SlideShare a Scribd company logo

Как обеспечить безопасность клиентских сайтов

R
revisium

Какие организационные меры защиты сайтов гарантируют отсутствие взлома и заражения вирусами, компрометацию доступов, раскрытие конфиденциальных данных. Как управлять доступами, как организовать работу сотрудников и подрядчиков с клиентскими сайтами внутри компании, о чем нужно помнить фрилансерам при работе с сайтами заказчиков.

Small Business & Entrepreneurship
1 of 34
Download to read offline
Как обеспечить безопасность клиентских сайтов 
 в процессе оказания услуг // SEO Conference 2016
 
 Григорий Земсков, компания «Ревизиум»
Безопасность сайта требует внимания
Не до безопасности — Агентство, студия, SEO-специалисты • постоянно работает с сайтом • профессионально (или не очень :) решает задачи • не задумывается о безопасности (не до нее / нет компетенций) — Владелец сайта • постоянно или не очень работает с сайтом • решает бизнес-задачи, нет технической экспертизы • не задумывается о безопасности (не до нее)
Проблема неуправляемых доступов • email • IM: skype, whatsapp, viber, соц.сети, sms • своя CRM или сервис • чаты на сайтах, фриланс-сайтах • хостинг клиента
Как «утекают» пароли
Правильные вопросы про безопасность — Кто отвечает за безопасность сайта? — Кто и как управляет доступами? — Как обеспечить безопасную передачу и хранение доступов? — Что такое «гигиена безопасности»? — Чем грозит взлом и заражение сайта? — Как снизить риски? …
Возможные проблемы клиента
Примеры взломанных сайтов
«Японский дорвей»
Дефейс
Хулиганство
Шантаж
Вирусы
Как чаще всего взламывают — Перехватывают (крадут) пароли от FTP, «админки» — Подбирают пароли от FTP , «админки» — Взламывают через инструменты специалистов на сайте (adminer, phpmyadmin, filemanager,…) — Раскрывают доступы в результате «социальной инженерии» — Взламывают из-за ошибок в настройке сайта и сервера — Компрометируют из-за «нелицензионных» плагинов и шаблонов
 
 или — Атакуют через уязвимости в ПО (около 80% взломов)
Повторный взлом сайтов — Не поменяли пароли — Восстановили сайт из резервной копии — Перенесли на prod-сервер зараженную версию с dev-сервера — Отключили защиту
 
 или — Одна из причин, по которой взломали в первый раз
Причины проблем
Комплексная безопасность сайта = Технические средства + Организационные меры
Организационные меры — Делаем безопасным рабочее место — Защищаем сетевое подключение (канал данных) — Управляем доступами к домену, сайту и хостингу — Выбираем надежных подрядчиков, работа по договору — Разрабатываем памятку безопасности и контролируем исполнение предписаний — Инструктируем сотрудников и подрядчиков — Выполняем регулярный аудит безопасности
Рабочее место — Выбираем операционную систему — Регулярно обновляем компоненты ОС (браузер, плагины браузера, софт для работы с сайтом) — Устанавливаем антивирусное ПО — Регулярно выполняем полную проверку антивирусом — Используем менеджеры паролей — Отдельный рабочий компьютер или терминал — Устанавливаем мониторинговые (например, антифишинговые) расширения
Сетевое подключение — Выбираем безопасное подключение 
 (роутер, 3G/LTE)
 
 
 
 
 
 
 — Используем VPN для открытых [WIFI] сетей
Кто управляет доступами? — Если разовое обращение - 
 клиент — Если разработка/сопровождение - агентство или веб-студия (менеджер)
Управление доступами — Выдаем сотрудникам и (суб)подрядчикам доступы с минимальными полномочиями на минимально-необходимый срок — Меняем / деактивируем доступы сразу после завершения работы — Регулярно меняем пароли от панели хостинга, FTP, SSH, админ-панели сайта, базы данных — Устанавливаем сложные и разные пароли — Включаем логгирование операций в панелях и логи сервисов — Включаем двухфакторную аутентификацию, где возможно — Используем SSH ключи для подключения вместо стандартной парольной аутентификации — Не используем FTP (используем SFTP, крайний случай FTPS)
Инструктаж — «Инструкция по безопасности» сайта:
 
 
 
 
 
 
 
 
 
 — Знакомим (суб)подрядчиков с предписаниями и памяткой по безопасной работе с сайтом — Проверяем выполнение предписаний • Используемое ПО при работе с сайтами • Варианты сетевых подключений к серверу • Работа с доступами (прием, передача, хранение, смена) • Работа с продуктовой и тестовой версиями сайта • Работа со средствами защиты и безопасными настройками сайта • Тестирование и сдача проекта • Реагирование на инциденты (что делать, в каком порядке, к кому обращаться)
Резервное копирование — Вырабатываем стратегию резервного копирования: 
 
 
 
 
 
 
 — Выбираем место для хранения (не на сервере) — Проверяем резервные копии • период • интервал • количество копий • автоматизация
Аудит безопасности — Проводим аудит перед публичным анонсом проекта — Выполняем регулярные проверки на вирусы, взлом в процессе работы — Проводим аудит после работы (суб)подрядчиков — Своими силами или привлекая ИБ специалистов
Диагностика — Сканирование файлов: https://revisium.com/ai/ 
 
