Безопасность интернет-проектов: основные проблемы разработки и пути решений

Содержание

Слайд 2

Большая часть современных сайтов - набор запчастей

низкий уровень стандартной разработки
отсутствие единой

Большая часть современных сайтов - набор запчастей низкий уровень стандартной разработки отсутствие
концепции безопасности
несколько аккаунтов для одного пользователя
не обновляемое ПО, особенно после модификации

Сайты сегодня – набор запчастей

Слайд 3

индивидуальные разработчики думают о безопасности сайтов в самую последнюю очередь
клиенты не готовы

индивидуальные разработчики думают о безопасности сайтов в самую последнюю очередь клиенты не
платить за безопасность интернет-проектов
подразумевается, что разработчик должен этим заниматься, но у него не остается ни времени, ни бюджета

О безопасности сайта думают в последнюю очередь!

Слайд 4

Хостинг часто не защищен

зачастую уровень администрирования серверов и хостинга критически низкий
редко используются

Хостинг часто не защищен зачастую уровень администрирования серверов и хостинга критически низкий
системы автоматического мониторинга

Слайд 5

Веб-сайт - часть корпоративной инфраструктуры.
Взлом корпоративного сайта - это удар по

Веб-сайт - часть корпоративной инфраструктуры. Взлом корпоративного сайта - это удар по
репутации и имиджу компании. Очень неприятное в подобных событиях - огласка происшествия. Но потеря данных с сайта, информации о клиентах – это уже прямые убытки. И огласка таких происшествий происходит далеко не всегда.
Чем серьезнее компания и известнее ее имя и продукты, тем существеннее бывают риски и убытки от взлома корпоративного сайта.

Безопасность сайта

Слайд 6

единая политика безопасности
единая система авторизации;
единый бюджет пользователя для всех модулей
трехуровневая система разграничения

единая политика безопасности единая система авторизации; единый бюджет пользователя для всех модулей
прав доступа
независимость системы контроля доступа от бизнес-логики страницы
смена пароля
запомнить авторизацию
возможность шифрования информации при передаче
система обновлений SiteUpdate
независимое журналирование выполняемых страниц в модуле Статистики
политика работы с переменными и внешними данными
методика двойного контроля критически опасных участков кода
политика работы с пластиковыми картами

1С-Битрикс: FrameWork

Платформа «1С-Битрикс» - это комплексное решение с единой системой безопасности:

Слайд 7

Перед выпуском модуля идет обязательное тестирование разработчиками на внутренних серверах с разными

Перед выпуском модуля идет обязательное тестирование разработчиками на внутренних серверах с разными
базами данных, операционными системами и версиями PHP
Отдел тестирования проверяет на соответствие бизнес-функциональности и наличие ошибок
Отдел безопасности проверяет на наличие уязвимостей
Модуль поступает в бета-тестирование клиентам и партнерам

Разработчики работают в компании по 5-8 лет, но все равно допускают ошибки в безопасности. Почему?

Цикл разработки

Слайд 8

Психология хакера и разработчика

Психология хакера и разработчика принципиально отличаются

Профессиональным веб-разработчик становится только

Психология хакера и разработчика Психология хакера и разработчика принципиально отличаются Профессиональным веб-разработчик
через 3-5 лет и при активном контроле со стороны специалиста по веб-безопасности

Как мыслит разработчик…

… и как мыслит хакер

Слайд 9

Студенты, ИТ специалисты начального уровня

пробуют силы на первых попавшихся сайтах
нет понимания последствий

Студенты, ИТ специалисты начального уровня пробуют силы на первых попавшихся сайтах нет
для жертвы
нет осознания юридической личной ответственности
редко зарабатывают на хакерстве как на бизнесе

Профессиональные специалисты

прекрасный технический багаж
никогда не светятся в тусовках, не кривляются
делают только на заказ и только за деньги
активно работают на службы безопасности
крупных компаний

Категории хакеров

Соотношение разработчиков
к хакерам 1:100

Слайд 10

Индивидуальная проверка проектов специалистами по веб-безопасности
Большой объем работы
Постоянные изменения вносимые в интернет-проекты
Нехватка

Индивидуальная проверка проектов специалистами по веб-безопасности Большой объем работы Постоянные изменения вносимые
специалистов
Отсутствие сформированной практики аудитов

Платный аудит безопасности

Слайд 11

Web Application Firewall (Проактивный фильтр защиты от атак)
Веб-антивирус
Аутентификация и система составных паролей

Web Application Firewall (Проактивный фильтр защиты от атак) Веб-антивирус Аутентификация и система

Технология защиты сессии пользователя
Активная реакция на вторжение
Контроль целостности системы
Защита от фишинга
Шифрование данных
Групповые политики безопасности
Защита при регистрации и авторизации
Журнал событий

Комплекс «Проактивная защита» Инструменты безопасности

Слайд 12

Оценка уровней безопасности веб-проекта

Безопасность: Панель безопасности

Оценка уровней безопасности веб-проекта Безопасность: Панель безопасности

Слайд 13

XSS - cross site scripting (СSS)
SQL инъекции
PHP Including
часть атак,

XSS - cross site scripting (СSS) SQL инъекции PHP Including часть атак,
связанных с обходом каталогов

Экранирует приложение от наиболее активно используемых атак
Фиксирует попытки атаки в журнале
Информирует администратора о случаях вторжения

Распознает большинство опасных угроз и блокирует вторжения на сайт

Проактивный фильтр Web Application FireWall

Слайд 14

Корректность работы электронных ключей eToken PASS для системы «1С-Битрикс: Управление сайтом 8.0»

Корректность работы электронных ключей eToken PASS для системы «1С-Битрикс: Управление сайтом 8.0»
подтверждается соответствующим сертификатом компании Aladdin, выданным на основании серии испытаний.

