Григорий Земсков в документе обсуждает важность разумной безопасности сайтов, подчеркивая необходимость баланса между комфортом и защищенностью. Он выделяет общие заблуждения о безопасности веб-ресурсов и предлагает комплексные технические и организационные меры для защиты от взломов. Документ акцентирует внимание на реалиях киберугроз и важности регулярного тестирования и аудитирования безопасности сайтов.

1. Григорий Земсков
Компания “Ревизиум”
РАЗУМНАЯ БЕЗОПАСНОСТЬ САЙТА

2. Как защитить сайт от взлома и
создать при этом комфортные
условия работы с ним.
Цель – поиск баланса
комфорт/защищенность

3. • Защита сайта – это ограничение свобод,
“затягивание гаек” техническими
средствами
• Безопасность сайта – это дисциплина,
требующая выполнение инструкций
*** Обратная сторона ***
• Ограничивается или ломается
функциональность сайта
• Неудобное администрирование –
недовольство
владельца/администратора/разработчи
ков

4. ЗАЧЕМ ЗАЩИЩАТЬ САЙТ?
Стоит ли задумываться про безопасность?

5. • “Мой сайт не интересен хакерам…”
• “Мой сайт работает на
коммерческой CMS на надежном
хостинге…”
• “Зачем защищать, если есть
бэкап?...”
• “Мои программисты уже что-то там
безопасно настроили…”
• “Я регулярно меняю пароли…”
Заблуждения

6. • Любой сайт представляет интерес для
хакера: как ресурс или как инструмент
для заработка
• Любой сайт – постоянно под атаками
• Стоимость взлома – копейки
• Доступность инструментов и
методологий
• Безнаказанность хакеров
Реальность

7. Как взламывают

8. ЗАЩИЩАЕМ САЙТ

9. Технические средства
Комплексная безопасность
Организационные меры
1 2+

10. • Формируем безопасное окружение
• Изолируем сайты на хостинге
• Обновляем ОС, CMS и плагины
• Активируем проактивную защиту
(внутренний WAF)
• Выполняем Server Hardening
• Выполняем CMS Hardening
• Устанавливаем двухфакторную
аутентификацию на все аккаунты
• Встаем под WAF и ANTI-DDOS
сервисы
• Настраиваем грамотное резервное
копирование
• Запускаем мониторинг
Технические

11. • Делаем безопасными рабочие
места
• Защищаем каналы передачи
данных
• Выбираем надежных подрядчиков
• Управляем доступами к домену,
сайту и хостингу
• Инструктируем сотрудников и
подрядчиков
• Работаем по договору
• Разрабатываем памятку
безопасности и контролируем
исполнение предписаний
• Выполняем регулярный аудит
безопасности
Организационные

12. • Настройки сервера и ПО на нем не
меняются
• CMS, плагины не обновляются
• Нет обмена данными с внешними
ресурсами
• Изменяется только контент сайта
• С сайтом работает постоянная группа
людей
• Перенастраивается сервер, появляются
“соседи” на аккаунте
• DEV/PROD версии сайта, что-то
постоянно дорабатывается, обновляется
CMS
• Активный обмен данными с внешними
ресурсами, активное обновление
контента
• Периодически привлекаются разные
подрядчики
VS
Типы проектов
Динамичный проектСтатичный проект

13. • Перестала работать часть функций
• Нет доступа к некоторым
страницам/разделам сайта
• Перестал работать обмен с
внешними ресурсами
• Сайт начал “тормозить”
• Не работают задачи по расписанию
• Не выполняются предписания,
рекомендации по безопасной работе
сотрудниками и подрядчиками
• Возрастают накладные расходы на
поддержку сайта
О важности тестирования
Организационные проблемыТехнические проблемы

14. • Раскрывают доступы
• Небезопасное рабочее место
• Небезопасный сетевой канал
• Не учитывают элементы защиты на
сайте
• Вносят новые уязвимости
• Размещают вредоносный код
• Оставляют инструменты для
работы с БД, файловые
менеджеры, чувствительные файлы
на хостинге
• Объекты социальной инженерии
О сотрудниках и
подрядчиках

15. Для каждого сайта можно
подобрать вариант защиты –
с максимальной безопасностью и
комфортной работой.

16. • Автоматизация рутины, но
регулярная проверка
• Готовые предписания, сценарии,
руководства
• Мониторинг на разных уровнях
• Участие специалистов по ИБ
Делаем жизнь проще

17. Спасибо за внимание!
Вопросы?