 
 — Сканирование страниц сайта: https://rescan.pro 
 — Проверка базы данных — Сканер «AI-BOLIT» — Сервис ReScan.Pro
Лирическое отступление 
 про пароли
Печальная статистика — 4,7% пользователей используют пароль password; — 8,5% пользователей выбирают один из двух вариантов: password или 123456; — 9,8% пользователей выбирают: password, 123456 или 12345678; — 14% пользователей выбирают один из 10 самых популярных паролей; — 40% пользователей выбирают один из 100 самых популярных паролей; — 79% пользователей выбирают один из 500 самых популярных паролей; — 91% пользователей выбирает один из 1000 самых популярных паролей.
«Словарные» пароли
Правила работы с паролями — Длинный (>8 знаков) — Сложный (цифры, буквы, спецсимволы) — Храниться в менеджере паролей или надежном хранилище (не в FTP клиенте, не в браузере) — Передаваться безопасно — Регулярно меняться
Неудобная безопасность
Безопасность и комфорт — Безопасность - это ограничения и запреты — Безопасность - это неудобно — Задача - найти соотношение между безопасностью и удобством работы — Решение: Автоматизация рутины, мониторинг, готовые предписания и безопасность как аутсорс
Резюме — Кто управляет безопасностью сайтов? — Внедрение организационных мер — Памятка / инструктаж сотрудников и подрядчиков — Учетные записи, бэкапы, аудит и мониторинг
Спасибо! Вопросы? Григорий Земсков Компания «Ревизиум» http://revisium.com http://facebook.com/Revisium http://twitter.com/revisium Telegram - @sitesecurity

Recommended

Безопасность Joomla: теория и практика
Безопасность Joomla: теория и практикаБезопасность Joomla: теория и практика
Безопасность Joomla: теория и практика
revisium
 
Разумная безопасность сайта
Разумная безопасность сайтаРазумная безопасность сайта
Разумная безопасность сайта
revisium
 
"На Стачку" - Взлом сайта: 5 стадий принятия неизбежного
"На Стачку" - Взлом сайта: 5 стадий принятия неизбежного"На Стачку" - Взлом сайта: 5 стадий принятия неизбежного
"На Стачку" - Взлом сайта: 5 стадий принятия неизбежного
revisium
 
Выступление Ревизиум на ХостОбзор 2017
Выступление Ревизиум на ХостОбзор 2017Выступление Ревизиум на ХостОбзор 2017
Выступление Ревизиум на ХостОбзор 2017
revisium
 
Почему взламывают даже защищенные CMS на безопасном хостинге
Почему взламывают даже защищенные CMS на безопасном хостингеПочему взламывают даже защищенные CMS на безопасном хостинге
Почему взламывают даже защищенные CMS на безопасном хостинге
revisium
 
Земсков - Как обеспечить безопасность клиентских сайтов в процессе оказания у...
Земсков - Как обеспечить безопасность клиентских сайтов в процессе оказания у...Земсков - Как обеспечить безопасность клиентских сайтов в процессе оказания у...
Земсков - Как обеспечить безопасность клиентских сайтов в процессе оказания у...
SEO Conference
 
Почему хакеры выбирают WordPress. WordCamp 2017, Moscow.
Почему хакеры выбирают WordPress. WordCamp 2017, Moscow.Почему хакеры выбирают WordPress. WordCamp 2017, Moscow.
Почему хакеры выбирают WordPress. WordCamp 2017, Moscow.
revisium
 
Безопасность Joomla: мифы и реальность
Безопасность Joomla: мифы и реальностьБезопасность Joomla: мифы и реальность
Безопасность Joomla: мифы и реальность
revisium
 

Recommended

Безопасность Joomla: теория и практика
Безопасность Joomla: теория и практикаБезопасность Joomla: теория и практика
Безопасность Joomla: теория и практика
revisium
 
Разумная безопасность сайта
Разумная безопасность сайтаРазумная безопасность сайта
Разумная безопасность сайта
revisium
 
"На Стачку" - Взлом сайта: 5 стадий принятия неизбежного
"На Стачку" - Взлом сайта: 5 стадий принятия неизбежного"На Стачку" - Взлом сайта: 5 стадий принятия неизбежного
"На Стачку" - Взлом сайта: 5 стадий принятия неизбежного
revisium
 
Выступление Ревизиум на ХостОбзор 2017
Выступление Ревизиум на ХостОбзор 2017Выступление Ревизиум на ХостОбзор 2017
Выступление Ревизиум на ХостОбзор 2017
revisium
 
Почему взламывают даже защищенные CMS на безопасном хостинге
Почему взламывают даже защищенные CMS на безопасном хостингеПочему взламывают даже защищенные CMS на безопасном хостинге
Почему взламывают даже защищенные CMS на безопасном хостинге
revisium
 
Земсков - Как обеспечить безопасность клиентских сайтов в процессе оказания у...
Земсков - Как обеспечить безопасность клиентских сайтов в процессе оказания у...Земсков - Как обеспечить безопасность клиентских сайтов в процессе оказания у...
Земсков - Как обеспечить безопасность клиентских сайтов в процессе оказания у...
SEO Conference
 
