Upload
djlucefer
View
93
Download
5
Embed Size (px)
Citation preview
Агентство Активного АудитаМы знаем ВСЕ об информационной безопасности
Оценка защищенности информационных систем и процессов, наибольшие уязвимости с точки
зрения информационных рисков
Ермолаев Евгений, СISМ, CEH
Технический директор ООО “Агентство активного аудита”
Агентство Активного АудитаМы знаем ВСЕ об информационной безопасностиСтатистика уязвимостей
19.02.2015 © ООО «Агентство активного аудита» 2
Общее количество зарегистрированных уязвимостей по данным сайта
http://www.cvedetails.com с 1999 по 2014
Агентство Активного АудитаМы знаем ВСЕ об информационной безопасностиCWE TOP 25
19.02.2015 © ООО «Агентство активного аудита» 3
Score ID Name
93.8 CWE-89 Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')
83.3 CWE-78Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection')
79.0 CWE-120 Buffer Copy without Checking Size of Input ('Classic Buffer Overflow')77.7 CWE-79 Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')76.9 CWE-306 Missing Authentication for Critical Function76.8 CWE-862 Missing Authorization75.0 CWE-798 Use of Hard-coded Credentials75.0 CWE-311 Missing Encryption of Sensitive Data74.0 CWE-434 Unrestricted Upload of File with Dangerous Type
73.8 CWE-807 Reliance on Untrusted Inputs in a Security Decision
73.1 CWE-250 Execution with Unnecessary Privileges70.1 CWE-352 Cross-Site Request Forgery (CSRF)
69.3 CWE-22 Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal')
68.5 CWE-494 Download of Code Without Integrity Check67.8 CWE-863 Incorrect Authorization
66.0 CWE-829 Inclusion of Functionality from Untrusted Control Sphere
65.5 CWE-732 Incorrect Permission Assignment for Critical Resource
64.6 CWE-676 Use of Potentially Dangerous Function
64.1 CWE-327 Use of a Broken or Risky Cryptographic Algorithm
62.4 CWE-131 Incorrect Calculation of Buffer Size
61.5 CWE-307 Improper Restriction of Excessive Authentication Attempts
61.1 CWE-601 URL Redirection to Untrusted Site ('Open Redirect')61.0 CWE-134 Uncontrolled Format String60.3 CWE-190 Integer Overflow or Wraparound59.9 CWE-759 Use of a One-Way Hash without a Salt
Агентство Активного АудитаМы знаем ВСЕ об информационной безопасностиOWASP top 10
19.02.2015 © ООО «Агентство активного аудита» 4
Агентство Активного АудитаМы знаем ВСЕ об информационной безопасностиСтатистика уязвимостей
19.02.2015 © ООО «Агентство активного аудита» 5
Общее количество уязвимостей за каждый год с 1999 по 2014 по данным сайта
http://www.cvedetails.com
Агентство Активного АудитаМы знаем ВСЕ об информационной безопасностиСтатистика уязвимостей
19.02.2015 © ООО «Агентство активного аудита» 6
Почему уязвимостей не становится меньше:
Безопасность
Цена
Функциональность
Скорость разработки
Простота в использовании
Агентство Активного АудитаМы знаем ВСЕ об информационной безопасности
Причины слабой защищенности в Украине (опыт аудитов)
19.02.2015 © ООО «Агентство активного аудита» 7
1. Непонимание руководством возможных последствий от рисков ИБ и заинтересованности в ИБ в целом.
2. Отсутствие системности в процессах ИБ
3. Большая и не отслеживаемая площадь атаки
Агентство Активного АудитаМы знаем ВСЕ об информационной безопасностиПричины слабой защищенности в Украине (опыт)
19.02.2015 © ООО «Агентство активного аудита» 8
1) Непонимание руководством возможных последствий от рисков ИБ и
заинтересованности в ИБ в целом. ИБ – как аппендицит. Примеры:
• Сайт по продаже услуг и товаров• Организована атака DDoS (атака большим количеством одновременных запросов) в момент
использования облачной защиты . Стоимость атаки - от 500 Уе в сутки.• Стоимость простоя сайта - 60 000 USD в сутки.
Отсутствие ответа от сайта во время тестовой атаки на 5 минут
Потенциально убытков на сотни тысяч USD. КПД – 12 000 %
Агентство Активного АудитаМы знаем ВСЕ об информационной безопасностиПричины слабой защищенности в Украине (опыт)
19.02.2015 © ООО «Агентство активного аудита» 9
1) Непонимание руководством возможных последствий от рисков ИБ и
заинтересованности в ИБ в целом. ИБ – как аппендицит. Примеры:
Готовая база данных клиентов для конкурентов – серьезный репутационный ущерб
• Взлом и доступ к критическим данным:
Списки клиентов (37443 записи в базе данных взломанного сайта) – убытки от переманивания клиентов, репутационныеубытки, атаки социнженерии, фишинг:
Персональные данные клиентов, база данных клиентов(закон о персональных данных)
Агентство Активного АудитаМы знаем ВСЕ об информационной безопасностиПричины слабой защищенности в Украине (опыт)
19.02.2015 © ООО «Агентство активного аудита» 10
1) Непонимание руководством возможных последствий от рисков ИБ и
заинтересованности в ИБ в целом. ИБ – как аппендицит. Примеры:
• Взлом и доступ к критическим данным:Стратегическое планирование
Агентство Активного АудитаМы знаем ВСЕ об информационной безопасностиПричины слабой защищенности в Украине (опыт)
19.02.2015 © ООО «Агентство активного аудита» 11
1) Непонимание руководством возможных последствий от рисков ИБ и
заинтересованности в ИБ в целом. ИБ – как аппендицит. Примеры:
• Взлом и доступ к критическим данным: - к ERP
Агентство Активного АудитаМы знаем ВСЕ об информационной безопасностиПричины слабой защищенности в Украине (опыт)
19.02.2015 © ООО «Агентство активного аудита» 12
1) Непонимание руководством возможных последствий от рисков ИБ и
заинтересованности в ИБ в целом. ИБ – как аппендицит. Примеры:
• Взлом и доступ к критическим данным:
Риски физической безопасностиПомещения архивовбухгалтерии(договора, судебные иски) не охраняются должным образом для предотвращения реальных попыток проникновения злоумышленниками:
Агентство Активного АудитаМы знаем ВСЕ об информационной безопасностиПричины слабой защищенности в Украине (опыт)
19.02.2015 © ООО «Агентство активного аудита» 13
1) Непонимание руководством возможных последствий от рисков ИБ и
заинтересованности в ИБ в целом. ИБ – как аппендицит. Примеры:
• Взлом и доступ к критическим данным:
Доступ к внутренним системам: нарушение бизнес-процессов, критических операций, очернение, шантаж, вандализм, безопасность персонала и т.д.
