Документ обсуждает реальные опасности виртуального мира, включая проблемы безопасности, уязвимости веб-приложений и управление доступом. Основанный на статистических данных, текст подчеркивает важность контроля над критичными ресурсами и охватывает темы, такие как шифрование и удаленный доступ. Авторы также предлагают ссылки на дополнительную информацию и исследования по указанным вопросам.

1. Дмитрий
Евтеев
Реальные опасности
виртуального мира.

2. О чем пойдет речь

3. ...Речь пойдет
• О проблемах с безопасностью, которые
встречаются у всех
• Об отношении к этим проблемам
• Мы будем опираться на статистические
данные, полученные путем тесного
многолетнего общения и работы с вами
http://www.ptsecurity.ru/lab/analytics/

4. Минимальный уровень нарушителя для
полного контроля над критичными
ресурсами

5. Наиболее распространенные
уязвимости

6. Идентификаторы и
пароли
•Их МНОГО и они уязвимы
•«Пароли», Человеки, Технологии,
Продукты, Организационные
составляющие и т.п.

7. -Уязвимости веб
приложений
•ВСЕ веб-приложения уязвимы
•Их ОЧЕНЬ много и они присутствуют
практически во всех компонентах
информационной системы

8. -Уязвимости веб приложений по
( , %)степени риска доля сайтов

9. Не эффективное
разграничение сетевых
сервисов
•Вероятность успешной атаки
возрастает с числом доступных
систем и сервисов атакующему
•Системы X Сервисы X Сервисы других
систем && Пользователей, при этом
Системы/Сервисы/Пользователи
постоянно пополняются

10. Управление
/доступом использование
привилегий
•Проблема «Бога»
•Проблема множества систем X на
количество пользователей
•Шифрование?
•Обслуживание инфраструктуры
•Установка «закладок»

11. Необходимость в публикации
« »приложений для доступа из вне
•Сервисы инфраструктуры
•Популяризация «мобильного офиса»
•Удаленный доступ для
администратора сети
•Клиенты и партнеры
•Забытый «мусор» на периметре

12. ,Уровень привилегий полученных от
лица внешнего нарушителя

13. -Более подробно
http://www.ptsecurity.ru/lab/analytics/
•Статистика по результатам тестирований на
проникновение 2011-2012
•Статистика уязвимостей в веб-приложениях
за 2012 год (с 2006 года)
•Статистика уязвимостей систем
дистанционного банковского обслуживания
2011-2012

14. Спасибо за внимание!
sdevteev@gmail.com
http://devteev.blogspot.com
https://twitter.com/devteev