�ݺ�ߣ

ProtoSecurity –
безопасность и
отказоустойчивость
веб-приложений
Денис Безкоровайный
CISSP, CISA, CCSK
ProtoSecurity
denis@protosecurity.ru
https://protosecurity.ru
+7 (499) 647-5967, доб.101
+7 (916) 999-3964

• Первый SECaaS-провайдер в России,
специализирующийся на безопасности и
производительности веб-приложений.
• Создает индивидуализированные системы
для защиты от хакерских атак, выявления
уязвимостей и анализа производительности
веб-приложений по модели Security as a
service для компаний по всему миру.
• Свыше 10 лет опыта проектов по
информационной безопасности и аудита
для российских и иностранных компаний
из финансовой отрасли, e-commerce,
транспортной индустрии и других
секторов.
• В 2015 году признана лидирующим
партнером Imperva-Incapsula в категориях
System Integration и Value added resellers
по регионам Eastern Europe и Asia по
мнению мировых независимых
аналитиков Forrester Research.
https://protosecurity.ru 2
О компании ProtoSecurity

О компании ProtoSecurity
Команда ProtoSecurity — это профессионалы с
многолетним опытом в области информационной
безопасности и веб-разработки. Среди наших
сотрудников сертифицированные
• специалисты по информационной безопасности
(CISSP),
• специалисты по безопасности облачных
вычислений (CCSK),
• аудиторы информационных систем (CISA),
• аудиторы информационной безопасности по
стандарту Банка России
ProtoSecurity – Золотой партнер компаний-
лидеров ИБ-рынка:
Imperva-Incapsula
WhiteHat Security
New Relic

Среди тех, кто нам доверяет

Основные направления деятельности компании
Защита веб- и
мобильных
приложений
Аудит безопасности
сайтов, исходного кода
и мобильных
приложений
Мониторинг
производительности
приложений и
серверов
Security as a Service – безопасность как услуга

Security as a Service от ProtoSecurity
Быстрый старт
Использование модели Security as a Service позволяет
избежать внедрений в классическом смысле, переложить
вопросы защиты и оптимизации производительности веб-
сайтов Заказчика на SECaaS-провайдера, освободив тем самым
ресуры ИТ или ИБ отдела Заказчика и получить результаты в
первые дни, а не месяцы.
Экономия ресурсов ваших специалистов
ProtoSecurity выделяет каждому Заказчику персонального
Security Manager. Личный консультант по ИБ всегда в курсе
событий Заказчика. Он тщательно изучает особенности
архитектуры веб-сайта и бизнес-процессы Заказчика, вносит
изменения в конфигурацию защиты под определенные
события безопасности, консультирует по вопросам
бесперебойной работы приложения.

Низкая полная стоимость владения
Отсутствие капитальных затрат. Низкий TCO. Экономия за
счет эффекта масштаба и облачной архитектуры
используемых решений. Освобождение человеческих
ресурсов Заказчика.
Индивидуальные системы безопасности,
аудита и мониторинга
Для построения индивидуальных систем, ProtoSecurity проводит
комплекс работ по анализу веб-инфраструктуры Заказчика,
архитектуры веб-сайта и бизнес-процессов, поиску «узких» мест веб-
приложения, моделированию атак. С учетом полученных
результатов настраиваются продукты по защите, аудиту и
мониторингу веб-приложений. Создаются индивидуальные правила
безопасности для защиты от целевых атак, проводится ручной
анализ уязвимостей и ранжирование результатов аудита, создаются
дашборды с важными для Заказчика метриками
производительности.

Комплексные SECaaS решения
Для построения систем безопасности, аудита и мониторинга веб-
приложений ProtoSecurity использует монолитные продукты,
сочетающие в себе множество функций. Все функции в рамках одного
продукта разрабатываются одним разработчиком, а не разными
вендорами. Это позволяет избежать проблем несовместимости,
сложных интеграций, неудобства управления из разных консолей и
получения разрозненных уведомлений.

