Upload
sitesecure
View
211
Download
6
Tags:
Embed Size (px)
DESCRIPTION
Презентация с вебинара "Первые шаги к безопасности и новым клиентам" (запись вебинара - http://www.youtube.com/watch?v=TWlea8tPp3E) Спикер: Олег Михальский, Лабоработия Касперского / Acronis Тезисы: - основные угрозы в 2014; - основные примеры реализации угроз; - как угрозы в действительности влияют на интернет-бизнес.
Citation preview
Цикл семинаров «Безопасность коммерческих веб-‐сайтов и интернет-‐магазинов»
SiteSecure
Более 15 лет опыта на рынке информационной безопасности -‐ в Лаборатории Касперского, Акронисе, Ростелекоме и др. Уже 60 партнеров, среди которых: Около 10.000 сайтов постоянно проверяются нашим сервисом
Безопасность -‐ это долго, дорого и скучно
Блокирование поисковиками
Блокирование антивирусом
А также мобильный редирект
Россия – лидер по числу зараженных сайтов
По официальным данным Лаборатории Касперского
Россия – лидер по числу зараженных сайтов
Согласно отчету MicrosoO Security Threat Report
Вирусы наносят удар по онлайн-‐бизнесу
По данным исследования RuWard и SiteSecure
Владелeц каждого 7 сайта подвержен риску финансовых потерь из-‐за имеющихся на сайте проблем.
Более 50% владельцев не знали о наличии проблем с их сайтами.
Треть продолжала тратить средства на обслуживание или продвижение сайта.
В результате заражения 15% бизнесов прекратили существование, а 10% пришлось полностью переделывать сайт
(выборка из 750 бизнесов, до которых дозвонились вручную)
Почему растет угроза онлайн-‐бизнесу
• Бурный рост онлайн-‐торговли, 30% в год • 600.000 сайтов коммерческих фирм • 40.000 интернет-‐магазинов • Многие сайты сделаны фрилансерами, на нелицензионных или opensource CMS
• Заказчик не осознает угрозы и еще не понимает необходимости следить за сайтом, использовать мониторинг, обновлять CMS
Мотивация злоумышленников
• Цель – не всегда сайт вашего заказчика, цель – простой пользователь интернета
• Эффективность: одна атака заражает максимум сайтов – популярные CMS или многие сайты на одном хостинге
• Скрытность: заражать «заброшенные» сайты, за которыми никто не следит
Что способствует распространению проблем
• Отсутствие организационных мер защиты • Несоблюдение базовых технических мер • Игнорирование принципов безопасной разработки и сопровождения веб-‐сайтов
• Человеческий фактор – случайные, ошибочные или преднамеренные действия
Основные группы рисков для сайта
• Риски для владельца сайта – продвижение сайта может быть затруднено или невозможно. Вы теряете средства, потраченные на продвижение
• Риски для посетителей сайта и конверсии в покупателей – посетители могут быть заражены или перенаправлены на другие опасные сайты. Сайт теряет потенциальных покупателей и лояльных клиентов.
Проблемы всегда происходят не вовремя
Примеры рисков
• Сайт-‐визитка – Риск испорченной репутации
• Интернет-‐магазин, лидогенерирующий сайт – Финансовые риски (потеря дохода из-‐за снижения числа клиентов)
– Репутационные риски (потеря лояльности клиентов) • Сайт-‐критическая бизнес-‐система – Степень риска зависит от влияния системы на бизнес
Посчитать убытки просто/
+/ +/ =/
Причины проблем
• Уязвимости в CMS и модулях • Дыры в настройках хостинга • Компьютер владельца сайта • Слабые или незащищенные пароли • Настройки по умолчанию Игнорирование того факта, что о безопасности сайта нужно позаботиться заблаговременно
Владелец сайта звонит разработчику
• Из-‐за вируса на сайте или блокировки в поисковых системах теряет деньги, заканчиваются звонки, продажи падают.
• Оперативная реакция разработчика на внезапную проблему маловероятна
• Разработчик отвлекается от других проектов
Особенности реагирование разработчиков на проблемы
• Быстрая реакция не всегда возможна (бизнес-‐процессы и приоритеты другие)
• У студий не всегда есть ресурсы, опыт, сотрудники и инструменты чтобы эффективно решать проблемы, связанные с безопасностью
• Такая работа «неудобна» для студии • Аврал, потому что нет проактивного мониторинга
Как мониторить и предотвращать проблемы
• Постоянно проверять работоспособность сайта • Проверять сайт на вирусы и по черным спискам • Делать резервное копирование • Регулярно обновлять cms и модули • Искать скрытые угрозы – уязвимости, редиректы • Внедрить политику безопасности
Выводы
• Сейчас возрастают риски для интернет-‐бизнеса • Интернет-‐угрозы приводят бизнес к убыткам • Web-‐студии – первые, кто реагирует на проблему клиента и пытаются помогать, но не всегда могут
• У студий не всегда есть ресурсы и опыт, чтобы быстро и эффективно решить проблему
• Для повышения безопасности нужны постоянный мониторинг, дополнительная внешняя защита