Какие организационные меры защиты сайтов гарантируют отсутствие взлома и заражения вирусами, компрометацию доступов, раскрытие конфиденциальных данных. Как управлять доступами, как организовать работу сотрудников и подрядчиков с клиентскими сайтами внутри компании, о чем нужно помнить фрилансерам при работе с сайтами заказчиков.
"На Стачку" - Взлом сайта: 5 стадий принятия неизбежногоrevisium
Как и зачем взламывают сайты, как монетизируют взломанные сайты. Ошибки, заблуждения веб-специалистов или владельцев сайтов про безопасность. Как защищать сайты от взлома.
"На Стачку" - Взлом сайта: 5 стадий принятия неизбежногоrevisium
Как и зачем взламывают сайты, как монетизируют взломанные сайты. Ошибки, заблуждения веб-специалистов или владельцев сайтов про безопасность. Как защищать сайты от взлома.
Ведущий: Эльдар Бейбутов
Интернет приложения - это интерфейс взаимодействия человеческого сознания с информационной системой. Процесс коммуникации людей и машинного кода не поддается формализации, невозможно учесть все возможные состояния системы в ручную, для этого необходимы интеллектуальные средства защиты, которые будут способны к самостоятельному обучению и принятию решений на основе многофакторных моделей. На докладе поговорим о эвристических механизмах обнаружения атак, автоматическом создании позитивной модели и поведенческом анализе.
Яндекс.Вебмастерская №3: как найти вирусы и вредоносный код на сайтеrevisium
Основные методы автоматизированного поиска вредоносного кода на заражённом сайте с помощью сканеров и антивирусов (Manul, AI-Bolit, ClamAV, Maldet, антивирусных программ);
Эвристический подход к поиску вирусов на сайте в режиме командной строки (всемогущие FIND и GREP);
Поиск вредоносного кода с помощью проксирования и анализа HTTP-трафика (веб-прокси Fiddler, Charles);
Сторонние сервисы (Яндекс.Вебмастер, Quttera, Sucuri SiteCheck);
и другие варианты (VCS, Integrity Check, встроенные антивирусы CMS и т. д.).
Обзор текущей ситуации с веб-атаками на сайты малого и среднего бизнеса, целевые/нецелевые атаки, особенности взломов сайтов 2015-2016 года, тенденции.
Угрозы безопасности, которые будут мешать вам спокойно зарабатывать с сайта -...Joomla Secrets
Основные угрозы безопасности сайтов на Joomla или как хакеры зарабатывают на наших сайтах.
Причины взлома и заражения сайта.
Что делать - основные способы защиты своими руками и нет.
Waf.js: как защищать веб-приложения с использованием JavaScriptPositive Hack Days
Ведущие: Денис Колегов и Арсений Реутов
Авторы доклада продемонстрируют, как внедрение клиентских сценариев JavaScript может быть использовано для обнаружения и предотвращения различных атак, поиска уязвимых клиентских компонент, определения утечек данных об инфраструктуре веб-приложений, выявления веб-ботов и инструментальных средств нападения. Поделятся собственными методами обнаружения инъекций при помощи синтаксических анализаторов без сигнатур и фильтрующих регулярных выражений, а также рассмотрят реализацию концепции JavaScript-ловушек на стороне клиента для атак SSRF, IDOR, Command Injection и CSRF.
Лечение мобильных, поисковых редиректов и дорвеев на сайте revisium
- Зачем взламывают сайты
- Какие виды вредоносного кода встречаются на сайте
- Как поймать, проанализировать и удалить мобильный и поисковый редирект
- Как найти и удалить дорвеи
- Угрозы спам-рассылок, дефейс, нагрузка на cpu
- Реальные кейсы по лечению сайтов компании "Ревизиум"
Основные угрозы безопасности для интернет-бизнеса в 2014 годуSiteSecure
Презентация с вебинара "Первые шаги к безопасности и новым клиентам" (запись вебинара - http://www.youtube.com/watch?v=TWlea8tPp3E)
Спикер: Олег Михальский, Лабоработия Касперского / Acronis
Тезисы:
- основные угрозы в 2014;
- основные примеры реализации угроз;
- как угрозы в действительности влияют на интернет-бизнес.
Ведущий: Эльдар Бейбутов
Интернет приложения - это интерфейс взаимодействия человеческого сознания с информационной системой. Процесс коммуникации людей и машинного кода не поддается формализации, невозможно учесть все возможные состояния системы в ручную, для этого необходимы интеллектуальные средства защиты, которые будут способны к самостоятельному обучению и принятию решений на основе многофакторных моделей. На докладе поговорим о эвристических механизмах обнаружения атак, автоматическом создании позитивной модели и поведенческом анализе.