5%
6%
6%
6%
8%
11%
11%
15%
16%
24%
26%
29%
47%
56%
70%
Фингерпринтинг
Недостаточная процедура восстановления пароля
Иъекции SQL-кода
Вредоносное использование функционала
Индексация директорий
Недостаточная авторизация
Фиксация сессии
Угадываемое расположение ресурса
Вредоносное использование переадресации URL
Межсайтовая подделка запросов (CSRF)
Подмена контента
Возможность перебора паролей
Межсайтовый скриптинг
Утечка информации
Недостаточная защита траспортного уровня
Большинство веб-сайтов уязвимы
Вероятность обнаружения
уязвимостей
в веб-приложениях, по типам
https://protosecurity.ru 9WhiteHat Security Website Security Statistics Report 2015

Из облака
ProtoSecurity решает основные проблемы
эксплуатации и безопасности веб-сайтов
• Защита от DDOS
• Защита от сложных целевыххакерских атак
• Защита от бот-трафика
• Выявление уязвимостей и предотвращение ихэксплуатации
Безопасность
• Мониторинг производительности
• Поиск узких мест в производительности приложений
• Отслеживание взаимодействия пользователей с веб-сайтом
• CDN, кэширование, оптимизация
Производительность
• Балансировка нагрузки
• Сценарии восстановления после сбоев
• Мониторинг доступности серверов
• Повышение отказоустойчивости
Доступность

Система защиты и повышения
отказоустойчивости веб-сайтов

ProtoSecurity проводит комплекс работ для построения эффективной
системы защиты и повышения отказоустойчивости веб-приложений
Анализирует веб-инфраструктуру,
архитектуру и бизнес-логику веб-
приложения.
Осуществляет поиск "узких мест
приложения, анализирует
страницы аутентификации,
характер трафика и
пользовательское поведение.
Подключает и настраивает
продукт для защиты от DDoS,
хакерских атак и повышения
отказоустойчивости
(6 решений в 1 продукте).
Разрабатывает индивидуальные
правила безопасности для
защиты от целевых атак.
Проводит расследование
инцидентов безопасности.
Анализирует логи системы
безопасности сайта для
выявления схемы проведения
атаки и моделирует атаки,
эксплуатирующие узкие места
веб-приложения.
Осуществляет круглосуточный
мониторинг безопасности и
доступности веб-сайтов.
Отправляет уведомления
Заказчику о важных событиях
безопасности.
Оперативно реагирует на
подозрительные всплески
трафика и другую нетипичную
активность, своевременным
регулированием настроек защиты
и разработкой специальных
правил безопасности.
Выделяет каждому Заказчику
персонального Security Manager.
Личный консультант по ИБ всегда
в курсе событий Заказчика.
Консультирует по любым
вопросам работы приложения.

Как работает подключаемый ProtoSecurity продукт по защите от
DDoS, хакерских атак и повышению отказоустойчивости
Фильтрация и
оптимизация трафика
Ваши серверы
Хакеры
Боты
DDoS
Спаммеры
Легитимные пользователи
Web Application Firewall
Балансировка
нагрузкиОптимизация
и Ускорение Защита
от DDoS

Многоступенчатая защита веб-сайта
Защита от DDOS
Блокируются все типы атак на всех уровнях модели OSI – от L2 до L7 . Защита работает постоянно и в автоматическом
режиме.
Контроль доступа
Возможность блокировки доступа для нежелательных стран, IP адресов или типов посетителей – позволяет исполнять
политику заказчика в действии.
Защита от посетителей-ботов
Блокируются посещения вредоносных ботов (сканеров уязвимостей, парсеров контента, спаммеров и тд).
Защита от взлома и эксплуатации уязвимостей
Web Application Firewall блокирует попытки взлома и атак, использующих как известные, так и сверхновые уязвимости.
Собственные правила безопасности
Эксперты ProtoSecurity создают индивидуальные правила безопасности для блокирования целевых атак, использующих
особенности веб-приложения Заказчика и уязвимости уровня бизнес-логики.
Двухфакторная аутентификация
Защита доступа к административной панели сайта и корпоративным интернет-порталам компании, даже если пароль
администратора был украден, перехвачен или изменен злоумышленниками.

