Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                
SlideShare a Scribd company logo

Земсков - Как обеспечить безопасность клиентских сайтов в процессе оказания услуг

SEO Conference
SEO Conference

#seoconf

Related slideshows

Безопасность Joomla: мифы и реальность
Безопасность Joomla: мифы и реальностьБезопасность Joomla: мифы и реальность
Безопасность Joomla: мифы и реальность
 
Fuzzing - автоматическое тестирование безопасности
Fuzzing - автоматическое тестирование безопасностиFuzzing - автоматическое тестирование безопасности
Fuzzing - автоматическое тестирование безопасности
 
Почему взламывают даже защищенные CMS на безопасном хостинге
Почему взламывают даже защищенные CMS на безопасном хостингеПочему взламывают даже защищенные CMS на безопасном хостинге
Почему взламывают даже защищенные CMS на безопасном хостинге
 
1 of 34
Download to read offline
Как обеспечить безопасность клиентских сайтов 
 в процессе оказания услуг // SEO Conference 2016
 
 Григорий Земсков, компания «Ревизиум»
Безопасность сайта требует внимания
Не до безопасности — Агентство, студия, SEO-специалисты • постоянно работает с сайтом • профессионально (или не очень :) решает задачи • не задумывается о безопасности (не до нее / нет компетенций) — Владелец сайта • постоянно или не очень работает с сайтом • решает бизнес-задачи • не задумывается о безопасности (не до нее)
«Чувствительные» данные • email • IM: skype, whatsapp, viber, соц.сети, sms • своя CRM или сервис • чаты на сайтах, фриланс-сайтах • хостинг клиента
Как «утекают» пароли
Правильные вопросы — Кто отвечает за безопасность сайта? — Кто и как управляет доступами? — Как обеспечить безопасную передачу и хранение доступов? — Что такое «гигиена безопасности»? — Чем грозит взлом и заражение сайта? — Как снизить риски? …
Если ничего не делать…
Примеры из жизни
«Японский дорвей»
Дефейс
Хулиганство
Шантаж
Вирусы
Как чаще всего взламывают — Перехватывают (крадут) пароли от FTP, «админки» — Подбирают пароли от FTP , «админки» — Взламывают через инструменты специалистов на сайте (adminer, phpmyadmin, filemanager,…) — Раскрывают доступы в результате «социальной инженерии» — Взламывают из-за ошибок в настройке сайта и сервера — Компрометируют из-за «нелицензионных» плагинов и шаблонов
 
 или — Атакуют через уязвимости в ПО
Повторный взлом сайтов — Не поменяли пароли — Восстановили сайт из резервной копии — Перенесли на prod-сервер зараженную версию с dev-сервера — Отключили защиту
 
 или — Одна из причин, по которой взломали в первый раз
Причины проблем
Комплексная безопасность сайта = Технические средства + Организационные меры
Организационные меры — Делаем безопасным рабочее место — Защищаем сетевое подключение (канал данных) — Управляем доступами к домену, сайту и хостингу — Выбираем надежных подрядчиков, работа по договору — Разрабатываем памятку безопасности и контролируем исполнение предписаний — Инструктируем сотрудников и подрядчиков — Выполняем регулярный аудит безопасности
Рабочее место — Выбираем операционную систему — Регулярно обновляем компоненты ОС (браузер, плагины браузера, софт для работы с сайтом) — Устанавливаем антивирусное ПО — Регулярно выполняем полную проверку антивирусом — Используем менеджеры паролей — Отдельный рабочий компьютер или терминал — Устанавливаем мониторинговые (например, антифишинговые) расширения
Сетевое подключение — Выбираем безопасное подключение 
 (роутер, 3G/LTE)
 
 
 
 
 
 
 — Используем VPN для открытых [WIFI] сетей
Кто управляет доступами? — Если разовое обращение - 
 клиент — Если разработка/сопровождение - агентство или веб-студия (менеджер)
Управление доступами — Регулярно меняем пароли от панели хостинга, FTP, SSH, админ-панели сайта, базы данных — Устанавливаем сложные и разные пароли — Включаем логгирование операций в панелях и логи сервисов — Выдаем (суб)подрядчикам минимально необходимые доступы с минимальным сроком валидности — Меняем / деактивируем доступы сразу после завершения работы — Включаем двухфакторную аутентификацию, где возможно — Используем SSH ключи для подключения — Не используем FTP (используем SFTP, крайний случай FTPS)
Инструктаж — «Инструкция по безопасности» сайта:
 
