Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                
SlideShare a Scribd company logo

Статистика по результатам тестирований на проникновение и анализа защищенности веб-приложений 2011-2012

Download as PPTX, PDF
Dmitry Evteev
Dmitry Evteev
1 of 24
Статистика по результатам тестирований на проникновение и анализа защищенности веб- приложений 2011-2012 Дмитрий Евтеев
http://www.ptsecurity.ru/lab/analytics/ Статистика по результатам тестирований на проникновение 2011-2012 Статистика уязвимостей в веб-приложениях за 2012 год (с 2006 года) Статистика уязвимостей систем дистанционного банковского обслуживания 2011-2012 Аналитика Positive Technologies
Тестирование на проникновение – это один из методов проведения аудита информационной безопасности, который при расширении соответствующих границ позволяет получить оценку состояния процессов информационной безопасности на принципиально новом качественном уровне. Тестирование на проникновение
Пентест - это запустить троянчика на компьютере генерального директора. Пентест в отличии от аудита ИБ бесполезен. Пентест бесполезен для Бизнеса. Пентест - это имитация действий злоумышленника. Заблуждения дилетантов про пентесты
Позитивное тестирование на проникновение Заказчик Формирование требований, определение границ проведения работ Менеджер проекта Управление проектом Группа экспертов Сбор информации Аналитик Анализ результатов оценки защищенности, оформление отчетных документов Группа экспертов Инвентаризация сети, идентификация сервисов Группа экспертов Идентификация уязвимостей: инструментальное сканирование и ручные методы Группа экспертов Эксплуатация уязвимостей: получение доступа, повышение привилегий Группа экспертов Оценка защищенности веб-приложений Анализ защищенности с новым уровнем привилегий Группа экспертов Оценка защищенности беспроводных сетей Отчет Система трекинга Система автоматизации социотехнических проверок База знаний по уязвимостям и методам эксплутации Система тестирования Координатор проекта Управление проектом (технические аспекты) Координатор проекта Управление проектом (технические аспекты), контроль качества Эксперты в различных областях (SCADA, ERP, и др.) привлекаются при необходимости Презентация Группа экспертов Оценка эффективности программы осведомленности в вопросах ИБ Разработчики Обновление базы знаний MaxPatrol База знаний
Минимальный уровень нарушителя для полного контроля над критичными ресурсами
Наиболее распространенные уязвимости
Их МНОГО и они уязвимы «Пароли», Человеки, Технологии, Продукты, Организационные составляющие и т.п. Идентификаторы и пароли
ВСЕ веб-приложения уязвимы Их ОЧЕНЬ много и они присутствуют практически во всех компонентах информационной системы Уязвимости веб-приложений
Уязвимости веб-приложений по степени риска (доля сайтов, %) 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% Высокий Средний Низкий 45% 90% [ЗНАЧЕ НИЕ]
