Реальные опасности виртуального мира

Дмитрий Евтеев

Реальные опасности виртуального мира.

О чем пойдет речь

Речь пойдет...

•О проблемах с безопасностью, которые встречаются у всех•Об отношении к этим проблемам

•Мы будем опираться на статистические данные, полученные путем тесного многолетнего общения и работы с вами

http://www.ptsecurity.ru/lab/analytics/

Минимальный уровень нарушителя для полного контроля над критичными ресурсами

Наиболее распространенные уязвимости

Идентификаторы и пароли

•Их МНОГО и они уязвимы•«Пароли», Человеки, Технологии,

Продукты, Организационные составляющие и т.п.

Уязвимости веб-приложений•ВСЕ веб-приложения уязвимы•Их ОЧЕНЬ много и они присутствуют

практически во всех компонентах информационной системы

Уязвимости веб-приложений по степени риска (доля сайтов, %)

Не эффективное разграничение сетевых сервисов•Вероятность успешной атаки

возрастает с числом доступных систем и сервисов атакующему•Системы X Сервисы X Сервисы других

систем && Пользователей, при этом Системы/Сервисы/Пользователи постоянно пополняются

Управление доступом/использование привилегий•Проблема «Бога»•Проблема множества систем X на

количество пользователей•Шифрование?•Обслуживание инфраструктуры•Установка «закладок»

Необходимость в публикации приложений для доступа «из вне»•Сервисы инфраструктуры•Популяризация «мобильного офиса»•Удаленный доступ для

администратора сети•Клиенты и партнеры• Забытый «мусор» на периметре

Уровень привилегий, полученных от лица внешнего нарушителя

Более подробно -http://www.ptsecurity.ru/lab/analytics/

•Статистика по результатам тестирований на проникновение 2011-2012•Статистика уязвимостей в веб-приложениях за 2012 год (с 2006 года)•Статистика уязвимостей систем дистанционного банковского обслуживания 2011-2012

Спасибо за внимание!

sdevteev@gmail.comhttp://devteev.blogspot.comhttps://twitter.com/devteev