 
 
 
 
 
 
 
 
 — Знакомим (суб)подрядчиков с предписаниями и памяткой по безопасной работе с сайтом — Проверяем выполнение предписаний • Используемое ПО • Варианты сетевых подключений к серверу • Работа с доступами (прием, передача, хранение, смена) • Работа с продуктовой и тестовой версиями сайта • Работа со средствами защиты и безопасными настройками сайта • Тестирование и сдача проекта • Реагирование на инциденты (что делать, в каком порядке, к кому обращаться)
Резервное копирование — Вырабатываем стратегию резервного копирования: 
 
 
 
 
 
 
 — Выбираем место для хранения (не на сервере) — Проверяем резервные копии • период • интервал • количество копий • автоматизация
Аудит безопасности — Проводим аудит перед публичным анонсом проекта — Выполняем регулярные проверки на вирусы, взлом в процессе работы — Проводим аудит после работы (суб)подрядчиков — Своими силами или привлекая ИБ специалистов
Диагностика — Сканирование файлов: https://revisium.com/ai/ 
 
 
 — Сканирование страниц сайта: https://rescan.pro 
 — Проверка базы данных — Сканер «AI-BOLIT» — Сервис ReScan.Pro
Пароли
Печальная статистика — 4,7% пользователей используют пароль password; — 8,5% пользователей выбирают один из двух вариантов: password или 123456; — 9,8% пользователей выбирают: password, 123456 или 12345678; — 14% пользователей выбирают один из 10 самых популярных паролей; — 40% пользователей выбирают один из 100 самых популярных паролей; — 79% пользователей выбирают один из 500 самых популярных паролей; — 91% пользователей выбирает один из 1000 самых популярных паролей.
«Словарные» пароли
Правила работы с паролями — Длинный (>8 знаков) — Сложный (цифры, буквы, спецсимволы) — Храниться в менеджере паролей или надежном хранилище (не в FTP клиенте, не в браузере) — Передаваться безопасно — Регулярно меняться
Неудобная безопасность
Безопасность и комфорт — Безопасность - это ограничения и запреты — Безопасность - это неудобно — Задача - найти соотношение между безопасностью и удобством работы — Автоматизация рутины, мониторинг, готовые предписания и безопасность как аутсорс
Резюме — Кто управляет безопасностью сайтов? — Внедрение организационных мер — Памятка / инструктаж сотрудников и подрядчиков — Учетные записи, бэкапы, аудит и мониторинг
Спасибо! Вопросы? Григорий Земсков Компания «Ревизиум» http://revisium.com http://facebook.com/Revisium http://twitter.com/revisium Telegram - @sitesecurity

More Related Content

Земсков - Как обеспечить безопасность клиентских сайтов в процессе оказания услуг

  • 1. Как обеспечить безопасность клиентских сайтов 
 в процессе оказания услуг // SEO Conference 2016
 
 Григорий Земсков, компания «Ревизиум»
  • 3. Не до безопасности — Агентство, студия, SEO-специалисты • постоянно работает с сайтом • профессионально (или не очень :) решает задачи • не задумывается о безопасности (не до нее / нет компетенций) — Владелец сайта • постоянно или не очень работает с сайтом • решает бизнес-задачи • не задумывается о безопасности (не до нее)
  • 4. «Чувствительные» данные • email • IM: skype, whatsapp, viber, соц.сети, sms • своя CRM или сервис • чаты на сайтах, фриланс-сайтах • хостинг клиента
  • 6. Правильные вопросы — Кто отвечает за безопасность сайта? — Кто и как управляет доступами? — Как обеспечить безопасную передачу и хранение доступов? — Что такое «гигиена безопасности»? — Чем грозит взлом и заражение сайта? — Как снизить риски? …
  • 7. Если ничего не делать…
  • 14. Как чаще всего взламывают — Перехватывают (крадут) пароли от FTP, «админки» — Подбирают пароли от FTP , «админки» — Взламывают через инструменты специалистов на сайте (adminer, phpmyadmin, filemanager,…) — Раскрывают доступы в результате «социальной инженерии» — Взламывают из-за ошибок в настройке сайта и сервера — Компрометируют из-за «нелицензионных» плагинов и шаблонов
 
 или — Атакуют через уязвимости в ПО
  • 15. Повторный взлом сайтов — Не поменяли пароли — Восстановили сайт из резервной копии — Перенесли на prod-сервер зараженную версию с dev-сервера — Отключили защиту
 