Яндекс.Вебмастерская №3: как найти вирусы и вредоносный код на сайтеrevisium
Основные методы автоматизированного поиска вредоносного кода на заражённом сайте с помощью сканеров и антивирусов (Manul, AI-Bolit, ClamAV, Maldet, антивирусных программ);
Эвристический подход к поиску вирусов на сайте в режиме командной строки (всемогущие FIND и GREP);
Поиск вредоносного кода с помощью проксирования и анализа HTTP-трафика (веб-прокси Fiddler, Charles);
Сторонние сервисы (Яндекс.Вебмастер, Quttera, Sucuri SiteCheck);
и другие варианты (VCS, Integrity Check, встроенные антивирусы CMS и т. д.).
Обзор текущей ситуации с веб-атаками на сайты малого и среднего бизнеса, целевые/нецелевые атаки, особенности взломов сайтов 2015-2016 года, тенденции.
Угрозы безопасности, которые будут мешать вам спокойно зарабатывать с сайта -...Joomla Secrets
Основные угрозы безопасности сайтов на Joomla или как хакеры зарабатывают на наших сайтах.
Причины взлома и заражения сайта.
Что делать - основные способы защиты своими руками и нет.
Waf.js: как защищать веб-приложения с использованием JavaScriptPositive Hack Days
Ведущие: Денис Колегов и Арсений Реутов
Авторы доклада продемонстрируют, как внедрение клиентских сценариев JavaScript может быть использовано для обнаружения и предотвращения различных атак, поиска уязвимых клиентских компонент, определения утечек данных об инфраструктуре веб-приложений, выявления веб-ботов и инструментальных средств нападения. Поделятся собственными методами обнаружения инъекций при помощи синтаксических анализаторов без сигнатур и фильтрующих регулярных выражений, а также рассмотрят реализацию концепции JavaScript-ловушек на стороне клиента для атак SSRF, IDOR, Command Injection и CSRF.
Лечение мобильных, поисковых редиректов и дорвеев на сайте revisium
- Зачем взламывают сайты
- Какие виды вредоносного кода встречаются на сайте
- Как поймать, проанализировать и удалить мобильный и поисковый редирект
- Как найти и удалить дорвеи
- Угрозы спам-рассылок, дефейс, нагрузка на cpu
- Реальные кейсы по лечению сайтов компании "Ревизиум"
Основные угрозы безопасности для интернет-бизнеса в 2014 годуSiteSecure
Презентация с вебинара "Первые шаги к безопасности и новым клиентам" (запись вебинара - http://www.youtube.com/watch?v=TWlea8tPp3E)
Спикер: Олег Михальский, Лабоработия Касперского / Acronis
Тезисы:
- основные угрозы в 2014;
- основные примеры реализации угроз;
- как угрозы в действительности влияют на интернет-бизнес.
Лендинги на WordPress — доклад на WordCamp Russia 2015Nikolay Mironov
Выступление на WordCamp Russia 2015, посвящено выбору инструментов WordPress для эффективного создания лендингов (посадочных страниц). Докладчик: Николай Миронов. Сайт wpfolio.ru
This document lists various WordPress themes, plugins, and websites related to P2 and multi-author WordPress blogs. It includes links to the Prologue theme, P2 Likes, P2 Check In, and Mention Me plugins, as well as links to articles about managing multi-author blogs and how P2 has impacted Automattic. Websites related to P2 themes and communities in Moscow and Taiwan are also referenced.
Premium-темы WordPress (Wordcamp Russia 2015)versusbassz
Доклад о плюсах и минусах использования платных тем, о том на что стоит обратить внимание при их выборе, а также о биржах продающих платные темы.
Был представлен 8 августа 2015 года на конференции Wordcamp Russia 2015.
A talk I gave at WordCamp Sofa 2016 on measuring and optimizing memory usage, dealing with memory related errors, as well as monitoring server memory health.
Слайды доклада о методологии вёрстки "БЭМ", придуманной в компании "Яндекс". Краткое описание методологии, принципов создания качественного css-кода, и применения "БЭМ" в WordPress
Данная презентация изначально была представлена Дугласом Лоуренсом и Белиндой Масто на WordCamp в Бирмингеме в 2015. Затем презентация была переведена (включая комментарии) и адаптирована для московского семинара WordPress в июне 2015.
Доклад о плюсах и минусах использования платных тем, о том на что стоит обратить внимание при их выборе, а также о биржах продающих платные темы.
