2. http://www.ptsecurity.ru/lab/analytics/
Статистика по результатам тестирований на
проникновение 2011-2012
Статистика уязвимостей в веб-приложениях за 2012 год
(с 2006 года)
Статистика уязвимостей систем дистанционного
банковского обслуживания 2011-2012
Аналитика Positive Technologies
3. Тестирование на проникновение – это один из
методов проведения аудита информационной
безопасности, который при расширении
соответствующих границ позволяет получить оценку
состояния процессов информационной безопасности
на принципиально новом качественном уровне.
Тестирование на проникновение
4. Пентест - это запустить троянчика на
компьютере генерального директора.
Пентест в отличии от аудита ИБ бесполезен.
Пентест бесполезен для Бизнеса.
Пентест - это имитация
действий злоумышленника.
Заблуждения дилетантов про пентесты
5. Позитивное тестирование на проникновение
Заказчик
Формирование
требований,
определение границ
проведения работ
Менеджер
проекта
Управление
проектом
Группа экспертов
Сбор информации
Аналитик
Анализ результатов оценки
защищенности, оформление отчетных
документов
Группа экспертов
Инвентаризация сети,
идентификация сервисов
Группа экспертов
Идентификация уязвимостей:
инструментальное
сканирование и ручные
методы
Группа экспертов
Эксплуатация уязвимостей:
получение доступа,
повышение привилегий
Группа экспертов
Оценка защищенности
веб-приложений
Анализ защищенности с
новым уровнем
привилегий
Группа экспертов
Оценка защищенности
беспроводных сетей
Отчет
Система трекинга
Система автоматизации
социотехнических
проверок
База знаний по уязвимостям и методам
эксплутации
Система
тестирования
Координатор
проекта
Управление
проектом
(технические
аспекты)
Координатор проекта
Управление проектом
(технические аспекты),
контроль качества
Эксперты в различных
областях (SCADA, ERP, и др.)
привлекаются при
необходимости
Презентация Группа экспертов
Оценка эффективности
программы осведомленности в
вопросах ИБ Разработчики
Обновление базы
знаний MaxPatrol
База знаний
8. Их МНОГО и они уязвимы
«Пароли», Человеки, Технологии, Продукты,
Организационные составляющие и т.п.
Идентификаторы и пароли
9. ВСЕ веб-приложения уязвимы
Их ОЧЕНЬ много и они присутствуют практически во
всех компонентах информационной системы
Уязвимости веб-приложений
10. Уязвимости веб-приложений по степени риска (доля
сайтов, %)
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
Высокий Средний Низкий
45%
90% [ЗНАЧЕ
НИЕ]
11. Позитивный анализ приложений
Заказчик
Формирование
требований,
определение границ
проведения работ
Эксперт
Автоматизированное
сканирование, проверка
соответствия
конфигураций
рекомендациям по
безопасной настройке
Группа экспертов
Анализ PHP-кода
Система трекинга Группа экспертов
Анализ JAVA, ASP.NET и
другого кода
Группа экспертов
Анализ мобильных
приложений
Аналитик
Анализ результатов оценки
защищенности, оформление отчетных
документов
Отчет
Веб-приложение Веб-приложение
Веб-приложение
Мобильное
приложение
Менеджер проекта
Управление проектом
(организационные
вопросы)
Архитектор проекта
Управление проектом
(технические аспекты)
16. Распределение уязвимостей по уровням риска в
зависимости от типа CMS
25%
25%
7%
70%
72%
89%
5%
3%
4%
Собственной
разработки
Свободные
Коммерческие
Высокий Средний Низкий
18. Вероятность успешной атаки возрастает с числом
доступных систем и сервисов атакующему
Системы X Сервисы X Сервисы других систем &&
Пользователей, при этом Системы/Сервисы/
Пользователи постоянно пополняются
Не эффективное разграничение сетевых сервисов
19. Проблема «Бога»
Проблема множества систем X на количество
пользователей
Обслуживание инфраструктуры
Шифрование?
Установка «закладок»
Управление доступом/использование привилегий
20. Сервисы инфраструктуры
Популяризация «мобильного офиса»
Удаленный доступ для администратора сети
Клиенты и партнеры
Забытый «мусор» на периметре…
Необходимость в публикации приложений для
доступа «из вне»
23. http://www.ptsecurity.ru/lab/analytics/
Статистика по результатам тестирований на
проникновение 2011-2012
Статистика уязвимостей в веб-приложениях за 2012 год
(с 2006 года)
Статистика уязвимостей систем дистанционного
банковского обслуживания 2011-2012
Более подробно