ВЕБИНАР: Риски утечки конфиденциальных данных клиентов. Какие мы ошибки допускаем и что делать?
•Download as PPTX, PDF•
0 likes•108 views
Презентация с вебинара по безопасному пользованию облачными системами, популярными среди аутсорсинговых программистов.
ВЕБИНАР: Риски утечки конфиденциальных данных клиентов. Какие мы ошибки допускаем и что делать?
- 1. IT-Outsourcing - новая угроза кибер-безопасности клиентов Что мы делаем не так?
- 2. О чем доклад Почему Outsourcing опасен для клиента? Где и какие ошибки совершаются? Что делать (не делать)?
- 4. Какие СЗИ использует клиент, а какие вы? Клиент: NG Firewall CDN and AntiDDos Web Application Firewall Sandbox Database Firewall EDR DLP IAM SIEM SOC IRP ….. IT подрядчик: Firewall Antispam Antivirus
- 5. Какие риски несет клиентам Outsourcing? • Легкая точка входа в периметр • Доставка зловредного кода • Утечки конфиденциальной информации • Более слабые политики безопасности
- 7. Reconnaissance Информация о подрядчиках доступна в открытом доступе: • Пресс-релизы • Testimonials • CV кандидатов • Социальные сети • Форумы и ленты • Фото мероприятий
- 8. Кому вы нужны? 1. Kiddies, freakers - начинающие 2. APT-группы 3. Hacktivism 4. Кибер-терроризм 5. Кибер-разведка
- 10. HackerOne 2018 – статистика этичных хакеров Самые частые проблемы в IT: - Утечки КИ - CSS
- 11. Часто по-умолчанию эти системы делают посты публичными Избегайте пользование этими системами Если очень надо, не передавайте закрытую информацию
- 12. Можно случайно открыть сайт для всех желающих, будьте аккуратны! Что произойдет: - Поисковики проиндексируют контент доски - Archive.org сделает публично- доступную копию для машины времени
- 13. Google Docs, Google Forms - 4 июля 2018 – ЯндексГейт – Яндекс проиндексировал Google Docs - Другие поисковики также индексируют Google Docs
- 14. • AWS S3 – стабильный источник утечек • Проблема с правильностью конфигурации • “Any Authenticated AWS User’ read, write, or read/write access to a bucket” = открытый доступ • Данные могут утечь через веб, через API • Даже правильные аккаунты доступны в сети • Теоретически возможен полный перебор адресов (63 символа), перебор по словарю • Бесплатный сервис по проверке: https://aws.amazon.com/premiumsupport/trustedadvisor/best-practices/
- 15. Слак пытается навязать расшаривание доступа на сотрудников всей организации
- 16. online GIT tools • Код вне периметра - риск • Возможна компрометация доступа программиста • Крепкие пароли • Не используйте пароли в других системах • DevOps -желательно сканировать коды на malware перед Build
- 17. Публичные утечки – HaveIbeenpwned.com • Часто логины и пароли одних систем подходят к другим • Пример: монетизация взломов через Spotify и Netflix • Никогда не делайте рабочие пароли похожими на личные • Проверьте личные ящики на http://HaveIbeenpwned.com
- 18. Interesting files/dorks • Interesting Files известных фреймворков • Веб-сервисы по-умолчанию • Безопасность веб-сервисов • Известные дорки Наиболее полный источник рисков: https://github.com/Bo0oM/fuzz.txt/blob/master/fuzz.txt
- 19. • Информация о местах работы • Используемые технологии, роли в проектах • Отзывы • Публичные фотографии, посты о работе • Личные интересы • Эти данные собираются на этапе Reconnaissance • Последующие spear phishing, атаки на оборудование
- 20. Самые интересные: OWASP Zap – background scanner OWASP Top 10 report OWASP Application Security Verification Standard Project ……….
- 21. State of the art
- 22. Стандарты • ISO 2700x (27034) • NIST Cyber Security Framework
Editor's Notes
- #18: Пример с MuravevaAlla86@mail.ru