Почему хакеры выбирают WordPress. WordCamp 2017, Moscow.
Почему хакеры выбирают WordPress. WordCamp 2017, Moscow.Почему хакеры выбирают WordPress. WordCamp 2017, Moscow.
Почему хакеры выбирают WordPress. WordCamp 2017, Moscow.
revisium
 
Безопасность Joomla: мифы и реальность
Безопасность Joomla: мифы и реальностьБезопасность Joomla: мифы и реальность
Безопасность Joomla: мифы и реальность
revisium
 
Взломать Нельзя Защитить: как взламывают сайты и как их эффективно защищать
Взломать Нельзя Защитить: как взламывают сайты и как их эффективно защищатьВзломать Нельзя Защитить: как взламывают сайты и как их эффективно защищать
Взломать Нельзя Защитить: как взламывают сайты и как их эффективно защищать
revisium
 
Mythbusters - Web Application Security
Mythbusters - Web Application SecurityMythbusters - Web Application Security
Mythbusters - Web Application Security
Mikhail Shcherbakov
 
Application security? Firewall it!
Application security? Firewall it!Application security? Firewall it!
Application security? Firewall it!
Positive Hack Days
 
Яндекс.Вебмастерская №3: как найти вирусы и вредоносный код на сайте
Яндекс.Вебмастерская №3: как найти вирусы и вредоносный код на сайтеЯндекс.Вебмастерская №3: как найти вирусы и вредоносный код на сайте
Яндекс.Вебмастерская №3: как найти вирусы и вредоносный код на сайте
revisium
 
Безопасность WordPress
Безопасность WordPress Безопасность WordPress
Безопасность WordPress
Dmitry Kondryuk
 
Как обезопасить PBN от взлома? Практические рекомендации
Как обезопасить PBN от взлома? Практические рекомендацииКак обезопасить PBN от взлома? Практические рекомендации
Как обезопасить PBN от взлома? Практические рекомендации
NaZapad
 
Современный агрессивный интернет
Современный агрессивный интернетСовременный агрессивный интернет
Современный агрессивный интернет
revisium
 
Угрозы безопасности, которые будут мешать вам спокойно зарабатывать с сайта -...
Угрозы безопасности, которые будут мешать вам спокойно зарабатывать с сайта -...Угрозы безопасности, которые будут мешать вам спокойно зарабатывать с сайта -...
Угрозы безопасности, которые будут мешать вам спокойно зарабатывать с сайта -...
Joomla Secrets
 
Безопасный сайт
Безопасный сайтБезопасный сайт
Безопасный сайт
Andreas Schwarzkopf
 
Waf.js: как защищать веб-приложения с использованием JavaScript
Waf.js: как защищать веб-приложения с использованием JavaScriptWaf.js: как защищать веб-приложения с использованием JavaScript
Waf.js: как защищать веб-приложения с использованием JavaScript
Positive Hack Days
 
Зоопарк python веб-фреймворков
Зоопарк python веб-фреймворковЗоопарк python веб-фреймворков
Зоопарк python веб-фреймворков
PyNSK
 
Лечение мобильных, поисковых редиректов и дорвеев на сайте
Лечение мобильных, поисковых редиректов и дорвеев на сайте Лечение мобильных, поисковых редиректов и дорвеев на сайте
Лечение мобильных, поисковых редиректов и дорвеев на сайте
revisium
 
4.3. Rat races conditions
4.3. Rat races conditions4.3. Rat races conditions
4.3. Rat races conditions
defconmoscow
 
Основные угрозы безопасности для интернет-бизнеса в 2014 году
Основные угрозы безопасности для интернет-бизнеса в 2014 годуОсновные угрозы безопасности для интернет-бизнеса в 2014 году
Основные угрозы безопасности для интернет-бизнеса в 2014 году
SiteSecure
 
Методы выполнения требования 6.6 PCI DSS – практический выбор
Методы выполнения требования 6.6 PCI DSS – практический выборМетоды выполнения требования 6.6 PCI DSS – практический выбор
Методы выполнения требования 6.6 PCI DSS – практический выбор
Denis Bezkorovayny
 
Истории из жизни. Как взламывают сети крупных организаций.
Истории из жизни. Как взламывают сети крупных организаций.Истории из жизни. Как взламывают сети крупных организаций.
Истории из жизни. Как взламывают сети крупных организаций.Dmitry Evteev
 
Под капотом Vulners
Под капотом VulnersПод капотом Vulners
Под капотом Vulners
Kirill Ermakov
 
Безопасность сессий в веб-приложениях: практическое применение
Безопасность сессий в веб-приложениях: практическое применениеБезопасность сессий в веб-приложениях: практическое применение
Безопасность сессий в веб-приложениях: практическое применение
SQALab
 
Безопасность веб-приложений: starter edition
Безопасность веб-приложений: starter editionБезопасность веб-приложений: starter edition
Безопасность веб-приложений: starter edition
Andrew Petukhov
 
История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...
Dmitry Evteev
 
ошибки Word press
ошибки Word pressошибки Word press
ошибки Word pressDyadya Lesha
 
создание многоязычных сайтов на WordPress multisite 20150815
создание многоязычных сайтов на WordPress multisite 20150815создание многоязычных сайтов на WordPress multisite 20150815
создание многоязычных сайтов на WordPress multisite 20150815
Doug Lawrence
 

