Разумная безопасность сайта
Transcript of Разумная безопасность сайта
Григорий ЗемсковКомпания “Ревизиум”
РАЗУМНАЯ БЕЗОПАСНОСТЬ САЙТА
Как защитить сайт от взлома и создать при этом комфортные условия работы с ним.
Цель – поиск баланса комфорт/защищенность
• Защита сайта – это ограничение свобод, “затягивание гаек” техническими средствами
• Безопасность сайта – это дисциплина, требующая выполнение инструкций
*** Обратная сторона ***• Ограничивается или ломается
функциональность сайта• Неудобное администрирование –
недовольство владельца/администратора/разработчиков
ЗАЧЕМ ЗАЩИЩАТЬ САЙТ?Стоит ли задумываться про безопасность?
• “Мой сайт не интересен хакерам…”• “Мой сайт работает на
коммерческой CMS на надежном хостинге…”
• “Зачем защищать, если есть бэкап?...”
• “Мои программисты уже что-то там безопасно настроили…”
• “Я регулярно меняю пароли…”
Заблуждения
• Любой сайт представляет интерес для хакера: как ресурс или как инструмент для заработка
• Любой сайт – постоянно под атаками• Стоимость взлома – копейки• Доступность инструментов и
методологий• Безнаказанность хакеров
Реальность
Как взламывают
ЗАЩИЩАЕМ САЙТ
Технические средства
Комплексная безопасность
Организационные меры
1 2+
• Формируем безопасное окружение• Изолируем сайты на хостинге• Обновляем ОС, CMS и плагины• Активируем проактивную защиту
(внутренний WAF)• Выполняем Server Hardening• Выполняем CMS Hardening• Устанавливаем двухфакторную
аутентификацию на все аккаунты• Встаем под WAF и ANTI-DDOS
сервисы• Настраиваем грамотное резервное
копирование• Запускаем мониторинг
Технические
• Делаем безопасными рабочие места
• Защищаем каналы передачи данных
• Выбираем надежных подрядчиков• Управляем доступами к домену,
сайту и хостингу• Инструктируем сотрудников и
подрядчиков• Работаем по договору• Разрабатываем памятку
безопасности и контролируем исполнение предписаний
• Выполняем регулярный аудит безопасности
Организационные
• Настройки сервера и ПО на нем не меняются
• CMS, плагины не обновляются• Нет обмена данными с внешними
ресурсами• Изменяется только контент сайта• С сайтом работает постоянная группа
людей
• Перенастраивается сервер, появляются “соседи” на аккаунте
• DEV/PROD версии сайта, что-то постоянно дорабатывается, обновляется CMS
• Активный обмен данными с внешними ресурсами, активное обновление контента
• Периодически привлекаются разные подрядчики
VS
Типы проектовДинамичный проектСтатичный проект
• Перестала работать часть функций • Нет доступа к некоторым
страницам/разделам сайта• Перестал работать обмен с
внешними ресурсами• Сайт начал “тормозить”• Не работают задачи по расписанию
• Не выполняются предписания, рекомендации по безопасной работе сотрудниками и подрядчиками
• Возрастают накладные расходы на поддержку сайта
О важности тестированияОрганизационные проблемыТехнические проблемы
• Раскрывают доступы• Небезопасное рабочее место• Небезопасный сетевой канал• Не учитывают элементы защиты на
сайте• Вносят новые уязвимости• Размещают вредоносный код• Оставляют инструменты для работы
с БД, файловые менеджеры, чувствительные файлы на хостинге
• Объекты социальной инженерии
О сотрудниках и
подрядчиках
Для каждого сайта можно подобрать вариант защиты –с максимальной безопасностью и комфортной работой.
• Автоматизация рутины, но регулярная проверка
• Готовые предписания, сценарии, руководства
• Мониторинг на разных уровнях• Участие специалистов по ИБ
Делаем жизнь проще
Спасибо за внимание! Вопросы?