Безопасность Интернет-проектов: основные проблемы разработки и пути решений

Содержание

Слайд 2

Сайты сегодня – набор запчастей

Большая часть современных сайтов - набор запчастей.

низкий уровень

Сайты сегодня – набор запчастей Большая часть современных сайтов - набор запчастей.
стандартной разработки
отсутствие единой концепции безопасности
несколько аккаунтов для одного пользователя
не обновляемое ПО, особенно после модификации

Разработчики интернет-приложений зачастую не задумываются о безопасности.

Слайд 3

О безопасности сайта думают в последнюю очередь!

индивидуальные разработчики думают о безопасности сайтов

О безопасности сайта думают в последнюю очередь! индивидуальные разработчики думают о безопасности
в самую последнюю очередь
клиенты не готовы платить за безопасность интернет-проектов
подразумевается, что разработчик должен этим заниматься, но у него не остается ни времени, ни бюджета

Слайд 4

Хостинг часто не защищен

зачастую уровень администрирования серверов и хостинга критически низкий
редко используются

Хостинг часто не защищен зачастую уровень администрирования серверов и хостинга критически низкий
системы автоматического мониторинга

Слайд 5

Цикл разработки

Разработчики работают в компании по 5-8 лет, но все равно допускают

Цикл разработки Разработчики работают в компании по 5-8 лет, но все равно
ошибки в безопасности. Почему?

Перед выпуском модуля идет обязательное тестирование разработчиками на внутренних серверах с разными базами данных, операционными системами и версиями PHP.
Отдел тестирования проверяет на соответствие бизнес-функциональности и наличие ошибок.
Отдел безопасности проверяет на наличие уязвимостей.
Модуль поступает в бета-тестирование клиентам и партнерам.

Слайд 6

Психология хакера и разработчика

Психология хакера и разработчика принципиально отличаются:

Профессиональным веб-разработчик становится только

Психология хакера и разработчика Психология хакера и разработчика принципиально отличаются: Профессиональным веб-разработчик
через 3-5 лет и при активном контроле со стороны специалиста по веб-безопасности.

Как мыслит разработчик…

… и как мыслит хакер

Слайд 7

Категории хакеров

Студенты, ИТ специалисты начального уровня

Профессиональные специалисты

пробуют силы на первых попавшихся сайтах
нет

Категории хакеров Студенты, ИТ специалисты начального уровня Профессиональные специалисты пробуют силы на
понимания последствий для жертвы
нет осознания юридической личной ответственности
редко зарабатывают на хакерстве как на бизнесе

прекрасный технический багаж
никогда не светятся в тусовках, не кривляются
делают только на заказ и только за деньги
активно работают на службы безопасности крупных компаний

Соотношение разработчиков к хакерам 1:100

Слайд 8

Платный аудит безопасности

Индивидуальная проверка проектов специалистами по веб-безопасности
Большой объем работы
Постоянные изменения вносимые

Платный аудит безопасности Индивидуальная проверка проектов специалистами по веб-безопасности Большой объем работы
в интернет-проекты
Нехватка специалистов
Отсутствие сформированной практики аудитов

Аудит профессиональными компаниями - услуга комплексная, сложная и зачастую не подходит для массового рынка.

Слайд 9

Новый подход к концепции веб-безопасности

Проактивная защита – это комплекс технических и организационных

Новый подход к концепции веб-безопасности Проактивная защита – это комплекс технических и
мер, которые объединены общей концепцией безопасности и позволяют значительно расширить понятие защищенности и реакции веб-приложения на угрозы.

Проактивная защита

Панель безопасности
Проактивный фильтр (Web Application FireWall)
Технология одноразовых паролей (OTP)
Защита авторизованных сессий
Контроль активности
Шифрование канала передачи через SSL
Журнал вторжений
Защита административных разделов по IP
Стоп-листы
Контроль целостности
Рекомендации по настройке безопасности
Защита редиректов от фишинга
Монитор обновлений
Внешний контроль информационной среды

Слайд 10

1С-Битрикс: FrameWork

Платформа «1С-Битрикс» - это комплексное решение с единой системой безопасности:

единая политика

1С-Битрикс: FrameWork Платформа «1С-Битрикс» - это комплексное решение с единой системой безопасности:
безопасности;
единая система авторизации;
единый бюджет пользователя для всех модулей;
трехуровневая система разграничения прав доступа;
независимость системы контроля доступа от бизнес-логики страницы;
смена пароля;
запомнить авторизацию;
возможность шифрования информации при передаче;
система обновлений SiteUpdate;
независимое журналирование выполняемых страниц в модуле Статистики;
политика работы с переменными и внешними данными;
методика двойного контроля критически опасных участков кода;
политика работы с пластиковыми картами.