More Related Content

What's hot

Взломать Нельзя Защитить: как взламывают сайты и как их эффективно защищать
Взломать Нельзя Защитить: как взламывают сайты и как их эффективно защищатьВзломать Нельзя Защитить: как взламывают сайты и как их эффективно защищать
Взломать Нельзя Защитить: как взламывают сайты и как их эффективно защищать
revisium
 
Mythbusters - Web Application Security
Mythbusters - Web Application SecurityMythbusters - Web Application Security
Mythbusters - Web Application Security
Mikhail Shcherbakov
 
Application security? Firewall it!
Application security? Firewall it!Application security? Firewall it!
Application security? Firewall it!
Positive Hack Days
 
Яндекс.Вебмастерская №3: как найти вирусы и вредоносный код на сайте
Яндекс.Вебмастерская №3: как найти вирусы и вредоносный код на сайтеЯндекс.Вебмастерская №3: как найти вирусы и вредоносный код на сайте
Яндекс.Вебмастерская №3: как найти вирусы и вредоносный код на сайте
revisium
 
Безопасность WordPress
Безопасность WordPress Безопасность WordPress
Безопасность WordPress
Dmitry Kondryuk
 
Как обезопасить PBN от взлома? Практические рекомендации
Как обезопасить PBN от взлома? Практические рекомендацииКак обезопасить PBN от взлома? Практические рекомендации
Как обезопасить PBN от взлома? Практические рекомендации
NaZapad
 
Современный агрессивный интернет
Современный агрессивный интернетСовременный агрессивный интернет
Современный агрессивный интернет
revisium
 
Угрозы безопасности, которые будут мешать вам спокойно зарабатывать с сайта -...
Угрозы безопасности, которые будут мешать вам спокойно зарабатывать с сайта -...Угрозы безопасности, которые будут мешать вам спокойно зарабатывать с сайта -...
Угрозы безопасности, которые будут мешать вам спокойно зарабатывать с сайта -...
Joomla Secrets
 
Безопасный сайт
Безопасный сайтБезопасный сайт
Безопасный сайт
Andreas Schwarzkopf
 
Waf.js: как защищать веб-приложения с использованием JavaScript
Waf.js: как защищать веб-приложения с использованием JavaScriptWaf.js: как защищать веб-приложения с использованием JavaScript
Waf.js: как защищать веб-приложения с использованием JavaScript
Positive Hack Days
 
Зоопарк python веб-фреймворков
Зоопарк python веб-фреймворковЗоопарк python веб-фреймворков
Зоопарк python веб-фреймворков
PyNSK
 
Лечение мобильных, поисковых редиректов и дорвеев на сайте
Лечение мобильных, поисковых редиректов и дорвеев на сайте Лечение мобильных, поисковых редиректов и дорвеев на сайте
Лечение мобильных, поисковых редиректов и дорвеев на сайте
revisium
 
4.3. Rat races conditions
4.3. Rat races conditions4.3. Rat races conditions
4.3. Rat races conditions
defconmoscow
 
Основные угрозы безопасности для интернет-бизнеса в 2014 году
Основные угрозы безопасности для интернет-бизнеса в 2014 годуОсновные угрозы безопасности для интернет-бизнеса в 2014 году
Основные угрозы безопасности для интернет-бизнеса в 2014 году
SiteSecure
 
Методы выполнения требования 6.6 PCI DSS – практический выбор
Методы выполнения требования 6.6 PCI DSS – практический выборМетоды выполнения требования 6.6 PCI DSS – практический выбор
Методы выполнения требования 6.6 PCI DSS – практический выбор
Denis Bezkorovayny
 
Истории из жизни. Как взламывают сети крупных организаций.
Истории из жизни. Как взламывают сети крупных организаций.Истории из жизни. Как взламывают сети крупных организаций.
Истории из жизни. Как взламывают сети крупных организаций.Dmitry Evteev
 
Под капотом Vulners
Под капотом VulnersПод капотом Vulners
Под капотом Vulners
Kirill Ermakov
 
Безопасность сессий в веб-приложениях: практическое применение
Безопасность сессий в веб-приложениях: практическое применениеБезопасность сессий в веб-приложениях: практическое применение
Безопасность сессий в веб-приложениях: практическое применение
SQALab
 
Безопасность веб-приложений: starter edition
Безопасность веб-приложений: starter editionБезопасность веб-приложений: starter edition
Безопасность веб-приложений: starter edition
Andrew Petukhov
 
История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...
Dmitry Evteev
 

What's hot (20)

Взломать Нельзя Защитить: как взламывают сайты и как их эффективно защищать
Взломать Нельзя Защитить: как взламывают сайты и как их эффективно защищатьВзломать Нельзя Защитить: как взламывают сайты и как их эффективно защищать
Взломать Нельзя Защитить: как взламывают сайты и как их эффективно защищать
 
Mythbusters - Web Application Security
Mythbusters - Web Application SecurityMythbusters - Web Application Security
Mythbusters - Web Application Security
 
Application security? Firewall it!
Application security? Firewall it!Application security? Firewall it!
Application security? Firewall it!
 