Технология одноразовых паролей

Технология одноразовых паролей (One Time Password - OTP) с использованием брелков Aladdin eToken PASS позволяет быть однозначно уверенным, что на сайте авторизуется именно тот человек, которому выдали брелок.

Слайд 15

Сессия пользователя – это ключевой объект атаки на веб-сайт с целью получения

Сессия пользователя – это ключевой объект атаки на веб-сайт с целью получения
сессии авторизованного пользователя
В повышенных режимах безопасности сессия будет полностью меняться раз в несколько минут (в зависимости от настройки)
Механизм хранения сессий в базе данных для исключения ошибок конфигурирования виртуального хостинга, ошибок настройки прав доступа в временным каталогам и ряда других проблем настройки операционной среды

Технология защиты авторизованных сессий

Слайд 16

Обеспечивает защиту от DDoS атак на веб-приложения, от автоматизированных роботов, которые извлекают

Обеспечивает защиту от DDoS атак на веб-приложения, от автоматизированных роботов, которые извлекают
контент, спамят и всячески подстраиваются под посетителей

Контроль активности

Слайд 17

Полная поддержка работы по SSL.
Один из ключевых вариантов обеспечения защищенности проекта –

Полная поддержка работы по SSL. Один из ключевых вариантов обеспечения защищенности проекта
шифрование данных и сессионных значений при передаче между пользователем и сайтом.
Зачастую разделяются режимы работы пользователей и администратора.
Новые параметры позволят использовать несколько режимов работы с сайтом для пользователей при установленном SSL сертификате.

Шифрование данных

Слайд 18

Журнал вторжений

В журнале вторжений ведется запись попыток внедрения SQL,
атак через XSS

Журнал вторжений В журнале вторжений ведется запись попыток внедрения SQL, атак через XSS и внедрения PHP.
и внедрения PHP.

Слайд 19

Защита административных разделов по IP

Защита позволяет строго регламентировать сети, которые считаются безопасными

Защита административных разделов по IP Защита позволяет строго регламентировать сети, которые считаются
и из которых сотрудникам разрешается администрировать сайт

Слайд 20

Стоп-листы

Стоп-лист ограничивает доступ посетителей к содержимому сайта. Все пользователи, которые попытаются зайти

Стоп-листы Стоп-лист ограничивает доступ посетителей к содержимому сайта. Все пользователи, которые попытаются
на сайт с IP адресами, включенными в стоп-лист, будут блокированы.

Слайд 21

В любой момент вы можете проверить целостность ядра, системных областей, публичной части

В любой момент вы можете проверить целостность ядра, системных областей, публичной части
продукта

Механизм расчета контрольных сумм всего проекта
Раздельное вычисление для статических страниц и кода с возможностью видеть, когда менял обычный пользователь и когда менял веб-разработчик
Пароль проверки не хранится на сайте
Файл контрольных сумм можно отдельно сохранить у себя для проверки

Контроль целостности системы

Слайд 22

Защита от фишинга

Фи́шинг (англ. phishing, от password — пароль и fishing — рыбная

Защита от фишинга Фи́шинг (англ. phishing, от password — пароль и fishing
ловля, выуживание) — вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей — логинам и паролям. Это достигается путем проведения массовых рассылок электронных писем от имени популярных брендов, например, от имени социальных сетей (Facebook, ВКонтакте), банков (Ситибанк, Альфа-банк), прочих сервисов (Rambler, Mail.ru)
Фишинг — одна из разновидностей социальной инженерии, основанной на незнании пользователями основ сетевой безопасности
При включенной защите все ссылки с сайта через редиректы защищаются дополнительным параметром индивидуальным для сайта и для этого перехода. Внешние переходы не будут работать

Слайд 23

Групповые политики безопасности

Выполняется проверка на длину пароля и на вхождение в

Групповые политики безопасности Выполняется проверка на длину пароля и на вхождение в
пароль определенных групп символов (латинские буквы, цифры, знаки препинания)

Слайд 24

Подтверждение регистрации по email
Поддержка авторизации OpenID и LiveID
Детальная настройка CAPTCHA
Вывод CAPTCHA после

Подтверждение регистрации по email Поддержка авторизации OpenID и LiveID Детальная настройка CAPTCHA
N неуспешных авторизаций

Регистрация и авторизация

Слайд 25

В журнал заносятся события, связанные с авторизацией и регистрацией пользователей. Детально настраиваются

В журнал заносятся события, связанные с авторизацией и регистрацией пользователей. Детально настраиваются фиксируемые события. Журнал событий
фиксируемые события.

Журнал событий

Слайд 26

«1С-Битрикс: Управление сайтом» (все редакции, кроме «Старт»)
«1С-Битрикс: Корпоративный портал»

Модуль «Проактивная защита» включен

«1С-Битрикс: Управление сайтом» (все редакции, кроме «Старт») «1С-Битрикс: Корпоративный портал» Модуль «Проактивная
в состав программных продуктов

Слайд 27


Следите за нами!

www.1c-bitrix.ru

facebook.com/1CBitrix

twitter.com/1C_Bitrix

Следите за нами! www.1c-bitrix.ru facebook.com/1CBitrix twitter.com/1C_Bitrix
Имя файла: Безопасность-интернет-проектов:-основные-проблемы-разработки-и-пути-решений.pptx
Количество просмотров: 269
Количество скачиваний: 0