InfoWatch. Рустем Хайретдинов. "Защита веб-приложений - от безопасной разработки до отражения атак"

РУСТЭМ ХАЙРЕТДИНОВ
ГЕНЕРАЛЬНЫЙ ДИРЕКТОР АТАК КИЛЛЕР,
ВИЦЕ-ПРЕЗИДЕНТ ИНФОВОТЧ
ТЕЛЕФОН: +7 (903) 961 73 12
EMAIL: RUSTEM@KHAIRETDINOV.COM
Защита веб-приложений - от
безопасной разработки до
отражения атак
27 АПРЕЛЯ 2017
САНКТ-ПЕТЕРБУРГ
#CODEIB
27 АПРЕЛЯ 2017
САНКТ-ПЕТЕРБУРГ
#CODEIB

30 лет стажа в ИТ/ 17 лет стажа в ИБ: ЛК, InfoWatch,
Appercut, Attack Killer
Сотни внедрённых ИТ и ИБ-проектов
Кандидат экономических наук, автор методики
оптимизации затрат на ИБ
Преподаватель МВА РАНХиГС при Президенте РФ
ЗДРАВСТВУЙТЕ
Рустэм Хайретдинов,. Мастеркласс. Санкт-Петербург 27 апреля 2017

Web-приложения как инструмент бизнеса
Модель угроз для web-приложения
Эволюция парадигмы защиты
Защита – часть процесса
Процессные стыки
Agile
Активно или пассивно
Роль digital officer
Перспективы
О ЧЁМ СЕГОДНЯ?

ВЗГЛЯД НА ВЕБ-
ПРИЛОЖЕНИЯ
Бизнес
видит
возможности
$10 млрд
объем
российского рынка
электронной
коммерции
Бизнес не
интересуют
уязвимости и
атаки
Безопасность
видит
угрозы
$4 млрд
ущерб российских
компаний
от хакерских атак
Безопасность несет
ответственность за
инциденты
East-West Digital News, 2015 Symantec, 2015

УЧЁТ ТРАНЗАКЦИИ БИЗНЕС
1990-е 2000-е 2010-е
ЭВОЛЮЦИЯ ПРИЛОЖЕНИЙ

В корпоративной информационной системе работают:
• Офисные сотрудники
• Удалённые сотрудники
• Мобильные сотрудники
• Привилегированные сотрудники
• Клиенты, партнёры, поставщики,
• Аутсорсеры
• Интеграторы
• Разработчики
ГДЕ ПЕРИМЕТР?

ЧТО ПРОИСХОДИТ С УГРОЗАМИ?
1 КИБЕРВОЙНА УЖЕ ЗДЕСЬ. МОЖНО СТАТЬ ЖЕРТВОЙ, НЕ ЯВЛЯЯСЬ ЦЕЛЬЮ
2 ДОСТУП К СИСТЕМАМ У МИЛЛИАРДА ПОЛЬЗОВАТЕЛЕЙ СЕТИ ИНТЕРНЕТ
СМЫКАЮТСЯ КИБЕРВОЙНЫ И ИНФОРМАЦИОННЫЕ ВОЙНЫ
4 СМЫКАЮТСЯ ОНЛАЙН И ОФФЛАЙН УГРОЗЫ
3
5 АТАКУЮЩИЕ АВТОМАТИЗИРУЮТСЯ И ИСПОЛЬЗУЮТ ЭЛЕМЕНТЫ ИИ

84% атак
совершаются комплексно:
DDoS+хакерский взлом
Каждый 3-й
ресурс содержит давно
известные уязвимости
От $5
стоимость организации
DDoS-атаки в час
ВЕБ-УГРОЗЫ
В ЦИФРАХ
По данным Qrator Labs и Wallarm
Атаки становятся дешевле,
число их растет