Яндекс.Вебмастерская №3: как найти вирусы и вредоносный код на сайте
Яндекс.Вебмастерская №3: как найти вирусы и вредоносный код на сайтеЯндекс.Вебмастерская №3: как найти вирусы и вредоносный код на сайте
Яндекс.Вебмастерская №3: как найти вирусы и вредоносный код на сайте
 
Безопасность WordPress
Безопасность WordPress Безопасность WordPress
Безопасность WordPress
 
Как обезопасить PBN от взлома? Практические рекомендации
Как обезопасить PBN от взлома? Практические рекомендацииКак обезопасить PBN от взлома? Практические рекомендации
Как обезопасить PBN от взлома? Практические рекомендации
 
Современный агрессивный интернет
Современный агрессивный интернетСовременный агрессивный интернет
Современный агрессивный интернет
 
Угрозы безопасности, которые будут мешать вам спокойно зарабатывать с сайта -...
Угрозы безопасности, которые будут мешать вам спокойно зарабатывать с сайта -...Угрозы безопасности, которые будут мешать вам спокойно зарабатывать с сайта -...
Угрозы безопасности, которые будут мешать вам спокойно зарабатывать с сайта -...
 
Безопасный сайт
Безопасный сайтБезопасный сайт
Безопасный сайт
 
Waf.js: как защищать веб-приложения с использованием JavaScript
Waf.js: как защищать веб-приложения с использованием JavaScriptWaf.js: как защищать веб-приложения с использованием JavaScript
Waf.js: как защищать веб-приложения с использованием JavaScript
 
Зоопарк python веб-фреймворков
Зоопарк python веб-фреймворковЗоопарк python веб-фреймворков
Зоопарк python веб-фреймворков
 
Лечение мобильных, поисковых редиректов и дорвеев на сайте
Лечение мобильных, поисковых редиректов и дорвеев на сайте Лечение мобильных, поисковых редиректов и дорвеев на сайте
Лечение мобильных, поисковых редиректов и дорвеев на сайте
 
4.3. Rat races conditions
4.3. Rat races conditions4.3. Rat races conditions
4.3. Rat races conditions
 
Основные угрозы безопасности для интернет-бизнеса в 2014 году
Основные угрозы безопасности для интернет-бизнеса в 2014 годуОсновные угрозы безопасности для интернет-бизнеса в 2014 году
Основные угрозы безопасности для интернет-бизнеса в 2014 году
 
Методы выполнения требования 6.6 PCI DSS – практический выбор
Методы выполнения требования 6.6 PCI DSS – практический выборМетоды выполнения требования 6.6 PCI DSS – практический выбор
Методы выполнения требования 6.6 PCI DSS – практический выбор
 
Истории из жизни. Как взламывают сети крупных организаций.
Истории из жизни. Как взламывают сети крупных организаций.Истории из жизни. Как взламывают сети крупных организаций.
Истории из жизни. Как взламывают сети крупных организаций.
 
Под капотом Vulners
Под капотом VulnersПод капотом Vulners
Под капотом Vulners
 
Безопасность сессий в веб-приложениях: практическое применение
Безопасность сессий в веб-приложениях: практическое применениеБезопасность сессий в веб-приложениях: практическое применение
Безопасность сессий в веб-приложениях: практическое применение
 
Безопасность веб-приложений: starter edition
Безопасность веб-приложений: starter editionБезопасность веб-приложений: starter edition
Безопасность веб-приложений: starter edition
 
История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...
 

Viewers also liked

ошибки Word press
ошибки Word pressошибки Word press
ошибки Word pressDyadya Lesha
 
создание многоязычных сайтов на WordPress multisite 20150815
создание многоязычных сайтов на WordPress multisite 20150815создание многоязычных сайтов на WordPress multisite 20150815
создание многоязычных сайтов на WordPress multisite 20150815
Doug Lawrence
 
Лендинги на WordPress — доклад на WordCamp Russia 2015
Лендинги на WordPress — доклад на WordCamp Russia 2015Лендинги на WordPress — доклад на WordCamp Russia 2015
Лендинги на WordPress — доклад на WordCamp Russia 2015
Nikolay Mironov
 
Как не сойти с ума при разработке крупных проектов на WordPress
Как не сойти с ума при разработке крупных проектов на WordPressКак не сойти с ума при разработке крупных проектов на WordPress
Как не сойти с ума при разработке крупных проектов на WordPress
Yevhen Kotelnytskyi
 
P2
P2P2
P2
Konstantin Kovshenin
 
WordCamp Moscow 2016: Как получить качество
WordCamp Moscow 2016: Как получить качествоWordCamp Moscow 2016: Как получить качество
WordCamp Moscow 2016: Как получить качество
Yevhen Kotelnytskyi
 
Premium-темы WordPress (Wordcamp Russia 2015)
Premium-темы WordPress (Wordcamp Russia 2015)Premium-темы WordPress (Wordcamp Russia 2015)
Premium-темы WordPress (Wordcamp Russia 2015)
versusbassz
 
Memory Management in WordPress
Memory Management in WordPressMemory Management in WordPress
Memory Management in WordPress
Konstantin Kovshenin
 
Как получить чёрный пояс по WordPress?
Как получить чёрный пояс по WordPress?Как получить чёрный пояс по WordPress?
Как получить чёрный пояс по WordPress?
Yevhen Kotelnytskyi
 
7 убийц производительности WordPress
7 убийц производительности WordPress7 убийц производительности WordPress
7 убийц производительности WordPress
Konstantin Kovshenin
 