Слайд 11

Панель безопасности

Оценка уровней безопасности веб-проекта

Панель безопасности Оценка уровней безопасности веб-проекта

Слайд 12

Проактивный фильтр Web Application FireWall
XSS - cross site scripting (СSS)
SQL инъекции

Проактивный фильтр Web Application FireWall XSS - cross site scripting (СSS) SQL
PHP Including
часть атак, связанных с обходом каталогов

Экранирует приложение от наиболее активно используемых атак
Фиксирует попытки атаки в журнале
Информирует администратора о случаях вторжения

Проактивный фильтр распознает большинство опасных угроз и блокирует вторжения на сайт.

Слайд 13

Технология одноразовых паролей

Технология одноразовых паролей (One Time Password - OTP) с использованием

Технология одноразовых паролей Технология одноразовых паролей (One Time Password - OTP) с
брелков Aladdin eToken PASS позволяет быть однозначно уверенным, что на сайте авторизуется именно тот человек, которому выдали брелок.

Корректность работы электронных ключей eToken PASS для системы «1С-Битрикс: Управление сайтом 8.0» подтверждается соответствующим сертификатом компании Aladdin, выданным на основании серии испытаний.

Слайд 14

Технология защиты авторизованных сессии

Сессия пользователя – это ключевой объект атаки на веб-сайт

Технология защиты авторизованных сессии Сессия пользователя – это ключевой объект атаки на
с целью получения сессии авторизованного пользователя.
В повышенных режимах безопасности сессия будет полностью меняться раз в несколько минут (в зависимости от настройки).
Механизм хранения сессий в базе данных для исключения ошибок конфигурирования виртуального хостинга, ошибок настройки прав доступа в временным каталогам и ряда других проблем настройки операционной среды.

Слайд 15

Контроль активности

Обеспечивает защиту от DDoS атак на веб-приложения, от автоматизированных роботов, которые

Контроль активности Обеспечивает защиту от DDoS атак на веб-приложения, от автоматизированных роботов,
извлекают контент, спамят и всячески подстраиваются под посетителей.

Слайд 16

Шифрование данных

Полная поддержка работы по SSL
Один из ключевых вариантов обеспечения защищенности проекта

Шифрование данных Полная поддержка работы по SSL Один из ключевых вариантов обеспечения
– шифрование данных и сессионных значений при передаче между пользователем и сайтом.
Зачастую разделяются режимы работы пользователей и администратора.
Новые параметры позволят использовать несколько режимов работы с сайтом для пользователей при установленном SSL сертификате.

Слайд 17

Журнал вторжений

В журнале вторжений ведется запись попыток внедрения SQL,
атак через XSS

Журнал вторжений В журнале вторжений ведется запись попыток внедрения SQL, атак через XSS и внедрения PHP.
и внедрения PHP.

Слайд 18

Защита административных разделов по IP

Защита позволяет строго регламентировать сети, которые считаются безопасными

Защита административных разделов по IP Защита позволяет строго регламентировать сети, которые считаются
и из которых сотрудникам разрешается администрировать сайт.

Слайд 19

Стоп-листы

Стоп-лист ограничивает доступ посетителей к содержимому сайта. Все пользователи, которые попытаются зайти

Стоп-листы Стоп-лист ограничивает доступ посетителей к содержимому сайта. Все пользователи, которые попытаются
на сайт с IP адресами, включенными в стоп-лист, будут блокированы.

Слайд 20

Контроль целостности системы

Контроль целостности системы управления и страниц сайта:

Механизм расчета контрольных сумм

Контроль целостности системы Контроль целостности системы управления и страниц сайта: Механизм расчета
всего проекта
Раздельное вычисление для статических страниц и кода с возможностью видеть, когда менял обычный пользователь и когда менял веб-разработчик
Пароль проверки не хранится на сайте
Файл контрольных сумм можно отдельно сохранить у себя для проверки

В любой момент вы можете проверить целостность ядра, системных областей, публичной части продукта.