Повышение отказоустойчивости веб-сайта
Ускорение загрузки веб-сайта
Благодаря комбинации высокоскоросной глобальной сети фильтрации, кэширования и оптимизации контента, скорость загрузки веб-сайта максимально
увеличивается, а нагрузка на сервер уменьшается.
Кэширование всех типов контента
Кэширование динамического, статическогоконтента и на стороне браузера). Асинхронная проверка (валидизация).
Оптимизация контента и передачи данных
Решение оптимизирует взаимодействие пользователя с вашим веб-сайтом или приложением. Используются мириадыконтента и оптимизация передачи
данныхдля ускорения отрисовки страницыи минимизациизадержек. А также сжатие контента, сжатие файлов, сжатие изображений, оптимизациясессий,
оптимизация и подключение TCP pre-pooling.
Балансировка нагрузки
Путем мониторинга фактическихHTTPзапросов к каждому серверу в режиме реального времени, решение эффективнораспределяет нагрузку между
серверами на уровне 7. Анализ фактическогопотока трафика к каждому серверу, гарантирует оптимальное использование ресурсов.
Сценарии восстановления после сбоев (переключение на резервный дата-центр)
Автоматическое переключение между основным и резервным серверами (или дата-центрами)обеспечивает высокую доступность и ускорение
восстановления после сбоев. При обнаружении недоступности основногосервера, происходит автоматическое перенаправление трафика крезервному.
Круглосуточныймониторинг доступности серверов и оповещения
Отслеживание состояния и производительности серверов и центров обработки данныхв режиме реального времени, а также отправка уведомлений об
изменении состояния сервера, позволяет направлять трафиктолькок жизнеспособному веб-серверу.

Характеристики подключаемого продукта
• 6 решений в 1 монолитном продукте от одного разработчика
Все решения разработаны в рамках одного продукта и одним разработчиком, а не являются
интегрированными от разных вендоров
• Защита от DDOS: сайта и сервера, инфраструктуры, DNS, IP
• Web Application Firewall сертифицированный советом PCI CSS
• Защита от ботов
• Двухфакторная аутентификация
• CDN, Кэширование и Оптимизация
• Балансировка нагрузки
• Гарантия высокой доступности
• SLA 99.999% - это гарантия высокой доступности веб-сайта, прописанная в договоре с
Заказчиком.

• Глобальная сеть центров очистки трафика для фильтрации DDOS-атак
любого масштаба и ускорения доставки контента
• 28 дата центров по всему миру
• 2000+ Гбит/с мощность фильтрующей сети
• Ускорение загрузки веб-сайта
• Защита от любого типа DDoS атак
• Защита от атак сетевого и прикладного уровня, атак на протоколы
• Защита инфраструктуры от DDoS атак
(email, FTP, VoIP, и тд.)
• Защищает веб-серверы и DNS-серверы от заражения
и участия в DDOS атаках на другие ресурсы

• Защита от атак на уровне приложения
• Автоматическое обнаружение и отражение прикладных атак
• Защита от взлома и эксплуатации уязвимостей
• Возможность создавать собственные правила защиты от целевых атак
• Виртуальный патчинг
• Защита страниц аутентификации
• Менее 0.01% ложных срабатываний
• Выполнение требований PCI DSS
• Круглосуточный мониторинг доступности серверов

Аудит безопасности

Трансформирование безопасности веб-приложений
От
• Безопасности ради
соответствия
• Разовых проверок
• Тактических задач
защиты отдельных
веб-сайтов
К
• Стратегическому видению безопасности
• Обеспечению безопасности на каждом этапе SDLC
• Непрерывному выявлению уязвимостей
• Стратегической программе для защиты всех веб-активов
• Применению метода “Hack Yourself First” на каждом этапе
SDLC

Комплексный подход к выявлению уязвимостей
Статический анализ кода
• Ежедневные сканирования по расписанию или по
требованию
• Проверка результатов аналитиками по безопасности
для устранения ложных срабатываний
• Без передачи исходного кода в полном объеме
Динамический анализ
• Постоянные и параллельные проверки
• Проверка результатов аналитиками по безопасности
для устранения ложных срабатываний
• Безопасно для боевой среды
• Просто подключается
Разработка Тестирование Эксплуатация
Аудит безопасности веб и мобильных приложений

Динамический анализ веб-приложений (DAST)
• Тестирование «снаружи внутрь» – тестирование
безопасности открытых интерфейсов веб-
приложения
• Тестирование на проникновение
• Имитация действий злоумышленников
• Комплексная автоматизированная платформа
анализ и ручной специалистами по анализу угроз
• Интеграция с другими системами безопасности
• Ручная проверка находок сканера – отсеивание
ложных срабатываний
• 100% проверенные данные

Анализ уязвимостей бизнес-логики приложения
Ищет уязвимости в процессах взаимодействия
пользователей с веб-приложением, например:
• Процесс регистрации аккаунта
• Процесс авторизации в приложении
• Процесс восстановления пароля
• Процессы покупки и совершения целевого действия
• Возможные транзакции пользователя
• Настройка аккаунта/профиля пользователя
• Обратная связь, загрузка файлов
• Управление сессией
• Поиск, история транзакций, повтор транзакций и другие.