Основы мотивации труда
Основы мотивации трудаОсновы мотивации труда
Основы мотивации труда
Vitaliy Eliseev
 
SEO - поведенческие факторы.
SEO - поведенческие факторы.SEO - поведенческие факторы.
SEO - поведенческие факторы.
Pavel Karpov
 
Вёрстка по методологии БЭМ
Вёрстка по методологии БЭМВёрстка по методологии БЭМ
Вёрстка по методологии БЭМ
versusbassz
 
следите за-языком-20150709
следите за-языком-20150709следите за-языком-20150709
следите за-языком-20150709
Doug Lawrence
 
Premium-темы WordPress
Premium-темы WordPressPremium-темы WordPress
Premium-темы WordPress
versusbassz
 
Защищаем WordPress-сайт от хакерских атак
Защищаем WordPress-сайт от хакерских атакЗащищаем WordPress-сайт от хакерских атак
Защищаем WordPress-сайт от хакерских атак
Ruslan Sukhar
 
WordPress Multisite | WordPress Meetup Saint Petersburg, Russia 13 January 2017
WordPress Multisite | WordPress Meetup Saint Petersburg, Russia 13 January 2017WordPress Multisite | WordPress Meetup Saint Petersburg, Russia 13 January 2017
WordPress Multisite | WordPress Meetup Saint Petersburg, Russia 13 January 2017
Doug Lawrence
 

Viewers also liked (19)

ошибки Word press
ошибки Word pressошибки Word press
ошибки Word press
 
создание многоязычных сайтов на WordPress multisite 20150815
создание многоязычных сайтов на WordPress multisite 20150815создание многоязычных сайтов на WordPress multisite 20150815
создание многоязычных сайтов на WordPress multisite 20150815
 
Лендинги на WordPress — доклад на WordCamp Russia 2015
Лендинги на WordPress — доклад на WordCamp Russia 2015Лендинги на WordPress — доклад на WordCamp Russia 2015
Лендинги на WordPress — доклад на WordCamp Russia 2015
 
Как не сойти с ума при разработке крупных проектов на WordPress
Как не сойти с ума при разработке крупных проектов на WordPressКак не сойти с ума при разработке крупных проектов на WordPress
Как не сойти с ума при разработке крупных проектов на WordPress
 
P2
P2P2
P2
 
WordCamp Moscow 2016: Как получить качество
WordCamp Moscow 2016: Как получить качествоWordCamp Moscow 2016: Как получить качество
WordCamp Moscow 2016: Как получить качество
 
Секреты WP_Query
Секреты WP_QueryСекреты WP_Query
Секреты WP_Query
 
Premium-темы WordPress (Wordcamp Russia 2015)
Premium-темы WordPress (Wordcamp Russia 2015)Premium-темы WordPress (Wordcamp Russia 2015)
Premium-темы WordPress (Wordcamp Russia 2015)
 
Wordpress theme
Wordpress themeWordpress theme
Wordpress theme
 
Memory Management in WordPress
Memory Management in WordPressMemory Management in WordPress
Memory Management in WordPress
 
Как получить чёрный пояс по WordPress?
Как получить чёрный пояс по WordPress?Как получить чёрный пояс по WordPress?
Как получить чёрный пояс по WordPress?
 
7 убийц производительности WordPress
7 убийц производительности WordPress7 убийц производительности WordPress
7 убийц производительности WordPress
 
Основы мотивации труда
Основы мотивации трудаОсновы мотивации труда
Основы мотивации труда
 
SEO - поведенческие факторы.
SEO - поведенческие факторы.SEO - поведенческие факторы.
SEO - поведенческие факторы.
 
Вёрстка по методологии БЭМ
Вёрстка по методологии БЭМВёрстка по методологии БЭМ
Вёрстка по методологии БЭМ
 
следите за-языком-20150709
следите за-языком-20150709следите за-языком-20150709
следите за-языком-20150709
 
Premium-темы WordPress
Premium-темы WordPressPremium-темы WordPress
Premium-темы WordPress
 
Защищаем WordPress-сайт от хакерских атак
Защищаем WordPress-сайт от хакерских атакЗащищаем WordPress-сайт от хакерских атак
Защищаем WordPress-сайт от хакерских атак
 
WordPress Multisite | WordPress Meetup Saint Petersburg, Russia 13 January 2017
WordPress Multisite | WordPress Meetup Saint Petersburg, Russia 13 January 2017WordPress Multisite | WordPress Meetup Saint Petersburg, Russia 13 January 2017
WordPress Multisite | WordPress Meetup Saint Petersburg, Russia 13 January 2017
 

Similar to Как обеспечить безопасность клиентских сайтов

Защита сайта от взлома и вирусов
Защита сайта от взлома и вирусовЗащита сайта от взлома и вирусов
Защита сайта от взлома и вирусов
SkillFactory
 
ProtoSecurity - сервисы для безопасности и отказоустойчивости веб-приложений
ProtoSecurity - сервисы для безопасности и отказоустойчивости веб-приложенийProtoSecurity - сервисы для безопасности и отказоустойчивости веб-приложений
ProtoSecurity - сервисы для безопасности и отказоустойчивости веб-приложений
Denis Bezkorovayny
 