Агентство Активного АудитаМы знаем ВСЕ об информационной безопасностиПричины слабой защищенности в Украине (опыт)
19.02.2015 © ООО «Агентство активного аудита» 14
2) Отсутствие системности в процессах ИБ ( СУИБ)
• Отсутствие процессов обновлений и установки критических заплаток, управления уязвимостями, харденинга
Доступ к внутренним системам: нарушение бизнес-процессов, критических операций, очернение, шантаж, вандализм, безопасность персонала и т.д.
Агентство Активного АудитаМы знаем ВСЕ об информационной безопасностиПричины слабой защищенности в Украине (опыт)
19.02.2015 © ООО «Агентство активного аудита» 15
2) Отсутствие системности в процессах ИБ ( СУИБ)
• Отсутствие процесса обучения сотрудников – примеры
60% вводов от общей
рассылки
337!!! вводов паролей от
пользователей
Топ и средний
менеджмент,
бухгалтерия, ИТ
Пользователи
оставляли
ДОМЕННЫЕ !!!
Учетные записи
Агентство Активного АудитаМы знаем ВСЕ об информационной безопасностиПричины слабой защищенности в Украине (опыт)
19.02.2015 © ООО «Агентство активного аудита» 16
2) Отсутствие системности в процессах ИБ ( СУИБ)
• Отсутствие процесса обучения сотрудников – примеры
Агентство Активного АудитаМы знаем ВСЕ об информационной безопасностиПричины слабой защищенности в Украине (опыт)
19.02.2015 © ООО «Агентство активного аудита» 17
2) Отсутствие системности в процессах ИБ ( СУИБ)
• Отсутствие стандартов безопасной разработки приложений ( secure development lifecycle)
XSS
Агентство Активного АудитаМы знаем ВСЕ об информационной безопасностиПричины слабой защищенности в Украине (опыт)
19.02.2015 © ООО «Агентство активного аудита» 18
2) Отсутствие системности в процессах ИБ ( СУИБ)
• Отсутствие стандартов безопасной разработки приложений ( secure development lifecycle)
SQL injection
Агентство Активного АудитаМы знаем ВСЕ об информационной безопасностиПричины слабой защищенности в Украине (опыт)
19.02.2015 © ООО «Агентство активного аудита» 19
2) Отсутствие системности в процессах ИБ ( СУИБ)
• Один из тестируемых онлайн-сервисов предоставлял возможно контролировать размер комиссии за денежный перевод.
Управление логикой
Перевод на 1000 грн5% комиссии
=1000 + 50 грн= 1050 списаных средств
• Отсутствие стандартов безопасной разработки приложений ( secure development lifecycle)
Перевод на 1000 грн-100% комиссии
=1000 - 1000 грн= 0 списаных средств
Перевод на 1000 грн-200% комиссии
=1000 - 2000 грн= 1000 грн бонуса
Агентство Активного АудитаМы знаем ВСЕ об информационной безопасностиПричины слабой защищенности в Украине (опыт)
19.02.2015 © ООО «Агентство активного аудита» 20
2) Отсутствие системности в процессах ИБ ( СУИБ)
• Отсутствие процесса анализа рисков ИБ
Абсолютное непонимание руководством полной картины, неэффективная ИБ, принятие неправильных решений, растрата бюджета.
Агентство Активного АудитаМы знаем ВСЕ об информационной безопасностиПричины слабой защищенности в Украине (опыт)
19.02.2015 © ООО «Агентство активного аудита» 21
3) Большая и не отслеживаемая площадь атаки
• Непонимание всех сервисов – точек входа для взлома
Пример списка сервисов:
Агентство Активного АудитаМы знаем ВСЕ об информационной безопасностиПричины слабой защищенности в Украине (опыт)
19.02.2015 © ООО «Агентство активного аудита» 22
3) Большая и не отслеживаемая площадь атаки
• Непонимание всех сервисов – точек входа для взлома пример
http://93.93.93.93/student/ - сайт разработки студентов на основном веб-сервере компании
Агентство Активного АудитаМы знаем ВСЕ об информационной безопасностиПричины слабой защищенности в Украине (опыт)
19.02.2015 © ООО «Агентство активного аудита» 23
3) Большая и не отслеживаемая площадь атаки
• Непонимание всех точек входа для взлома – эффект слабого звена
Агентство Активного АудитаМы знаем ВСЕ об информационной безопасности
• Ермолаев Евгений, СISМ, CEH
• Технический директор ООО “Агентство активного аудита”