Позитивный анализ приложений Заказчик Формирование требований, определение границ проведения работ Эксперт Автоматизированное сканирование, проверка соответствия конфигураций рекомендациям по безопасной настройке Группа экспертов Анализ PHP-кода Система трекинга Группа экспертов Анализ JAVA, ASP.NET и другого кода Группа экспертов Анализ мобильных приложений Аналитик Анализ результатов оценки защищенности, оформление отчетных документов Отчет Веб-приложение Веб-приложение Веб-приложение Мобильное приложение Менеджер проекта Управление проектом (организационные вопросы) Архитектор проекта Управление проектом (технические аспекты)
Наиболее распространенные уязвимости 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 73% 63% 46% 33% 31% 30% 30% 24% 18% 18%
Доля уязвимых сайтов для разных языков программирования 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% ASP.NET Java Perl PHP 10% 15% 29% 83% 90% 100% 76% 92% 80% 62% 88% 63% Высокий Средний Низкий
Характерные уязвимости для сайтов на различных языках программирования PHP Доля сайтов ASP.NET Доля сайтов Java Доля сайтов Cross-Site Request Forgery 73% Cross-Site Scripting 39% Insufficient Authorization 41% SQL Injection 61% Cross-Site Request Forgery 35% Cross-Site Request Forgery 35% Cross-Site Scripting 43% Insufficient Anti- automation 35% Application Misconfiguration 29% Insufficient Anti- automation 42% SQL Injection 22% Insufficient Authentication 29% Path Traversal 42% Application Misconfiguration 17% OS Commanding 29%
Доля сайтов по максимальному уровню критичности уязвимостей 10% 15% 29% 83% 80% 85% 53% 17% 10% 18% 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% ASP.NET Java Perl PHP
Распределение уязвимостей по уровням риска в зависимости от типа CMS 25% 25% 7% 70% 72% 89% 5% 3% 4% Собственной разработки Свободные Коммерческие Высокий Средний Низкий
Демка
Вероятность успешной атаки возрастает с числом доступных систем и сервисов атакующему Системы X Сервисы X Сервисы других систем && Пользователей, при этом Системы/Сервисы/ Пользователи постоянно пополняются Не эффективное разграничение сетевых сервисов
Проблема «Бога» Проблема множества систем X на количество пользователей Обслуживание инфраструктуры Шифрование? Установка «закладок» Управление доступом/использование привилегий
Сервисы инфраструктуры Популяризация «мобильного офиса» Удаленный доступ для администратора сети Клиенты и партнеры Забытый «мусор» на периметре… Необходимость в публикации приложений для доступа «из вне»
Уровень привилегий, полученных от лица внешнего нарушителя
Демка
http://www.ptsecurity.ru/lab/analytics/ Статистика по результатам тестирований на проникновение 2011-2012 Статистика уязвимостей в веб-приложениях за 2012 год (с 2006 года) Статистика уязвимостей систем дистанционного банковского обслуживания 2011-2012 Более подробно
Спасибо за внимание! sdevteev@gmail.com http://devteev.blogspot.com https://twitter.com/devteev