Безопасность
БезопасностьБезопасность
Безопасность
1С-Битрикс
 
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...it-people
 
Разумная безопасность сайта
Разумная безопасность сайтаРазумная безопасность сайта
Разумная безопасность сайта
1С-Битрикс
 
безопасность
безопасностьбезопасность
безопасностьShoplist
 
Практические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPПрактические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLP
DialogueScience
 
Архитектура защищенного периметра
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметра
Cisco Russia
 
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...
Ontico
 
Практические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPПрактические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLP
DialogueScience
 
безопасность веб проектов сергей рыжиков
безопасность веб проектов сергей рыжиковбезопасность веб проектов сергей рыжиков
безопасность веб проектов сергей рыжиковMedia Gorod
 
Penetration testing (AS IS)
Penetration testing (AS IS)Penetration testing (AS IS)
Penetration testing (AS IS)Dmitry Evteev
 
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеровКак защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
Yandex
 
11 лекция, петр волков
11 лекция, петр волков11 лекция, петр волков
11 лекция, петр волков
karina krew
 
SIEM use cases - как их написать
SIEM use cases - как их написатьSIEM use cases - как их написать
SIEM use cases - как их написать
Olesya Shelestova
 
Обзор современных технологий и продуктов для защиты от инсайдеров_2014.09.16
Обзор современных технологий и продуктов для защиты от инсайдеров_2014.09.16Обзор современных технологий и продуктов для защиты от инсайдеров_2014.09.16
Обзор современных технологий и продуктов для защиты от инсайдеров_2014.09.16
DialogueScience
 
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...ebuc
 
Что такое пентест
Что такое пентестЧто такое пентест
Что такое пентестDmitry Evteev
 
Безопасная разработка (СТАЧКА 2015)
Безопасная разработка (СТАЧКА 2015)Безопасная разработка (СТАЧКА 2015)
Безопасная разработка (СТАЧКА 2015)
Alexey Kachalin
 

Similar to Как обеспечить безопасность клиентских сайтов (20)

Защита сайта от взлома и вирусов
Защита сайта от взлома и вирусовЗащита сайта от взлома и вирусов
Защита сайта от взлома и вирусов
 
ProtoSecurity - сервисы для безопасности и отказоустойчивости веб-приложений
ProtoSecurity - сервисы для безопасности и отказоустойчивости веб-приложенийProtoSecurity - сервисы для безопасности и отказоустойчивости веб-приложений
ProtoSecurity - сервисы для безопасности и отказоустойчивости веб-приложений
 
Безопасность
БезопасностьБезопасность
Безопасность
 
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
 
Разумная безопасность сайта
Разумная безопасность сайтаРазумная безопасность сайта
Разумная безопасность сайта
 
безопасность
безопасностьбезопасность
безопасность
 
Безопасность CMS
Безопасность CMSБезопасность CMS
Безопасность CMS
 
Практические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPПрактические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLP
 
Архитектура защищенного периметра
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметра
 
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...
 
Практические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPПрактические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLP
 
безопасность веб проектов сергей рыжиков
безопасность веб проектов сергей рыжиковбезопасность веб проектов сергей рыжиков
безопасность веб проектов сергей рыжиков
 
Penetration testing (AS IS)
Penetration testing (AS IS)Penetration testing (AS IS)
Penetration testing (AS IS)
 
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеровКак защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
 
11 лекция, петр волков
11 лекция, петр волков11 лекция, петр волков
11 лекция, петр волков
 
SIEM use cases - как их написать
SIEM use cases - как их написатьSIEM use cases - как их написать
SIEM use cases - как их написать
 
Обзор современных технологий и продуктов для защиты от инсайдеров_2014.09.16
Обзор современных технологий и продуктов для защиты от инсайдеров_2014.09.16Обзор современных технологий и продуктов для защиты от инсайдеров_2014.09.16
Обзор современных технологий и продуктов для защиты от инсайдеров_2014.09.16
 
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...
 
Что такое пентест
Что такое пентестЧто такое пентест
Что такое пентест
 
Безопасная разработка (СТАЧКА 2015)
Безопасная разработка (СТАЧКА 2015)Безопасная разработка (СТАЧКА 2015)
Безопасная разработка (СТАЧКА 2015)
 

Как обеспечить безопасность клиентских сайтов

  • 1. Как обеспечить безопасность клиентских сайтов 
 в процессе оказания услуг // SEO Conference 2016
 
 Григорий Земсков, компания «Ревизиум»
  • 3. Не до безопасности — Агентство, студия, SEO-специалисты • постоянно работает с сайтом • профессионально (или не очень :) решает задачи • не задумывается о безопасности (не до нее / нет компетенций) — Владелец сайта • постоянно или не очень работает с сайтом • решает бизнес-задачи, нет технической экспертизы • не задумывается о безопасности (не до нее)
  • 4. Проблема неуправляемых доступов • email • IM: skype, whatsapp, viber, соц.сети, sms • своя CRM или сервис • чаты на сайтах, фриланс-сайтах • хостинг клиента
  • 6. Правильные вопросы про безопасность — Кто отвечает за безопасность сайта? — Кто и как управляет доступами? — Как обеспечить безопасную передачу и хранение доступов? — Что такое «гигиена безопасности»? — Чем грозит взлом и заражение сайта? — Как снизить риски? …
  • 14. Как чаще всего взламывают — Перехватывают (крадут) пароли от FTP, «админки» — Подбирают пароли от FTP , «админки» — Взламывают через инструменты специалистов на сайте (adminer, phpmyadmin, filemanager,…) — Раскрывают доступы в результате «социальной инженерии» — Взламывают из-за ошибок в настройке сайта и сервера — Компрометируют из-за «нелицензионных» плагинов и шаблонов
 
