3. Не до безопасности
— Агентство, студия, SEO-специалисты
• постоянно работает с сайтом
• профессионально (или не очень :) решает задачи
• не задумывается о безопасности (не до нее / нет компетенций)
— Владелец сайта
• постоянно или не очень работает с сайтом
• решает бизнес-задачи
• не задумывается о безопасности (не до нее)
4. «Чувствительные» данные
• email
• IM: skype, whatsapp, viber, соц.сети, sms
• своя CRM или сервис
• чаты на сайтах, фриланс-сайтах
• хостинг клиента
6. Правильные вопросы
— Кто отвечает за безопасность сайта?
— Кто и как управляет доступами?
— Как обеспечить безопасную передачу и хранение
доступов?
— Что такое «гигиена безопасности»?
— Чем грозит взлом и заражение сайта?
— Как снизить риски? …
14. Как чаще всего взламывают
— Перехватывают (крадут) пароли от FTP, «админки»
— Подбирают пароли от FTP , «админки»
— Взламывают через инструменты специалистов на сайте (adminer,
phpmyadmin, filemanager,…)
— Раскрывают доступы в результате «социальной инженерии»
— Взламывают из-за ошибок в настройке сайта и сервера
— Компрометируют из-за «нелицензионных» плагинов и шаблонов
или
— Атакуют через уязвимости в ПО
15. Повторный взлом сайтов
— Не поменяли пароли
— Восстановили сайт из резервной копии
— Перенесли на prod-сервер зараженную версию с
dev-сервера
— Отключили защиту
или
— Одна из причин, по которой взломали в первый раз
18. Организационные меры
— Делаем безопасным рабочее место
— Защищаем сетевое подключение (канал данных)
— Управляем доступами к домену, сайту и хостингу
— Выбираем надежных подрядчиков, работа по договору
— Разрабатываем памятку безопасности и контролируем
исполнение предписаний
— Инструктируем сотрудников и подрядчиков
— Выполняем регулярный аудит безопасности
19. Рабочее место
— Выбираем операционную систему
— Регулярно обновляем компоненты ОС (браузер, плагины
браузера, софт для работы с сайтом)
— Устанавливаем антивирусное ПО
— Регулярно выполняем полную проверку антивирусом
— Используем менеджеры паролей
— Отдельный рабочий компьютер или терминал
— Устанавливаем мониторинговые (например, антифишинговые)
расширения
21. Кто управляет доступами?
— Если разовое обращение -
клиент
— Если разработка/сопровождение -
агентство или веб-студия (менеджер)
22. Управление доступами
— Регулярно меняем пароли от панели хостинга, FTP, SSH, админ-панели
сайта, базы данных
— Устанавливаем сложные и разные пароли
— Включаем логгирование операций в панелях и логи сервисов
— Выдаем (суб)подрядчикам минимально необходимые доступы с
минимальным сроком валидности
— Меняем / деактивируем доступы сразу после завершения работы
— Включаем двухфакторную аутентификацию, где возможно
— Используем SSH ключи для подключения
— Не используем FTP (используем SFTP, крайний случай FTPS)
23. Инструктаж
— «Инструкция по безопасности» сайта:
— Знакомим (суб)подрядчиков с предписаниями и памяткой по
безопасной работе с сайтом
— Проверяем выполнение предписаний
• Используемое ПО
• Варианты сетевых подключений к серверу
• Работа с доступами (прием, передача, хранение, смена)
• Работа с продуктовой и тестовой версиями сайта
• Работа со средствами защиты и безопасными настройками сайта
• Тестирование и сдача проекта
• Реагирование на инциденты (что делать, в каком порядке, к кому обращаться)
24. Резервное копирование
— Вырабатываем стратегию резервного копирования:
— Выбираем место для хранения (не на сервере)
— Проверяем резервные копии
• период
• интервал
• количество копий
• автоматизация
25. Аудит безопасности
— Проводим аудит перед публичным анонсом
проекта
— Выполняем регулярные проверки на вирусы,
взлом в процессе работы
— Проводим аудит после работы
(суб)подрядчиков
— Своими силами или привлекая ИБ
специалистов
28. Печальная статистика
— 4,7% пользователей используют пароль password;
— 8,5% пользователей выбирают один из двух вариантов: password или 123456;
— 9,8% пользователей выбирают: password, 123456 или 12345678;
— 14% пользователей выбирают один из 10 самых популярных паролей;
— 40% пользователей выбирают один из 100 самых популярных паролей;
— 79% пользователей выбирают один из 500 самых популярных паролей;
— 91% пользователей выбирает один из 1000 самых популярных паролей.
30. Правила работы с паролями
— Длинный (>8 знаков)
— Сложный (цифры, буквы, спецсимволы)
— Храниться в менеджере паролей или надежном
хранилище (не в FTP клиенте, не в браузере)
— Передаваться безопасно
— Регулярно меняться
32. Безопасность и комфорт
— Безопасность - это ограничения и запреты
— Безопасность - это неудобно
— Задача - найти соотношение между
безопасностью и удобством работы
— Автоматизация рутины, мониторинг,
готовые предписания и безопасность как
аутсорс
33. Резюме
— Кто управляет безопасностью сайтов?
— Внедрение организационных мер
— Памятка / инструктаж сотрудников и
подрядчиков
— Учетные записи, бэкапы, аудит и мониторинг