Слайд 21

Защита от фишинга

Защита редиректов с сайта от фишинга
Фи́шинг (англ. phishing, от password —

Защита от фишинга Защита редиректов с сайта от фишинга Фи́шинг (англ. phishing,
пароль и fishing — рыбная ловля, выуживание) — вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей — логинам и паролям. Это достигается путём проведения массовых рассылок электронных писем от имени популярных брендов, например, от имени социальных сетей (Facebook, Вконтакте), банков (Ситибанк, Альфа-банк), прочих сервисов (Rambler, Mail.ru). В письме часто содержит прямая ссылка на сайт, внешне не отличимый от настоящего. Оказавшись на таком сайте, пользователь может сообщить мошенникам ценную информацию, позволяющую получить доступ к аккаунтам и банковским счетам.
Фишинг — одна из разновидностей социальной инженерии, основанной на незнании пользователями основ сетевой безопасности: в частности, многие не знают простого факта: сервисы не рассылают писем с просьбами сообщить свои учётные данные, пароль и прочее.
При включенной защите все ссылки с сайта через редиректы защищаются дополнительным параметром индивидуальным для сайта и для этого перехода. Внешние переходы не будут работать.

Слайд 22

Групповые политики безопасности

Выполняется проверка на длину пароля и на вхождение в

Групповые политики безопасности Выполняется проверка на длину пароля и на вхождение в
пароль определенных групп символов (латинские буквы, цифры, знаки препинания).

Слайд 23

Регистрация и авторизация

Подтверждение регистрации по email
Поддержка авторизации OpenID и LiveID
Детальная настройка CAPTCHA
Вывод

Регистрация и авторизация Подтверждение регистрации по email Поддержка авторизации OpenID и LiveID
CAPTCHA после N неуспешных авторизаций

Слайд 24

Журнал событий

В журнал заносятся события, связанные с авторизацией и регистрацией пользователей. Детально

Журнал событий В журнал заносятся события, связанные с авторизацией и регистрацией пользователей. Детально настраиваются фиксируемые события.
настраиваются фиксируемые события.

Слайд 25

Модуль «Проактивная защита» включен в состав программных продуктов:

«1С-Битрикс: Управление сайтом» (все редакции,

Модуль «Проактивная защита» включен в состав программных продуктов: «1С-Битрикс: Управление сайтом» (все
кроме «Старт»)
«1С-Битрикс: Корпоративный портал»
Имя файла: Безопасность-Интернет-проектов:-основные-проблемы-разработки-и-пути-решений.pptx
Количество просмотров: 154
Количество скачиваний: 0
- Предыдущая
Cloud Computing
Следующая -
ПрограммаIntel® «Обучение для будущего»

Похожие презентации

Несостоятельность мышц тазового дна
Шаблон для презентации
Модерация
Взаимодействие тел
Бихевиоризм. Экспериментальные и концептуальные нововведения
Выбор темы проекта. Определение проблемы проекта
Государственные и муниципальные гарантии
Страна восходящего солнца. Образ художественной культуры Японии. Праздник цветения сакуры
Презентация на тему Культура Японии
КВН
Гостиница на 50 мест
Правила оформления и структура научно-исследовательской работы
Кайнозойская эра
Как овладеть искусством карате, получая удовольствие от каждой тренировки
Презентация О Петербурге
Живопись
Zagadka-księga
Present Perfect
Интерактивная дискуссия с учётом немецкого, российского и восточноевропейского опта
Параметры областного бюджета Тверской области на 2008-2010 годы
Презентация на тему ЦАРСТВО РАСТЕНИЙ. Низшие растения
«Нерастущий рынок – ожидаемое событие» Николай Имамбаев экс-президент Российской ассоциации производителей и дилеров замочно
10-3-1-informacionnye-svjazi-v-sistemah-razlichnoj prirody
Бог после метафизики (Богословская эстетика)
Кинематограф начала ХХ века
«Зачем», «что» и «как» в исследовании коллокаций. Вопросы и возможные ответы Размышления на тему Елены Ягуновой & Co [email protected]
Перспективы развития трансграничного взаимодействия в электронном виде на базе сервисов доверенной третьей стороны
Как приручить дракона
LiveInternet
Обратная связь
Для правообладателей
Email: Нажмите что бы посмотреть