Статический анализ исходного кода
• Тестирование «изнутри наружу» - анализ исходных кодов
приложения с помощью алгоритмов, детектирующих
потенциальные уязвимости и подозрительные паттерны
• Ручная проверка результатов сканирования
аналитиками по безопасности – отсеивание ложных
срабатываний
• Проверка кода так часто, как необходимо
• Встраивание в процесс разработки
• Подключение к репозиториям кода
• Интеграция с различными bug tracking системами
• Спроектировано для Agile разработки
• Защита интелектуальной собственности - Ваш код
остается у Вас (только часть отсылается аналитикам)

Статический анализ исходного кода
• Поддержка широкого спектра языков и
фреймворков:
• Java, .NET, PHP, Objective C
• Неограниченное количество проверок
• Неограниченное количество учетных записей
• Интегрируется в процесс разработки

Как работает статический анализ
Инфраструктура Заказчика Центр исследования угроз
Виртуальная машина
(сканирование)
Репозиторий
исходного кода
Аналитики
Веб-консоль
управления сервисом
XML API
Проверка результатов,
отсеивание ложных срабатываний
приоритезация и ранжирование
Отсылка
подозрительных
фрагментов кода

Аудит безопасности мобильных приложений
• Аудит iOS и Android приложений
• Проверка исходного кода мобильного приложения и серверных API
• Обнаружение критических уязвимостей,
включая OWASP Mobile Top 10
• Проверенные результаты сканирования:
• Ноль ложных срабатываний, снижение нагрузки
на разработчиков
• Результатыприоритезированы по степени риска
• Анализ протоколов взаимодействия
между приложением и сервером

Клиентское
приложение
Сетевые
коммуникации
Серверная сторона
Статический анализ кода
мобильного приложения
и серверных интерфейсов
Динамический анализ
приложения и
коммуникаций
Ручное тестирование
экспертами по
безопасности
Как проводится тестирование
мобильных приложений

Преимущества системы аудита безопасности от ProtoSecurity
Методология оценки
• Собственная технология сканирования
• Ручной анализ уязвимостей экспертами
по безопасности
• Анализ веб-инфраструктуры,
архитектурыи бизнес-логики веб-
приложения
• Настройка сканера с учетом специфики
веб-приложения
100% проверка
• Отсутствие ложныхсрабатываний
• Приоритезация рисков
• Ручное ранжирование результатов
SaaS (годовая подписка)
• Неограниченное количествопроверок
и пользователей
• Цена за веб-приложение
XML API
• Интеграция с существующими
процессами
• Bug tracking системы– Jira и другие
• Governance, Risk and Compliance – Archer
идругие
• Web Application Firewalls – Imperva, F5,
Sourcefire
Простое решение для
сложной проблемы
• Нужны только URL и логин/пароль
• Не нужножелезо/софт на стороне
Заказчика
• Не нужныдополнительные тренинги
• Все вопросы решает Secaas-провайдер

ProtoSecurity – первый SECaaS-провайдер в России и СНГ, специализированный на
защите веб-приложений, создает индивидуализированные системы для защиты от
хакерских атак, выявления уязвимостей и анализа производительности веб-
приложений по модели Security as a Service для компаний по всему миру.
Преимущества сотрудничества с ProtoSecurity:
• Отсутствие внедрений в классическом смысле
• Результаты в первые дни, а не месяцы
• Высвобождение ресурсов ИТ и ИБ-подразделений
• Индивидуализированные системы безопасности и мониторинга
производительности
• Технологии от лидеров ИБ-рынка
• Персональный подход – личный Security Manager

Задайте вопрос
или запросите пилот
info@protosecurity.ru
https://protosecurity.ru/

�ݺ�ߣ

ProtoSecurity - сервисы для безопасности и отказоустойчивости веб-приложений

More Related Content

ProtoSecurity - сервисы для безопасности и отказоустойчивости веб-приложений