Был представлен на встрече Московской meetup-группы WordPress 16 мая 2015 года.
WordPress Multisite | WordPress Meetup Saint Petersburg, Russia 13 January 2017Doug Lawrence
Choosing WordPress Multisite set us on a path, where we overcame negative hosting companies and developers whose reaction to multisite was laced with suspicion. But with the help of friends and suppliers from within the WordPress community globally we overcame the challenges and now look back and know we made the right choice
Презентация для вебинара от 22.04.2014. Запись вебинара на Youtube: http://www.youtube.com/watch?v=3ZBLXqOW8mQ&hd=1
Эксперт по информационной безопасности Григорий Земсков – об эффективных методах предотвращения взлома сайта, кражи конфиденциальных данных и заражения вирусами, а также о том, что следует предпринять, если ваш сайт взломали.
www.vk.com/siteprotect - группа ВК “Безопасность сайтов”
twitter.com/revisium - Твиттер компании Revisium
facebook.com/Revisium - страница Revisium в Facebook
www.revisium.com/ru/blog/ - блог Revisium (rss подписка)
В данной сессии мы подробно рассмотрим архитектурные принципы построения защищённого корпоративного периметра, с разбором решения некоторых частных задач, характерных для периметра: контроль доступа пользователей в сеть Интернет, борьба с целенаправленными (APT) угрозами, защита web и email-трафика, средства объективного контроля сетевых процессов.
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...Ontico
РИТ++ 2017, секция ML + IoT + ИБ
Зал Белу-Оризонти, 5 июня, 13:00
Тезисы:
http://ritfest.ru/2017/abstracts/2798.html
В данном докладе будет рассмотрено множество вопросов, с которыми сталкивается AppSec-отдел - как генерировать анти-CSRF токены, где хранить секретные ключи, как тестировать безопасность в сжатые сроки и многое, многое другое.
Практические особенности внедрения систем класса DLPDialogueScience
В рамках вебинара "Практические особенности внедрения систем класса DLP" вы узнаете:
- цели и задачи, которые заказчик обычно ставит перед DLP, его ожидания;
- часто допускаемые ошибки;
- цели проекта по внедрению DLP;
- этапы проекта по внедрению DLP;
- описание этапов проекта;
- каких ошибок удается избежать при правильном подходе;
- преимущества и недостатки;
- ответы на вопросы.
Спикер: Роман Ванерке, руководитель отдела технических решений АО «ДиалогНаука»
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеровYandex
Лекция Петра Волкова в Школе вебмастеров: «Как защитить свой сайт».
https://academy.yandex.ru/events/webmasters_school/yawebm2015/
Актуальные типы угроз и динамика их развития
Компрометация сервера и её последствия. Распределённые атаки типа «отказ в обслуживании». Подмена или добавление рекламы на стороне клиента. Атаки, направленные на пользователей. Проблемы, связанные со внешним содержимым.
Управление рисками безопасности веб-сайтов
Разные типы сайтов подвержены разным типам рисков информационной безопасности. Понимание целей и подходов злоумылшенников как ключ к эффективному снижению рисков. Методы монетизации атак на сайты.
Доступный инструментарий и методики для обеспечения безопасности
Открытые инструменты форензики для типовых и сложных проектов. Системы обнаружения вторжений, подходы к проектированию безопасности в архитектуре и процессах.
Обзор современных технологий и продуктов для защиты от инсайдеров_2014.09.16DialogueScience
современными тенденциями в области защиты информации от внутренних угроз, комплексным подходом к защите от утечки конфиденциальной информации, а также с ведущими разработками в этой области.
3. Не до безопасности
— Агентство, студия, SEO-специалисты
• постоянно работает с сайтом
• профессионально (или не очень :) решает задачи
• не задумывается о безопасности (не до нее / нет компетенций)
— Владелец сайта
• постоянно или не очень работает с сайтом
• решает бизнес-задачи, нет технической экспертизы
• не задумывается о безопасности (не до нее)
4. Проблема неуправляемых доступов
• email
• IM: skype, whatsapp, viber, соц.сети, sms
• своя CRM или сервис
• чаты на сайтах, фриланс-сайтах
• хостинг клиента
6. Правильные вопросы про безопасность
— Кто отвечает за безопасность сайта?
— Кто и как управляет доступами?
— Как обеспечить безопасную передачу и хранение
доступов?
— Что такое «гигиена безопасности»?
— Чем грозит взлом и заражение сайта?