 или — Одна из причин, по которой взломали в первый раз
  • 18. Организационные меры — Делаем безопасным рабочее место — Защищаем сетевое подключение (канал данных) — Управляем доступами к домену, сайту и хостингу — Выбираем надежных подрядчиков, работа по договору — Разрабатываем памятку безопасности и контролируем исполнение предписаний — Инструктируем сотрудников и подрядчиков — Выполняем регулярный аудит безопасности
  • 19. Рабочее место — Выбираем операционную систему — Регулярно обновляем компоненты ОС (браузер, плагины браузера, софт для работы с сайтом) — Устанавливаем антивирусное ПО — Регулярно выполняем полную проверку антивирусом — Используем менеджеры паролей — Отдельный рабочий компьютер или терминал — Устанавливаем мониторинговые (например, антифишинговые) расширения
  • 20. Сетевое подключение — Выбираем безопасное подключение 
 (роутер, 3G/LTE)
 
 
 
 
 
 
 — Используем VPN для открытых [WIFI] сетей
  • 21. Кто управляет доступами? — Если разовое обращение - 
 клиент — Если разработка/сопровождение - агентство или веб-студия (менеджер)
  • 22. Управление доступами — Регулярно меняем пароли от панели хостинга, FTP, SSH, админ-панели сайта, базы данных — Устанавливаем сложные и разные пароли — Включаем логгирование операций в панелях и логи сервисов — Выдаем (суб)подрядчикам минимально необходимые доступы с минимальным сроком валидности — Меняем / деактивируем доступы сразу после завершения работы — Включаем двухфакторную аутентификацию, где возможно — Используем SSH ключи для подключения — Не используем FTP (используем SFTP, крайний случай FTPS)
  • 23. Инструктаж — «Инструкция по безопасности» сайта:
 
 
 
 
 
 
 
 
 
 — Знакомим (суб)подрядчиков с предписаниями и памяткой по безопасной работе с сайтом — Проверяем выполнение предписаний • Используемое ПО • Варианты сетевых подключений к серверу • Работа с доступами (прием, передача, хранение, смена) • Работа с продуктовой и тестовой версиями сайта • Работа со средствами защиты и безопасными настройками сайта • Тестирование и сдача проекта • Реагирование на инциденты (что делать, в каком порядке, к кому обращаться)
  • 24. Резервное копирование — Вырабатываем стратегию резервного копирования: 
 
 
 
 
 
 
 — Выбираем место для хранения (не на сервере) — Проверяем резервные копии • период • интервал • количество копий • автоматизация
  • 25. Аудит безопасности — Проводим аудит перед публичным анонсом проекта — Выполняем регулярные проверки на вирусы, взлом в процессе работы — Проводим аудит после работы (суб)подрядчиков — Своими силами или привлекая ИБ специалистов
  • 26. Диагностика — Сканирование файлов: https://revisium.com/ai/ 
 
 
 — Сканирование страниц сайта: https://rescan.pro 
 — Проверка базы данных — Сканер «AI-BOLIT» — Сервис ReScan.Pro
  • 28. Печальная статистика — 4,7% пользователей используют пароль password; — 8,5% пользователей выбирают один из двух вариантов: password или 123456; — 9,8% пользователей выбирают: password, 123456 или 12345678; — 14% пользователей выбирают один из 10 самых популярных паролей; — 40% пользователей выбирают один из 100 самых популярных паролей; — 79% пользователей выбирают один из 500 самых популярных паролей; — 91% пользователей выбирает один из 1000 самых популярных паролей.
  • 30. Правила работы с паролями — Длинный (>8 знаков) — Сложный (цифры, буквы, спецсимволы) — Храниться в менеджере паролей или надежном хранилище (не в FTP клиенте, не в браузере) — Передаваться безопасно — Регулярно меняться
  • 32. Безопасность и комфорт — Безопасность - это ограничения и запреты — Безопасность - это неудобно — Задача - найти соотношение между безопасностью и удобством работы — Автоматизация рутины, мониторинг, готовые предписания и безопасность как аутсорс
  • 33. Резюме — Кто управляет безопасностью сайтов? — Внедрение организационных мер — Памятка / инструктаж сотрудников и подрядчиков — Учетные записи, бэкапы, аудит и мониторинг
  • 34. Спасибо! Вопросы? Григорий Земсков Компания «Ревизиум» http://revisium.com http://facebook.com/Revisium http://twitter.com/revisium Telegram - @sitesecurity