Embed Size (px)
Citation preview
Как обеспечить безопасность клиентских сайтов
в процессе оказания услуг
// SEO Conference 2016
Григорий Земсков, компания «Ревизиум»
Безопасность сайта требует внимания
Не до безопасности— Агентство, студия, SEO-специалисты
• постоянно работает с сайтом
• профессионально (или не очень :) решает задачи
• не задумывается о безопасности (не до нее / нет компетенций)
— Владелец сайта
• постоянно или не очень работает с сайтом
• решает бизнес-задачи, нет технической экспертизы
• не задумывается о безопасности (не до нее)
Проблема неуправляемых доступов
• IM: skype, whatsapp, viber, соц.сети, sms
• своя CRM или сервис
• чаты на сайтах, фриланс-сайтах
• хостинг клиента
Как «утекают» пароли
Правильные вопросы про безопасность— Кто отвечает за безопасность сайта?
— Кто и как управляет доступами?
— Как обеспечить безопасную передачу и хранение доступов?
— Что такое «гигиена безопасности»?
— Чем грозит взлом и заражение сайта?
— Как снизить риски? …
Возможные проблемы клиента
Примеры взломанных сайтов
«Японский дорвей»
Дефейс
Хулиганство
Шантаж
Вирусы
Как чаще всего взламывают— Перехватывают (крадут) пароли от FTP, «админки»
— Подбирают пароли от FTP , «админки»
— Взламывают через инструменты специалистов на сайте (adminer, phpmyadmin, filemanager,…)
— Раскрывают доступы в результате «социальной инженерии»
— Взламывают из-за ошибок в настройке сайта и сервера
— Компрометируют из-за «нелицензионных» плагинов и шаблоновили
— Атакуют через уязвимости в ПО (около 80% взломов)
Повторный взлом сайтов— Не поменяли пароли
— Восстановили сайт из резервной копии
— Перенесли на prod-сервер зараженную версию с dev-сервера
— Отключили защитуили
— Одна из причин, по которой взломали в первый раз
Причины проблем
Комплексная безопасность сайта
=Технические средства
+ Организационные меры
Организационные меры— Делаем безопасным рабочее место
— Защищаем сетевое подключение (канал данных)
— Управляем доступами к домену, сайту и хостингу
— Выбираем надежных подрядчиков, работа по договору
— Разрабатываем памятку безопасности и контролируем исполнение предписаний
— Инструктируем сотрудников и подрядчиков
— Выполняем регулярный аудит безопасности
Рабочее место— Выбираем операционную систему
— Регулярно обновляем компоненты ОС (браузер, плагины браузера, софт для работы с сайтом)
— Устанавливаем антивирусное ПО
— Регулярно выполняем полную проверку антивирусом
— Используем менеджеры паролей
— Отдельный рабочий компьютер или терминал
— Устанавливаем мониторинговые (например, антифишинговые) расширения
Сетевое подключение— Выбираем безопасное подключение
(роутер, 3G/LTE)
— Используем VPN для открытых [WIFI] сетей
Кто управляет доступами?
— Если разовое обращение - клиент
— Если разработка/сопровождение - агентство или веб-студия (менеджер)
Управление доступами— Выдаем сотрудникам и (суб)подрядчикам доступы с минимальными полномочиями на минимально-необходимый срок
— Меняем / деактивируем доступы сразу после завершения работы
— Регулярно меняем пароли от панели хостинга, FTP, SSH, админ-панели сайта, базы данных
— Устанавливаем сложные и разные пароли
— Включаем логгирование операций в панелях и логи сервисов
— Включаем двухфакторную аутентификацию, где возможно
— Используем SSH ключи для подключения вместо стандартной парольной аутентификации
— Не используем FTP (используем SFTP, крайний случай FTPS)
Инструктаж— «Инструкция по безопасности» сайта:
— Знакомим (суб)подрядчиков с предписаниями и памяткой по безопасной работе с сайтом
— Проверяем выполнение предписаний
• Используемое ПО при работе с сайтами
• Варианты сетевых подключений к серверу
• Работа с доступами (прием, передача, хранение, смена)
• Работа с продуктовой и тестовой версиями сайта
• Работа со средствами защиты и безопасными настройками сайта
• Тестирование и сдача проекта
• Реагирование на инциденты (что делать, в каком порядке, к кому обращаться)
Резервное копирование— Вырабатываем стратегию резервного копирования:
— Выбираем место для хранения (не на сервере)
— Проверяем резервные копии
• период
• интервал
• количество копий
• автоматизация
Аудит безопасности— Проводим аудит перед публичным анонсом проекта
— Выполняем регулярные проверки на вирусы, взлом в процессе работы
— Проводим аудит после работы (суб)подрядчиков
— Своими силами или привлекая ИБ специалистов
Диагностика— Сканирование файлов: https://revisium.com/ai/
— Сканирование страниц сайта: https://rescan.pro
— Проверка базы данных
— Сканер «AI-BOLIT»
— Сервис ReScan.Pro
Лирическое отступление про пароли
Печальная статистика— 4,7% пользователей используют пароль password;
— 8,5% пользователей выбирают один из двух вариантов: password или 123456;
— 9,8% пользователей выбирают: password, 123456 или 12345678;
— 14% пользователей выбирают один из 10 самых популярных паролей;
— 40% пользователей выбирают один из 100 самых популярных паролей;
— 79% пользователей выбирают один из 500 самых популярных паролей;
— 91% пользователей выбирает один из 1000 самых популярных паролей.
«Словарные» пароли
Правила работы с паролями— Длинный (>8 знаков)
— Сложный (цифры, буквы, спецсимволы)
— Храниться в менеджере паролей или надежном хранилище (не в FTP клиенте, не в браузере)
— Передаваться безопасно
— Регулярно меняться
Неудобная безопасность
Безопасность и комфорт— Безопасность - это ограничения и запреты
— Безопасность - это неудобно
— Задача - найти соотношение между безопасностью и удобством работы
— Решение: Автоматизация рутины, мониторинг, готовые предписания и безопасность как аутсорс
Резюме— Кто управляет безопасностью сайтов?
— Внедрение организационных мер
— Памятка / инструктаж сотрудников и подрядчиков
— Учетные записи, бэкапы, аудит и мониторинг
Спасибо! Вопросы?Григорий Земсков
Компания «Ревизиум»
http://revisium.com
http://facebook.com/Revisium
http://twitter.com/revisium
Telegram - @sitesecurity
