Статистика по результатам тестирований на проникновение и анализа защищенности веб-приложений 2011-2012

Дмитрий Евтеев

http://www.ptsecurity.ru/lab/analytics/

Статистика по результатам тестирований на проникновение 2011-2012

Статистика уязвимостей в веб-приложениях за 2012 год (с 2006 года)

Статистика уязвимостей систем дистанционного банковского обслуживания 2011-2012

Аналитика Positive Technologies

Тестирование на проникновение – это один из методов проведения аудита информационной безопасности, который при расширении соответствующих границ позволяет получить оценку состояния процессов информационной безопасности на принципиально новом качественном уровне.

Тестирование на проникновение

Пентест - это запустить троянчика на компьютере генерального директора.

Пентест в отличии от аудита ИБ бесполезен.

Пентест бесполезен для Бизнеса.

Пентест - это имитация действий злоумышленника.

Заблуждения дилетантов про пентесты

Позитивное тестирование на проникновение

ЗаказчикФормирование

требований, определение границ

проведения работ

Менеджер проекта

Управление проектом

Группа экспертовСбор информации

АналитикАнализ результатов оценки

защищенности, оформление отчетных документов

Группа экспертовИнвентаризация сети,

идентификация сервисов

Группа экспертовИдентификация уязвимостей:

инструментальное сканирование и ручные

методы

Группа экспертовЭксплуатация уязвимостей:

получение доступа, повышение привилегий

Группа экспертовОценка защищенности

веб-приложений

Анализ защищенности с новым уровнем

привилегий

Группа экспертовОценка защищенности

беспроводных сетей

Отчет

Система трекинга

Система автоматизации социотехнических

проверок

База знаний по уязвимостям и методам эксплутации

Система тестирования

Координатор проекта

Управление проектом

(технические аспекты)

Координатор проектаУправление проектом (технические аспекты),

контроль качества

Эксперты в различных областях (SCADA, ERP, и др.)

привлекаются при необходимости

Презентация Группа экспертовОценка эффективности

программы осведомленности в вопросах ИБ Разработчики

Обновление базы знаний MaxPatrol

База знаний

Минимальный уровень нарушителя для полного контроля над критичными ресурсами

Наиболее распространенные уязвимости

Их МНОГО и они уязвимы

«Пароли», Человеки, Технологии, Продукты, Организационные составляющие и т.п.

Идентификаторы и пароли

ВСЕ веб-приложения уязвимы

Их ОЧЕНЬ много и они присутствуют практически во всех компонентах информационной системы

Уязвимости веб-приложений

Уязвимости веб-приложений по степени риска (доля сайтов, %)

Высокий Средний Низкий0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

45%

90%73%

Позитивный анализ приложений

ЗаказчикФормирование

требований, определение границ

проведения работ

ЭкспертАвтоматизированное

сканирование, проверка соответствия

конфигураций рекомендациям по

безопасной настройке

Группа экспертовАнализ PHP-кода

Система трекинга Группа экспертов Анализ JAVA, ASP.NET и

другого кода

Группа экспертовАнализ мобильных

приложений

АналитикАнализ результатов оценки

защищенности, оформление отчетных документов

Отчет

Веб-приложение Веб-приложение

Веб-приложение

Мобильное приложение

Менеджер проектаУправление проектом

(организационные вопросы)

Архитектор проектаУправление проектом (технические аспекты)

Наиболее распространенные уязвимости

Fingerp

rinting

Cross-

Site Sc

ripting

Brute Fo

rce

SQL I

njection

Cross-

Site Request

Forg

ery

Credential/S

ession Pre

diction

Serve

r Misc

onfiguration

Information Le

akage

Path Trave

rsal

URL Redire

ctor A

buse0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

73%

63%

46%

33% 31% 30% 30%24%

18% 18%

Доля уязвимых сайтов для разных языков программирования

ASP.NET Java Perl PHP0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

10%

15%

29%

83%

90%

100%

76%

92%

80%

62%

88%

63%

Высокий Средний Низкий

Характерные уязвимости для сайтов на различных языках программирования

PHP Доля сайтов ASP.NET Доля сайтов Java Доля сайтов

Cross-Site Request Forgery

73%Cross-Site Scripting

39%Insufficient Authorization

41%

SQL Injection 61%Cross-Site Request Forgery

35%Cross-Site Request Forgery

35%

Cross-Site Scripting

43%Insufficient Anti-automation

35%Application Misconfiguration

29%

Insufficient Anti-automation

42% SQL Injection 22%Insufficient Authentication

29%

Path Traversal 42%Application Misconfiguration

17% OS Commanding 29%

Доля сайтов по максимальному уровню критичности уязвимостей

ASP.NET

Java

Perl

PHP

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

10%

15%

29%

83%

80%

85%

53%

17%

10%

18%

Распределение уязвимостей по уровням риска в зависимости от типа CMS

Собственной разработки

Свободные

Коммерческие

25%

25%

7%

70%

72%

89%

5%

3%

4%

Высокий Средний Низкий

Демка

Вероятность успешной атаки возрастает с числом доступных систем и сервисов атакующему

Системы X Сервисы X Сервисы других систем && Пользователей, при этом Системы/Сервисы/ Пользователи постоянно пополняются

Не эффективное разграничение сетевых сервисов

Проблема «Бога»

Проблема множества систем X на количество пользователей

Обслуживание инфраструктуры

Шифрование?

Установка «закладок»

Управление доступом/использование привилегий

Сервисы инфраструктуры

Популяризация «мобильного офиса»

Удаленный доступ для администратора сети

Клиенты и партнеры

Забытый «мусор» на периметре…

Необходимость в публикации приложений для доступа «из вне»

Уровень привилегий, полученных от лица внешнего нарушителя

Демка

http://www.ptsecurity.ru/lab/analytics/

Статистика по результатам тестирований на проникновение 2011-2012

Статистика уязвимостей в веб-приложениях за 2012 год (с 2006 года)

Статистика уязвимостей систем дистанционного банковского обслуживания 2011-2012

Более подробно

Спасибо за внимание!

sdevteev@gmail.comhttp://devteev.blogspot.comhttps://twitter.com/devteev