Анатомия и разработка
Chrome push notifications. Анатомия и разработка
 
PT MIFI Labxss
PT MIFI LabxssPT MIFI Labxss
PT MIFI Labxss
 

Similar to Разумная безопасность сайта

DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
it-people
 
Защита сайта от взлома и вирусов
Защита сайта от взлома и вирусовЗащита сайта от взлома и вирусов
Защита сайта от взлома и вирусов
SkillFactory
 
Иван Карев — Клиентская оптимизация
Иван Карев — Клиентская оптимизацияИван Карев — Клиентская оптимизация
Иван Карев — Клиентская оптимизация
Yandex
 
Микросервисный фронтенд
Микросервисный фронтендМикросервисный фронтенд
Микросервисный фронтенд
Viacheslav Slinko
 
Микросервисный фронтенд / Вячеслав Слинько (ЦИАН)
Микросервисный фронтенд / Вячеслав Слинько (ЦИАН)Микросервисный фронтенд / Вячеслав Слинько (ЦИАН)
Микросервисный фронтенд / Вячеслав Слинько (ЦИАН)
Ontico
 
Дмитрий Кондрюк «Лендинг на ВП - быстро, дешево, НО сердито!»
Дмитрий Кондрюк «Лендинг на ВП - быстро, дешево, НО сердито!» Дмитрий Кондрюк «Лендинг на ВП - быстро, дешево, НО сердито!»
Дмитрий Кондрюк «Лендинг на ВП - быстро, дешево, НО сердито!»
Клуб Интернет-Маркетологов
 
создание сайта
создание сайтасоздание сайта
создание сайта
Shura Mudra
 
полмиллиона юзеров в онлайне без падений оптимизация высоконагруженной Server...
полмиллиона юзеров в онлайне без падений оптимизация высоконагруженной Server...полмиллиона юзеров в онлайне без падений оптимизация высоконагруженной Server...
полмиллиона юзеров в онлайне без падений оптимизация высоконагруженной Server...
rit2011
 
Программы для Метрологии от Вискомп (Саратов)
Программы для Метрологии от Вискомп (Саратов)Программы для Метрологии от Вискомп (Саратов)
Программы для Метрологии от Вискомп (Саратов)
Viscomp Ltd.
 
Полмиллиона юзеров в онлайне без падений: оптимизация высоконагруженного se...
Полмиллиона юзеров в онлайне без падений: оптимизация высоконагруженного se...Полмиллиона юзеров в онлайне без падений: оптимизация высоконагруженного se...
Полмиллиона юзеров в онлайне без падений: оптимизация высоконагруженного se...
Sergey Xek
 
Как выиграть в игру «Где Уолли» и удачно заказать сайт
Как выиграть в игру «Где Уолли» и удачно заказать сайтКак выиграть в игру «Где Уолли» и удачно заказать сайт
Как выиграть в игру «Где Уолли» и удачно заказать сайт
Astra Media Group, Russia
 
полмиллиона юзеров в онлайне без падений оптимизация высоконагруженной Server...
полмиллиона юзеров в онлайне без падений оптимизация высоконагруженной Server...полмиллиона юзеров в онлайне без падений оптимизация высоконагруженной Server...
полмиллиона юзеров в онлайне без падений оптимизация высоконагруженной Server...
rit2011
 

Similar to Разумная безопасность сайта (20)

Губкин Александр
Губкин АлександрГубкин Александр
Губкин Александр
 
Современные технологии сайтостроения для решения бизнес-задач
Современные технологии сайтостроения для решения бизнес-задач Современные технологии сайтостроения для решения бизнес-задач
Современные технологии сайтостроения для решения бизнес-задач
 
Эффективный сайт для бизнеса
Эффективный сайт для бизнесаЭффективный сайт для бизнеса
Эффективный сайт для бизнеса
 
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
 
Управляем сайтом: Быстро. Просто. Эффективно.
Управляем сайтом: Быстро. Просто. Эффективно.Управляем сайтом: Быстро. Просто. Эффективно.
Управляем сайтом: Быстро. Просто. Эффективно.
 
Защита сайта от взлома и вирусов
Защита сайта от взлома и вирусовЗащита сайта от взлома и вирусов
Защита сайта от взлома и вирусов
 
Иван Карев — Клиентская оптимизация
Иван Карев — Клиентская оптимизацияИван Карев — Клиентская оптимизация
Иван Карев — Клиентская оптимизация
 
«Правильный процесс дает правильный результат». Как грамотно выстроить работу...
«Правильный процесс дает правильный результат». Как грамотно выстроить работу...«Правильный процесс дает правильный результат». Как грамотно выстроить работу...
«Правильный процесс дает правильный результат». Как грамотно выстроить работу...
 
Микросервисный фронтенд
Микросервисный фронтендМикросервисный фронтенд
Микросервисный фронтенд
 
Микросервисный фронтенд / Вячеслав Слинько (ЦИАН)
Микросервисный фронтенд / Вячеслав Слинько (ЦИАН)Микросервисный фронтенд / Вячеслав Слинько (ЦИАН)
Микросервисный фронтенд / Вячеслав Слинько (ЦИАН)
 
Дмитрий Кондрюк «Лендинг на ВП - быстро, дешево, НО сердито!»
Дмитрий Кондрюк «Лендинг на ВП - быстро, дешево, НО сердито!» Дмитрий Кондрюк «Лендинг на ВП - быстро, дешево, НО сердито!»
Дмитрий Кондрюк «Лендинг на ВП - быстро, дешево, НО сердито!»
 