Атака Бизнес-риск Финансовый ущерб
Недоступность сайта Уход клиентов Упущенная выгода
Кража секретов Усиление конкурентов Упущенная выгода
Кража персданных Санкции регуляторов Штрафы
Подмена информации Разочарование клиентов Возврат денег
Понижение позиций в поиску Неэффективность рекламы Неэффективные вложения
Атака на пользователей Потеря доверия, отток клиентов Упущенная выгода
Перенаправление трафика Отток клиентов Упущенная выгода
УГРОЗЫ НА ЯЗЫКЕ БИЗНЕСА

Позавчера – редкие изменения в системе
Вчера – ежедневные изменения в системе
Сегодня – сотни ежедневных изменений в
системе
Завтра – тысячи и десятки тысяч
ежедневных изменений
Что это за изменения?
•Управление учётными записями
пользователей
•Управление инфраструктурой
•Обновление стандартных систем
•Изменение функционала систем
БИЗНЕС НЕ СТРЕМИТСЯ
СДЕЛАТЬ НАМ ЛЕГЧЕ

84% случаев атак - это чередование
DDoS атак с попытками взломов сайтов
31% сайтов содержат критические
уязвимости, описания которых доступно публично
Почти 40% атак – это атаки SQLi
37,75%
SQL-инъекции
28,73%
XSS
21,85%
Другие серверные уязвимости
12,07%
Атаки перебора (брутфорс)
5,8%
Прочие
РАСПРЕДЕЛЕНИЕ ПО ТИПАМ АТАК
СТАТИСТИКА АТАК

Старое ПО и незащищенные тестовые стенды на
периметре проекта, о которых все забыли
1
Заражение сотрудников компании, имеющих нужные
доступы (пароли к FTP, SSH, VPN и т.д.)
2
Случайно опубликованные в открытом доступе учетные записи
(форумы разработчиков, репозитории кода на GitHub и т.д.)
3
Глупые ошибки администрирования
(бездумно сделал “как на хабре”)
4
Слабая парольная политика
4
ПРИЧИНЫ КОМПРОМЕТАЦИИ САЙТОВ

• За функционал отвечает бизнес-
подразделение
• За реализацию функционала отвечают
разработчики и внедренцы (свои или чужие)
• За инфраструктуру отвечает ИТ-
департамент
• За поддержку клиентов - колл-центр
• За безопасность – служба
информационной безопасности
КТО ОТВЕТИТ ЗА ВСЁ?

БИЗНЕС УСКОРЯЕТСЯ БЕЗОПАСНОСТЬ
СТОИТ НА МЕСТЕ
ИБ СТАНОВИТСЯ ТОРМОЗОМ

Осталась такой же, как в ХХ веке:
•Отдельные «навесные» системы с одной
функциональностью
Старые добрые технологии
•«Сигнатуры» (известные угрозы)
•Анализ аномалий (известные и неизвестные угрозы)
Если система безопасности даёт слишком много ложных срабатываний –
её переводят в пассив и сажают человека её контролировать.
ПОТОМУ ЧТО ИБ НЕ МЕНЯЕТСЯ

ЧТО ТАКОЕ ПАССИВНАЯ БЕЗОПАСНОСТЬ?
1 МНОГО ЛОЖНЫХ СРАБАТЫВАНИЙ, НЕ БЛОКИРУЕМ, А ДЕЛЕГИРУЕМ
ПРИНЯТИЕ РЕШЕНИЯ ЧЕЛОВЕКУ
2 НАЗЫВАЕМ ПАССИВНЫЙ РЕЖИМ
КРАСИВО: «РЕЖИМ ФОРЕНЗИКИ», ПО ФАКТУ ВАЛИМ ВСЁ В SIEM
3 НАНИМАЕМ АНАЛИТИКОВ И СПЕЦИАЛИСТОВ ПО РАССЛЕДОВАНИЯМ.
ВСЁ БОЛЬШЕ И БОЛЬШЕ
ЭТО ТУПИК

