Григорий ЗемсковКомпания “Ревизиум”

РАЗУМНАЯ БЕЗОПАСНОСТЬ САЙТА

Как защитить сайт от взлома и создать при этом комфортные условия работы с ним.

Цель – поиск баланса комфорт/защищенность

• Защита сайта – это ограничение свобод, “затягивание гаек” техническими средствами

• Безопасность сайта – это дисциплина, требующая выполнение инструкций

*** Обратная сторона ***• Ограничивается или ломается

функциональность сайта• Неудобное администрирование –

недовольство владельца/администратора/разработчиков

ЗАЧЕМ ЗАЩИЩАТЬ САЙТ?Стоит ли задумываться про безопасность?

• “Мой сайт не интересен хакерам…”• “Мой сайт работает на

коммерческой CMS на надежном хостинге…”

• “Зачем защищать, если есть бэкап?...”

• “Мои программисты уже что-то там безопасно настроили…”

• “Я регулярно меняю пароли…”

Заблуждения

• Любой сайт представляет интерес для хакера: как ресурс или как инструмент для заработка

• Любой сайт – постоянно под атаками• Стоимость взлома – копейки• Доступность инструментов и

методологий• Безнаказанность хакеров

Реальность

Как взламывают

ЗАЩИЩАЕМ САЙТ

Технические средства

Комплексная безопасность

Организационные меры

1 2+

• Формируем безопасное окружение• Изолируем сайты на хостинге• Обновляем ОС, CMS и плагины• Активируем проактивную защиту

(внутренний WAF)• Выполняем Server Hardening• Выполняем CMS Hardening• Устанавливаем двухфакторную

аутентификацию на все аккаунты• Встаем под WAF и ANTI-DDOS

сервисы• Настраиваем грамотное резервное

копирование• Запускаем мониторинг

Технические

• Делаем безопасными рабочие места

• Защищаем каналы передачи данных

• Выбираем надежных подрядчиков• Управляем доступами к домену,

сайту и хостингу• Инструктируем сотрудников и

подрядчиков• Работаем по договору• Разрабатываем памятку

безопасности и контролируем исполнение предписаний

• Выполняем регулярный аудит безопасности

Организационные

• Настройки сервера и ПО на нем не меняются

• CMS, плагины не обновляются• Нет обмена данными с внешними

ресурсами• Изменяется только контент сайта• С сайтом работает постоянная группа

людей

• Перенастраивается сервер, появляются “соседи” на аккаунте

• DEV/PROD версии сайта, что-то постоянно дорабатывается, обновляется CMS

• Активный обмен данными с внешними ресурсами, активное обновление контента

• Периодически привлекаются разные подрядчики

VS

Типы проектовДинамичный проектСтатичный проект

• Перестала работать часть функций • Нет доступа к некоторым

страницам/разделам сайта• Перестал работать обмен с

внешними ресурсами• Сайт начал “тормозить”• Не работают задачи по расписанию

• Не выполняются предписания, рекомендации по безопасной работе сотрудниками и подрядчиками

• Возрастают накладные расходы на поддержку сайта

О важности тестированияОрганизационные проблемыТехнические проблемы

• Раскрывают доступы• Небезопасное рабочее место• Небезопасный сетевой канал• Не учитывают элементы защиты на

сайте• Вносят новые уязвимости• Размещают вредоносный код• Оставляют инструменты для работы

с БД, файловые менеджеры, чувствительные файлы на хостинге

• Объекты социальной инженерии

О сотрудниках и

подрядчиках

Для каждого сайта можно подобрать вариант защиты –с максимальной безопасностью и комфортной работой.

• Автоматизация рутины, но регулярная проверка

• Готовые предписания, сценарии, руководства

• Мониторинг на разных уровнях• Участие специалистов по ИБ

Делаем жизнь проще

Спасибо за внимание! Вопросы?