Embed Size (px)
DESCRIPTION
Citation preview
Дмитрий Евтеев
Реальные опасности виртуального мира.
О чем пойдет речь
Речь пойдет...
•О проблемах с безопасностью, которые встречаются у всех•Об отношении к этим проблемам
•Мы будем опираться на статистические данные, полученные путем тесного многолетнего общения и работы с вами
http://www.ptsecurity.ru/lab/analytics/
Минимальный уровень нарушителя для полного контроля над критичными ресурсами
Наиболее распространенные уязвимости
Идентификаторы и пароли
•Их МНОГО и они уязвимы•«Пароли», Человеки, Технологии,
Продукты, Организационные составляющие и т.п.
Уязвимости веб-приложений•ВСЕ веб-приложения уязвимы•Их ОЧЕНЬ много и они присутствуют
практически во всех компонентах информационной системы
Уязвимости веб-приложений по степени риска (доля сайтов, %)
Не эффективное разграничение сетевых сервисов•Вероятность успешной атаки
возрастает с числом доступных систем и сервисов атакующему•Системы X Сервисы X Сервисы других
систем && Пользователей, при этом Системы/Сервисы/Пользователи постоянно пополняются
Управление доступом/использование привилегий•Проблема «Бога»•Проблема множества систем X на
количество пользователей•Шифрование?•Обслуживание инфраструктуры•Установка «закладок»
Необходимость в публикации приложений для доступа «из вне»•Сервисы инфраструктуры•Популяризация «мобильного офиса»•Удаленный доступ для
администратора сети•Клиенты и партнеры• Забытый «мусор» на периметре
Уровень привилегий, полученных от лица внешнего нарушителя
Более подробно -http://www.ptsecurity.ru/lab/analytics/
•Статистика по результатам тестирований на проникновение 2011-2012•Статистика уязвимостей в веб-приложениях за 2012 год (с 2006 года)•Статистика уязвимостей систем дистанционного банковского обслуживания 2011-2012