В ТОМ ЛИ НАПРАВЛЕНИИ ВЫ ИДЁТЕ?
- Всё больше бизнеса будет
переноситься в приложения
- Изменения бизнес-систем
будут происходить всё чаще
- Атакующие будут всё активнее
автоматизироваться
НЕ ПОМЕНЯЕТЕ ОТНОШЕНИЕ К ЗАЩИТЕ СЕЙЧАС
– ПОТОМ УЖЕ НЕ УСПЕЕТЕ

ИЗВЕЧНЫЙ ВОПРОС
Все понимают, каким
надо быть
Все понимают, что так,
как сейчас - плохо

объект сам по себе,
защита сама по себе
защита изучает объект
перед защитой
защита влияет
на объект
1990-е 2000-е 2010-е 2020-е
интеграция защиты
с объектом
Эволюция принципов защиты

Переходим от навесных решений к
встроенным, начинаем на этапе
проектирования и кодирования
Используем машинное обучение и
раннее обнаружение атак
КУДА ИДЁМ?
ПОВЫШАЕМ УРОВЕНЬ ОТВЕТСТВЕННОСТИ
КОНЦЕНТРИРУЕМ ОТВЕТСТВЕННОСТЬ В ОДНИХ РУКАХ

• Интеграция разработки, средств
анализа защищённости и настроек
средств защиты
• Объединение ответственности за
бизнес и приложение в одном месте
• Комбинирование самообучения с
прямым автоматическим управлением
настройками на основе анализа
приложения
CONTINUOS SECURITY

ЗАДАЧА:
Автоматизировать
процесс безопасной
разработки
Шаг 1:
Обеспечивать возможность
своевременных обновлений
приложения, даже если они
содержат уязвимости
Шаг 2:
Разбираться в разработке,
уязвимостях, уметь давать
четкие рекомендации
программистам
Шаг 3:
Контролировать
закрытие
уязвимостей, как
внутри, так и вовне

ПЕРВЫЕ ШАГИ
АНАЛИЗ ЗАЩИЩЁННОСТИ ПРОДУКТИВРАЗРАБОТКА

БЕЗОПАСНАЯ РАЗРАБОТКА

Разбор кейса 1
Интеграция разработки
rustem@khairetdinov.com
+7 (903) 961-7312
РУСТЭМ
ХАЙРЕТДИНОВ
CEO ATTACK KILLER

ЭЛЕКТРОННЫЙ МАГАЗИН
Дано:
•Продажи в Интернет >5%
•Мотивация на рост до 20%
•Есть позиция Digital Officer
•Свои разработчики в стиле Agile
•Традиционные ИБ
•Конфликт бизнеса, разработки, ИБ и ИТ
Решение:
•Переход к тестированию в процессе разработки
•Переход от кейсов к рискам
•Принятие окончательного решения Digital Officer

Разбор кейса 2
Замена человека роботом
+7 (903) 961-7312
РУСТЭМ
CEO ATTACK KILLER

РЕГИОНАЛЬНЫЕ ГОСУСЛУГИ
Дано:
•Очень-очень-очень далеко
•Социально важная функция
•Разработчики когда какие – госторги решают
•Agile погоняет agil-ом: надо всё, вчера и безопасно
•ИБ нет – один человек на всё
Решение:
•Формулировка требований к ПО
с постепенным ужесточением
•Приёмка вместе с тестированием
•«Покорми робота и ничего не трогай»

Спасибо за внимание!
Ваши вопросы?
+7 (903) 961-7312
РУСТЭМ
CEO ATTACK KILLER

InfoWatch. Рустем Хайретдинов. "Защита веб-приложений - от безопасной разработки до отражения атак"

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to InfoWatch. Рустем Хайретдинов. "Защита веб-приложений - от безопасной разработки до отражения атак"

Similar to InfoWatch. Рустем Хайретдинов. "Защита веб-приложений - от безопасной разработки до отражения атак" (20)

More from Expolink

More from Expolink (20)

InfoWatch. Рустем Хайретдинов. "Защита веб-приложений - от безопасной разработки до отражения атак"