— Как снизить риски? …
14. Как чаще всего взламывают
— Перехватывают (крадут) пароли от FTP, «админки»
— Подбирают пароли от FTP , «админки»
— Взламывают через инструменты специалистов на сайте (adminer,
phpmyadmin, filemanager,…)
— Раскрывают доступы в результате «социальной инженерии»
— Взламывают из-за ошибок в настройке сайта и сервера
— Компрометируют из-за «нелицензионных» плагинов и шаблонов
или
— Атакуют через уязвимости в ПО (около 80% взломов)
15. Повторный взлом сайтов
— Не поменяли пароли
— Восстановили сайт из резервной копии
— Перенесли на prod-сервер зараженную версию с
dev-сервера
— Отключили защиту
или
— Одна из причин, по которой взломали в первый раз
18. Организационные меры
— Делаем безопасным рабочее место
— Защищаем сетевое подключение (канал данных)
— Управляем доступами к домену, сайту и хостингу
— Выбираем надежных подрядчиков, работа по договору
— Разрабатываем памятку безопасности и контролируем
исполнение предписаний
— Инструктируем сотрудников и подрядчиков
— Выполняем регулярный аудит безопасности
19. Рабочее место
— Выбираем операционную систему
— Регулярно обновляем компоненты ОС (браузер, плагины
браузера, софт для работы с сайтом)
— Устанавливаем антивирусное ПО
— Регулярно выполняем полную проверку антивирусом
— Используем менеджеры паролей
— Отдельный рабочий компьютер или терминал
— Устанавливаем мониторинговые (например, антифишинговые)
расширения
21. Кто управляет доступами?
— Если разовое обращение -
клиент
— Если разработка/сопровождение -
агентство или веб-студия (менеджер)
22. Управление доступами
— Выдаем сотрудникам и (суб)подрядчикам доступы с минимальными
полномочиями на минимально-необходимый срок
— Меняем / деактивируем доступы сразу после завершения работы
— Регулярно меняем пароли от панели хостинга, FTP, SSH, админ-панели
сайта, базы данных
— Устанавливаем сложные и разные пароли
— Включаем логгирование операций в панелях и логи сервисов
— Включаем двухфакторную аутентификацию, где возможно
— Используем SSH ключи для подключения вместо стандартной парольной
аутентификации
— Не используем FTP (используем SFTP, крайний случай FTPS)
23. Инструктаж
— «Инструкция по безопасности» сайта:
— Знакомим (суб)подрядчиков с предписаниями и памяткой по
безопасной работе с сайтом
— Проверяем выполнение предписаний
• Используемое ПО при работе с сайтами
• Варианты сетевых подключений к серверу
• Работа с доступами (прием, передача, хранение, смена)
• Работа с продуктовой и тестовой версиями сайта
• Работа со средствами защиты и безопасными настройками сайта
• Тестирование и сдача проекта
• Реагирование на инциденты (что делать, в каком порядке, к кому обращаться)
24. Резервное копирование
— Вырабатываем стратегию резервного копирования:
— Выбираем место для хранения (не на сервере)
— Проверяем резервные копии
• период
• интервал
• количество копий
• автоматизация
25. Аудит безопасности
— Проводим аудит перед публичным анонсом
проекта
— Выполняем регулярные проверки на вирусы,
взлом в процессе работы
— Проводим аудит после работы
(суб)подрядчиков
— Своими силами или привлекая ИБ
специалистов
28. Печальная статистика
— 4,7% пользователей используют пароль password;
— 8,5% пользователей выбирают один из двух вариантов: password или 123456;
— 9,8% пользователей выбирают: password, 123456 или 12345678;
— 14% пользователей выбирают один из 10 самых популярных паролей;
— 40% пользователей выбирают один из 100 самых популярных паролей;
— 79% пользователей выбирают один из 500 самых популярных паролей;
— 91% пользователей выбирает один из 1000 самых популярных паролей.
30. Правила работы с паролями
— Длинный (>8 знаков)
— Сложный (цифры, буквы, спецсимволы)
— Храниться в менеджере паролей или надежном
хранилище (не в FTP клиенте, не в браузере)
— Передаваться безопасно
— Регулярно меняться
32. Безопасность и комфорт
— Безопасность - это ограничения и запреты
— Безопасность - это неудобно
— Задача - найти соотношение между
безопасностью и удобством работы
— Решение: Автоматизация рутины,
мониторинг, готовые предписания и
безопасность как аутсорс
33. Резюме
— Кто управляет безопасностью сайтов?
— Внедрение организационных мер
— Памятка / инструктаж сотрудников и
подрядчиков
— Учетные записи, бэкапы, аудит и мониторинг