1

БЕЗОПАСНОСТЬ ОБЛАЧНЫХ СЕРВИСОВ –

СТРАХИ РЕАЛЬНЫЕ И МНИМЫЕ

Рустем Хайретдинов,Заместитель генерального директора,АО Инфовотч

22

Перенос активности в интернет,как в самый дешевый канал для:

- повышения прозрачности- осуществления финансовых транзакций

- обслуживания граждан

Развитие B2B/C/G

33

МОДЕЛЬ УГРОЗ

Внешние

Внутренние

Случайные Намеренные

Отключение питания

Malware DoS Хакерские атаки

Стихийные бедствия

Политические риски

Непропатченные системы

Уязвимости кода

Ошибки в изменениях

Ошибки персонала

Программные закладки

Похищение информации

Мошенничество

3

44

Техническая составляющая

Функциональные последствия

Бизнес-последствия

Недоступность сайта для пользователей

Не происходят транзакции

Невыполнение задач бизнеса

Кража конфиденциальной информации и персональных данных путём взлома веб-ресурсов;

Информация пользователей портала скомпрометирована.

Санкции регуляторов: штрафы, определения в адрес ответственных лиц

Нарушение содержимого веб-приложения, включая изменение информации о мероприятиях, публикации новостей, удаление или искажение файлов и баз данных;

Получение пользователями неверной информации о торгах и мероприятиях.

Падение доверия к ресурсу и компании в целом

УГРОЗЫ И

ПОСЛЕДСТВИЯ

1

55

Техническая составляющая

Функциональные последствия

Бизнес-последствия

Атаки на пользователей сайта путём заражения страниц сайта вирусами и размещения ссылок, содержащих инструменты взлома;

Сайт индексируется поисковиками, как опасный, что понижает его посещаемость.

Падение доверия к ресурсу и компании в целом

Подмена содержания страниц: размещение противозаконного контента: призывы к экстремизму, порнография и т.п.;

Получение пользователаминеверной информации о компании, её позиции, мероприятиях.

Санкции со стороны регуляторов, вплоть до блокировки сайта. Штрафы

УГРОЗЫ И

ПОСЛЕДСТВИЯ

2

66

OWASP TOP-10

1. Инъекции — Injections2. Недочеты системы аутентификации и хранения сессий (Broken Authentication

and Session Management)3. Межсайтовый скриптинг – XSS (Cross Site Scripting)4. Небезопасные прямые ссылки на объекты (Insecure Direct Object References)5. Небезопасная конфигурация (Security Misconfiguration)6. Незащищенность критичных данных (Sensitive Data Exposure)7. Отсутствие функций контроля доступа (Missing Function Level Access Control)8. Межсайтовая подделка запроса (Cross-Site Request Forgery, CSRF/XSRF)9. Использование компонентов с известными уязвимостями (Using Components

with Known Vulnerabilities)10. Непроверенные переадресации и пересылки (Unvalidated Redirects and

Forwards)

77

СПЕЦИФИКА

Непрерывная разработка

Запросы на функции формируются изнутри (функциональный

заказчик) и снаружи (требования, рынок)

Нет времени на систематический анализ

Разработка заказная – заказчик один

SDL cлишком дорог, внешний контроль слишком долог

Функционал превыше всего

Затруднительно оценить ущерб от плохого кода, безопасность не на

первом месте

88

ТРЕБОВАНИЯ И

KPIДёшево: новые фичи

на рынок

Быстро:

Реализация

фантазий

заказчика

Качественно:

Без инцидентов

и ущерба

99

БИЗНЕС-БЕЗОПАСНИК

У вас тут дырка

Да её не найдут

А найдут-не проэксплуатируют

А проэксплуатируют – не нанесут ущерба

А нанесут ущерб – он будет меньше, чем мы заработаем

1010

РАЗРАБОТЧИК –

БЕЗОПАСНИК

У вас тут дырка

Нам она нужна для другого

Да она не эксплуатируемая

Знаем, но некогда исправлять

Если исправим, отвалится функционал

1111

ИЗ МЫШЕК В

ЁЖИКИ

Все понимают, что так,

как сейчас - плохоВсе понимают, как надо

1212

ЧТО ДЕЛАТЬ?

ВАРИАНТ 1, ФАНТАСТИЧЕСКИЙ

Сделать всё правильно. Внедрить SDL,Научить программистов. Найти

бюджеты. Построить процессы. Ага.

1313

ЧТО ДЕЛАТЬ?

ВАРИАНТ 2, СОВЕТСКИЙ

Получить право вето. Пугать бизнес и

программистов. Ну-ну.

1414

ЧТО ДЕЛАТЬ?

ВАРИАНТ 3, ИДЕАЛЬНЫЙ

Стать полезным

1515

Специфика бизнес-приложений

Атаки не предотвращаются, а отражаются в ручном

режиме, когда мало что можно изменить

Приложение проектируется, кодируется и внедряется без

учёта требований информационной безопасности

Безопасники подключаются на этапе тестирования, когда

исправлять приложение очень дорого или невозможно

Малейшее изменение системы требует перенастройки

средств безопасности

Большое количество ложных срабатываний приводит к

тому, что защита переводится в пассивный режим

1616

Безопасная разработка

Проверка модулем

CCS

Выпуск кода в

продакшн

Проверка модулем

WAF

Виртуальный патчинг

Постановка задачи по

исправлению

Выпуск обновлений

Интеграция CCS и

WAF значительно

повысит качество

кода и надежность

веб-приложения.

1717

Комплексная защита

веб-инфраструктуры

Проверка модулем

CCS

Выпуск кода в

продакшн

Проверка модулем

WAF

Виртуальный патчинг

Постановка задачи по

исправлению

Выпуск обновлений

Интеграция CCS и

WAF и AntiDDoS защитит веб-

инфраструктуру

компании от

большинства

интернет-угроз

Дополнение правил

блокировки на модуле

AntiDDoS

1818

РАЗРАБОТЧИК –

БЕЗОПАСНИК

Вот дырка, вот эксплойт, вот рекомендации по исправлению

Спасибо, брат. Как ты это делаешь?

Вот этот запрос завалит базу, надо переписать вот так

Вот этот вызов уронит другое приложение, надо изменить

1919

БИЗНЕС-БЕЗОПАСНИК

У вас в этой функции риск потери клиентских данных с

вероятностью 75%

Охренеть! Зайди за премией

Мы выдали рекомендации разработчикам, а пока

прикрыли компенсирующими мерами

Оптимизировали запросы, производительность колл-центра увеличится на 30%

20

ВОПРОСЫ, ПОЖАЛУЙСТА

Рустем Хайретдинов,Заместитель генерального директора,АО Инфовотч