Управление сетками сайтов
Управление сетками сайтовУправление сетками сайтов
Управление сетками сайтов
 
Управление сетками сайтов
Управление сетками сайтовУправление сетками сайтов
Управление сетками сайтов
 
создание сайта
создание сайтасоздание сайта
создание сайта
 
полмиллиона юзеров в онлайне без падений оптимизация высоконагруженной Server...
полмиллиона юзеров в онлайне без падений оптимизация высоконагруженной Server...полмиллиона юзеров в онлайне без падений оптимизация высоконагруженной Server...
полмиллиона юзеров в онлайне без падений оптимизация высоконагруженной Server...
 
Support, как он есть, или чем занимается поддержка сайтов
Support, как он есть, или чем занимается поддержка сайтовSupport, как он есть, или чем занимается поддержка сайтов
Support, как он есть, или чем занимается поддержка сайтов
 
Программы для Метрологии от Вискомп (Саратов)
Программы для Метрологии от Вискомп (Саратов)Программы для Метрологии от Вискомп (Саратов)
Программы для Метрологии от Вискомп (Саратов)
 
Полмиллиона юзеров в онлайне без падений: оптимизация высоконагруженного se...
Полмиллиона юзеров в онлайне без падений: оптимизация высоконагруженного se...Полмиллиона юзеров в онлайне без падений: оптимизация высоконагруженного se...
Полмиллиона юзеров в онлайне без падений: оптимизация высоконагруженного se...
 
Как выиграть в игру «Где Уолли» и удачно заказать сайт
Как выиграть в игру «Где Уолли» и удачно заказать сайтКак выиграть в игру «Где Уолли» и удачно заказать сайт
Как выиграть в игру «Где Уолли» и удачно заказать сайт
 
полмиллиона юзеров в онлайне без падений оптимизация высоконагруженной Server...
полмиллиона юзеров в онлайне без падений оптимизация высоконагруженной Server...полмиллиона юзеров в онлайне без падений оптимизация высоконагруженной Server...
полмиллиона юзеров в онлайне без падений оптимизация высоконагруженной Server...
 

Разумная безопасность сайта

  • 2. Как защитить сайт от взлома и создать при этом комфортные условия работы с ним. Цель – поиск баланса комфорт/защищенность
  • 3. • Защита сайта – это ограничение свобод, “затягивание гаек” техническими средствами • Безопасность сайта – это дисциплина, требующая выполнение инструкций *** Обратная сторона *** • Ограничивается или ломается функциональность сайта • Неудобное администрирование – недовольство владельца/администратора/разработчи ков
  • 4. ЗАЧЕМ ЗАЩИЩАТЬ САЙТ? Стоит ли задумываться про безопасность?
  • 5. • “Мой сайт не интересен хакерам…” • “Мой сайт работает на коммерческой CMS на надежном хостинге…” • “Зачем защищать, если есть бэкап?...” • “Мои программисты уже что-то там безопасно настроили…” • “Я регулярно меняю пароли…” Заблуждения
  • 6. • Любой сайт представляет интерес для хакера: как ресурс или как инструмент для заработка • Любой сайт – постоянно под атаками • Стоимость взлома – копейки • Доступность инструментов и методологий • Безнаказанность хакеров Реальность
  • 10. • Формируем безопасное окружение • Изолируем сайты на хостинге • Обновляем ОС, CMS и плагины • Активируем проактивную защиту (внутренний WAF) • Выполняем Server Hardening • Выполняем CMS Hardening • Устанавливаем двухфакторную аутентификацию на все аккаунты • Встаем под WAF и ANTI-DDOS сервисы • Настраиваем грамотное резервное копирование • Запускаем мониторинг Технические
  • 11. • Делаем безопасными рабочие места • Защищаем каналы передачи данных • Выбираем надежных подрядчиков • Управляем доступами к домену, сайту и хостингу • Инструктируем сотрудников и подрядчиков • Работаем по договору • Разрабатываем памятку безопасности и контролируем исполнение предписаний • Выполняем регулярный аудит безопасности Организационные
  • 12. • Настройки сервера и ПО на нем не меняются • CMS, плагины не обновляются • Нет обмена данными с внешними ресурсами • Изменяется только контент сайта • С сайтом работает постоянная группа людей • Перенастраивается сервер, появляются “соседи” на аккаунте • DEV/PROD версии сайта, что-то постоянно дорабатывается, обновляется CMS • Активный обмен данными с внешними ресурсами, активное обновление контента • Периодически привлекаются разные подрядчики VS Типы проектов Динамичный проектСтатичный проект
  • 13. • Перестала работать часть функций • Нет доступа к некоторым страницам/разделам сайта • Перестал работать обмен с внешними ресурсами • Сайт начал “тормозить” • Не работают задачи по расписанию • Не выполняются предписания, рекомендации по безопасной работе сотрудниками и подрядчиками • Возрастают накладные расходы на поддержку сайта О важности тестирования Организационные проблемыТехнические проблемы
  • 14. • Раскрывают доступы • Небезопасное рабочее место • Небезопасный сетевой канал • Не учитывают элементы защиты на сайте • Вносят новые уязвимости • Размещают вредоносный код • Оставляют инструменты для работы с БД, файловые менеджеры, чувствительные файлы на хостинге • Объекты социальной инженерии О сотрудниках и подрядчиках
  • 15. Для каждого сайта можно подобрать вариант защиты – с максимальной безопасностью и комфортной работой.
  • 16. • Автоматизация рутины, но регулярная проверка • Готовые предписания, сценарии, руководства • Мониторинг на разных уровнях • Участие специалистов по ИБ Делаем жизнь проще