 или — Атакуют через уязвимости в ПО (около 80% взломов)
  • 15. Повторный взлом сайтов — Не поменяли пароли — Восстановили сайт из резервной копии — Перенесли на prod-сервер зараженную версию с dev-сервера — Отключили защиту
 
 или — Одна из причин, по которой взломали в первый раз
  • 18. Организационные меры — Делаем безопасным рабочее место — Защищаем сетевое подключение (канал данных) — Управляем доступами к домену, сайту и хостингу — Выбираем надежных подрядчиков, работа по договору — Разрабатываем памятку безопасности и контролируем исполнение предписаний — Инструктируем сотрудников и подрядчиков — Выполняем регулярный аудит безопасности
  • 19. Рабочее место — Выбираем операционную систему — Регулярно обновляем компоненты ОС (браузер, плагины браузера, софт для работы с сайтом) — Устанавливаем антивирусное ПО — Регулярно выполняем полную проверку антивирусом — Используем менеджеры паролей — Отдельный рабочий компьютер или терминал — Устанавливаем мониторинговые (например, антифишинговые) расширения
  • 20. Сетевое подключение — Выбираем безопасное подключение 
 (роутер, 3G/LTE)
 
 
 
 
 
 
 — Используем VPN для открытых [WIFI] сетей
  • 21. Кто управляет доступами? — Если разовое обращение - 
 клиент — Если разработка/сопровождение - агентство или веб-студия (менеджер)
  • 22. Управление доступами — Выдаем сотрудникам и (суб)подрядчикам доступы с минимальными полномочиями на минимально-необходимый срок — Меняем / деактивируем доступы сразу после завершения работы — Регулярно меняем пароли от панели хостинга, FTP, SSH, админ-панели сайта, базы данных — Устанавливаем сложные и разные пароли — Включаем логгирование операций в панелях и логи сервисов — Включаем двухфакторную аутентификацию, где возможно — Используем SSH ключи для подключения вместо стандартной парольной аутентификации — Не используем FTP (используем SFTP, крайний случай FTPS)
  • 23. Инструктаж — «Инструкция по безопасности» сайта:
 
 
 
 
 
 
 
 
 
 — Знакомим (суб)подрядчиков с предписаниями и памяткой по безопасной работе с сайтом — Проверяем выполнение предписаний • Используемое ПО при работе с сайтами • Варианты сетевых подключений к серверу • Работа с доступами (прием, передача, хранение, смена) • Работа с продуктовой и тестовой версиями сайта • Работа со средствами защиты и безопасными настройками сайта • Тестирование и сдача проекта • Реагирование на инциденты (что делать, в каком порядке, к кому обращаться)
  • 24. Резервное копирование — Вырабатываем стратегию резервного копирования: 
 
 
 
 
 
 
 — Выбираем место для хранения (не на сервере) — Проверяем резервные копии • период • интервал • количество копий • автоматизация
  • 25. Аудит безопасности — Проводим аудит перед публичным анонсом проекта — Выполняем регулярные проверки на вирусы, взлом в процессе работы — Проводим аудит после работы (суб)подрядчиков — Своими силами или привлекая ИБ специалистов
  • 26. Диагностика — Сканирование файлов: https://revisium.com/ai/ 
 
 
 — Сканирование страниц сайта: https://rescan.pro 
 — Проверка базы данных — Сканер «AI-BOLIT» — Сервис ReScan.Pro
  • 28. Печальная статистика — 4,7% пользователей используют пароль password; — 8,5% пользователей выбирают один из двух вариантов: password или 123456; — 9,8% пользователей выбирают: password, 123456 или 12345678; — 14% пользователей выбирают один из 10 самых популярных паролей; — 40% пользователей выбирают один из 100 самых популярных паролей; — 79% пользователей выбирают один из 500 самых популярных паролей; — 91% пользователей выбирает один из 1000 самых популярных паролей.
  • 30. Правила работы с паролями — Длинный (>8 знаков) — Сложный (цифры, буквы, спецсимволы) — Храниться в менеджере паролей или надежном хранилище (не в FTP клиенте, не в браузере) — Передаваться безопасно — Регулярно меняться
  • 32. Безопасность и комфорт — Безопасность - это ограничения и запреты — Безопасность - это неудобно — Задача - найти соотношение между безопасностью и удобством работы — Решение: Автоматизация рутины, мониторинг, готовые предписания и безопасность как аутсорс
  • 33. Резюме — Кто управляет безопасностью сайтов? — Внедрение организационных мер — Памятка / инструктаж сотрудников и подрядчиков — Учетные записи, бэкапы, аудит и мониторинг
  • 34. Спасибо! Вопросы? Григорий Земсков Компания «Ревизиум» http://revisium.com http://facebook.com/Revisium http://twitter.com/revisium Telegram - @sitesecurity