More Related Content

Статистика по результатам тестирований на проникновение и анализа защищенности веб-приложений 2011-2012

  • 1. Статистика по результатам тестирований на проникновение и анализа защищенности веб- приложений 2011-2012 Дмитрий Евтеев
  • 2. http://www.ptsecurity.ru/lab/analytics/ Статистика по результатам тестирований на проникновение 2011-2012 Статистика уязвимостей в веб-приложениях за 2012 год (с 2006 года) Статистика уязвимостей систем дистанционного банковского обслуживания 2011-2012 Аналитика Positive Technologies
  • 3. Тестирование на проникновение – это один из методов проведения аудита информационной безопасности, который при расширении соответствующих границ позволяет получить оценку состояния процессов информационной безопасности на принципиально новом качественном уровне. Тестирование на проникновение
  • 4. Пентест - это запустить троянчика на компьютере генерального директора. Пентест в отличии от аудита ИБ бесполезен. Пентест бесполезен для Бизнеса. Пентест - это имитация действий злоумышленника. Заблуждения дилетантов про пентесты
  • 5. Позитивное тестирование на проникновение Заказчик Формирование требований, определение границ проведения работ Менеджер проекта Управление проектом Группа экспертов Сбор информации Аналитик Анализ результатов оценки защищенности, оформление отчетных документов Группа экспертов Инвентаризация сети, идентификация сервисов Группа экспертов Идентификация уязвимостей: инструментальное сканирование и ручные методы Группа экспертов Эксплуатация уязвимостей: получение доступа, повышение привилегий Группа экспертов Оценка защищенности веб-приложений Анализ защищенности с новым уровнем привилегий Группа экспертов Оценка защищенности беспроводных сетей Отчет Система трекинга Система автоматизации социотехнических проверок База знаний по уязвимостям и методам эксплутации Система тестирования Координатор проекта Управление проектом (технические аспекты) Координатор проекта Управление проектом (технические аспекты), контроль качества Эксперты в различных областях (SCADA, ERP, и др.) привлекаются при необходимости Презентация Группа экспертов Оценка эффективности программы осведомленности в вопросах ИБ Разработчики Обновление базы знаний MaxPatrol База знаний
  • 6. Минимальный уровень нарушителя для полного контроля над критичными ресурсами
  • 8. Их МНОГО и они уязвимы «Пароли», Человеки, Технологии, Продукты, Организационные составляющие и т.п. Идентификаторы и пароли
  • 9. ВСЕ веб-приложения уязвимы Их ОЧЕНЬ много и они присутствуют практически во всех компонентах информационной системы Уязвимости веб-приложений
  • 10. Уязвимости веб-приложений по степени риска (доля сайтов, %) 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% Высокий Средний Низкий 45% 90% [ЗНАЧЕ НИЕ]
  • 11. Позитивный анализ приложений Заказчик Формирование требований, определение границ проведения работ Эксперт Автоматизированное сканирование, проверка соответствия конфигураций рекомендациям по безопасной настройке Группа экспертов Анализ PHP-кода Система трекинга Группа экспертов Анализ JAVA, ASP.NET и другого кода Группа экспертов Анализ мобильных приложений Аналитик Анализ результатов оценки защищенности, оформление отчетных документов Отчет Веб-приложение Веб-приложение Веб-приложение Мобильное приложение Менеджер проекта Управление проектом (организационные вопросы) Архитектор проекта Управление проектом (технические аспекты)
  • 13. Доля уязвимых сайтов для разных языков программирования 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% ASP.NET Java Perl PHP 10% 15% 29% 83% 90% 100% 76% 92% 80% 62% 88% 63% Высокий Средний Низкий
  • 14. Характерные уязвимости для сайтов на различных языках программирования PHP Доля сайтов ASP.NET Доля сайтов Java Доля сайтов Cross-Site Request Forgery 73% Cross-Site Scripting 39% Insufficient Authorization 41% SQL Injection 61% Cross-Site Request Forgery 35% Cross-Site Request Forgery 35% Cross-Site Scripting 43% Insufficient Anti- automation 35% Application Misconfiguration 29% Insufficient Anti- automation 42% SQL Injection 22% Insufficient Authentication 29% Path Traversal 42% Application Misconfiguration 17% OS Commanding 29%
  • 15. Доля сайтов по максимальному уровню критичности уязвимостей 10% 15% 29% 83% 80% 85% 53% 17% 10% 18% 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% ASP.NET Java Perl PHP
  • 16. Распределение уязвимостей по уровням риска в зависимости от типа CMS 25% 25% 7% 70% 72% 89% 5% 3% 4% Собственной разработки Свободные Коммерческие Высокий Средний Низкий
  • 18. Вероятность успешной атаки возрастает с числом доступных систем и сервисов атакующему Системы X Сервисы X Сервисы других систем && Пользователей, при этом Системы/Сервисы/ Пользователи постоянно пополняются Не эффективное разграничение сетевых сервисов
  • 19. Проблема «Бога» Проблема множества систем X на количество пользователей Обслуживание инфраструктуры Шифрование? Установка «закладок» Управление доступом/использование привилегий
  • 20. Сервисы инфраструктуры Популяризация «мобильного офиса» Удаленный доступ для администратора сети Клиенты и партнеры Забытый «мусор» на периметре… Необходимость в публикации приложений для доступа «из вне»
  • 21. Уровень привилегий, полученных от лица внешнего нарушителя
  • 23. http://www.ptsecurity.ru/lab/analytics/ Статистика по результатам тестирований на проникновение 2011-2012 Статистика уязвимостей в веб-приложениях за 2012 год (с 2006 года) Статистика уязвимостей систем дистанционного банковского обслуживания 2011-2012 Более подробно