Positive Hack Days. Комаров. Мастер-класс: Анализ защищенности SCADA
Анализ защищенности систем ДБО и интернет-банкинга
-
Upload
alex-babenko -
Category
Documents
-
view
1.320 -
download
4
Transcript of Анализ защищенности систем ДБО и интернет-банкинга
![Page 1: Анализ защищенности систем ДБО и интернет-банкинга](https://reader035.fdocuments.us/reader035/viewer/2022062300/557ecc8ed8b42a706f8b4c20/html5/thumbnails/1.jpg)
Бабенко Алексейстарший аудитор
«Информационная безопасность 2011: противодействие внешним и внутренним угрозам»г. Алмата, 18 марта 2011 года, отель Intercontinental
Защита ДБО и интернет-банков
![Page 2: Анализ защищенности систем ДБО и интернет-банкинга](https://reader035.fdocuments.us/reader035/viewer/2022062300/557ecc8ed8b42a706f8b4c20/html5/thumbnails/2.jpg)
По данным Global Security Report 2011, Trustwave
Что интересует злоумышленника?
![Page 3: Анализ защищенности систем ДБО и интернет-банкинга](https://reader035.fdocuments.us/reader035/viewer/2022062300/557ecc8ed8b42a706f8b4c20/html5/thumbnails/3.jpg)
Пути проникновения
По данным Global Security Report 2011, Trustwave
![Page 4: Анализ защищенности систем ДБО и интернет-банкинга](https://reader035.fdocuments.us/reader035/viewer/2022062300/557ecc8ed8b42a706f8b4c20/html5/thumbnails/4.jpg)
Эволюция векторов атаки
1980199020002010
физический доступ
сетевой доступ
e-mail, приложения, Wi-Fi
клиентские приложения, мобильные технологии, социальные сети
По данным Global Security Report 2011, Trustwave
![Page 5: Анализ защищенности систем ДБО и интернет-банкинга](https://reader035.fdocuments.us/reader035/viewer/2022062300/557ecc8ed8b42a706f8b4c20/html5/thumbnails/5.jpg)
Ни у кого не может возникнуть необходимость иметь компьютер в своем доме
«»
Кен Олсон – основатель и президент корпорации Digital Equipment Corp., 1977 г
![Page 6: Анализ защищенности систем ДБО и интернет-банкинга](https://reader035.fdocuments.us/reader035/viewer/2022062300/557ecc8ed8b42a706f8b4c20/html5/thumbnails/6.jpg)
По данным Annual Security Report 2010, Cisco
Спрос рождает предложение
![Page 7: Анализ защищенности систем ДБО и интернет-банкинга](https://reader035.fdocuments.us/reader035/viewer/2022062300/557ecc8ed8b42a706f8b4c20/html5/thumbnails/7.jpg)
Нас это не касается?
По данным Global Security Report 2011, Trustwave
![Page 8: Анализ защищенности систем ДБО и интернет-банкинга](https://reader035.fdocuments.us/reader035/viewer/2022062300/557ecc8ed8b42a706f8b4c20/html5/thumbnails/8.jpg)
Нас это не касается?
![Page 9: Анализ защищенности систем ДБО и интернет-банкинга](https://reader035.fdocuments.us/reader035/viewer/2022062300/557ecc8ed8b42a706f8b4c20/html5/thumbnails/9.jpg)
Особенности систем ДБО и интернет-банкинга
• Практически неограниченный доступ к системе из сети Интернет
• Работа с платежной информацией• Большое и динамически меняющиеся
количество пользователей• Ориентировка на любой уровень ИБ-
грамотности пользователя• Собственные разработки без учета
практик безопасного программирования
![Page 10: Анализ защищенности систем ДБО и интернет-банкинга](https://reader035.fdocuments.us/reader035/viewer/2022062300/557ecc8ed8b42a706f8b4c20/html5/thumbnails/10.jpg)
Модель нарушителя
• С правами в системе:– клиент системы– оператор системы– администратор системы
• С полным отсутствием прав:– подготовленный злоумышленник– слабо подготовленный злоумышленник– злоумышленник, реализующий атаку типа
«Отказ в обслуживании».– инсайдер провайдера.
![Page 11: Анализ защищенности систем ДБО и интернет-банкинга](https://reader035.fdocuments.us/reader035/viewer/2022062300/557ecc8ed8b42a706f8b4c20/html5/thumbnails/11.jpg)
Оценка приложения
• Оценка архитектуры системы, dataflow с позиции безопасности
• Оценка безопасности конфигурации окружения системы– настройки веб-сервера, СУБД и др.
• Оценка защищённости приложения (black/grey/white box) от наиболее опасных и популярных атак:– OWASP Top 10– SANS CWE Top 25– CERT Secure Coding
![Page 12: Анализ защищенности систем ДБО и интернет-банкинга](https://reader035.fdocuments.us/reader035/viewer/2022062300/557ecc8ed8b42a706f8b4c20/html5/thumbnails/12.jpg)
Работы по анализу защищенности
Анализ уровня безопасности системы
Формирование плана
Контроль исправления найденных уязвимостей
Устранение несоответствий
— техническая документация, схемы сети— исходные коды— конфигурации системных компонентов— тестовый доступ