ݺߣ

ݺߣShare a Scribd company logo

Основной вектор атак — приложения

Download as PPTX, PDF
ЭЛВИС-ПЛЮС
ЭЛВИС-ПЛЮС

В 2014 году в 35% инцидентов были задействованы уязвимости веб-приложений

1 of 21
Downloaded 11 times
Красавина Евгения Менеджер по продвижению продуктов Positive Technologies Основной вектор атак – приложения InfoSecurity Russia 2015
Статистика инцидентов В 2014 году в 35% инцидентов были задействованы уязвимости веб-приложений Источник: «Verizon 2014 Data Breach Investigations Report» ptsecurity.com 2
«Наши разработчики пишут безопасный код» Некоторые – да, но:  Далеко не все (теория != практика)  Качество зависит от:  квалификации  мотивации  аврала  состояния здоровья  времени года, погоды  и еще 100500 причин …  Нет контроля за качеством кода  «Сдал и забыл» ptsecurity.com 3
Защита приложений Что мы хотим:  Знать об уязвимости приложения наверняка  И желательно – раньше злоумышленников  Инструменты предотвращения эксплуатации уязвимостей приложения  А не только средства защиты сети или сервера  Защищать приложение еще до выхода исправления  Защищать от эксплуатации еще не известных уязвимостей ptsecurity.com 4
PT AppSec Suite – Вместе, а не «Вместо»  Application Security Suite - инструменты, для комплексного решения проблем с уязвимостями приложений Design Development Deployment Maintenance Upgrade  PT AI  PT AF  PT AF & PT AI  PT AF & PT AI  Защита на всех этапах жизненного цикла – от разработки до снятия с эксплуатации  PT Application Inspector – анализатор исходных кодов  PT Application Firewall – решение для защиты корпоративных приложений ptsecurity.com 5
Наш подход  Акцент на обнаружении уязвимостей, а не на проблемах с оформлением  Режим “Big Red Button”  Решение как для команды разработки, так и для команды ИБ  Наличие рабочего приложения не обязательно  Минимальное количество ложных срабатываний  Автоматическая генерация эксплойтов ptsecurity.com 6
Application Inspector in action  Компоненты PT AI  Комбинация методов SAST/DAST/IAST  Модуль абстрактной интерпретации исходного кода  Частичное выполнение кода (symbolic execution и dynamic slices)  Модуль Pattern Matching в AST  Модуль fingerprint  Модуль анализа конфигурации  Встроенный BlackBox сканер для динамического анализа ptsecurity.com 7
Большая красная кнопка! ptsecurity.com 8
Генерация эксплойтов ptsecurity.com 9
Проверка конфигурации  Анализ конфигурации  Уровня сервера (httpd.conf, server.xml …)  Уровня приложения (.htapasswd, web.xml, web.config…)  Использование security best practice ptsecurity.com 10
Признаки закладки  Выглядит как обычная уязвимость  File system access  Authentication bypass  Database manipulation  Имеет «секретное» условие  Жестко вшитый пароль  Специальные функции API  Отдельная ветвь исполнения ptsecurity.com 11
Интеграция  Web Application Firewall  SIEM  Компоненты цикла безопасной разработки  Репозитории исходного кода  Сервера сборки  Баг-трекеры ptsecurity.com 12
Что дальше?  Попросить разработчика исправить уязвимости  Нет разработчика  Нет оснований  Нет нужной оперативности  Исправить уязвимости самому  Нет исходных кодов (в полном объеме)  Нет знаний и опыта  Нет времени ptsecurity.com 13
PT Application Firewall  Обнаруживает и предотвращает атаки, направленные на приложения  Блокирует до 75% 0-day атак «из коробки»  Испытан в крупных проектах  Самообучение, виртуальные патчи  Обнаружение веб-фрода  Контроль утечек данных и активности ботов  Железный или виртуальный ПАК ptsecurity.com 14
PT AF – быстрый старт  Автоматически  Самообучающийся движок HMM: трафик/логи  Нормализация: passive Web-server/Framework fingerprint  Политика защиты содержимого (CSP)  Автоматизированно  Модель приложения: анализ отчета PT AI, типизация входных данных  Виртуальные патчи: эксплойты PT AI, результаты MaxPatrol Web Engine  Полуавтоматизированно  CSRF, защита Cookie, защита URL  Защита DOM XSS  Правила «из коробки» для некоторых приложений  Встроенный сканер для проверки уязвимостей ptsecurity.com 15
Готовые профили «из коробки»  Корпоративные приложения  Неоперативные обновления – большая лазейка для уязвимости  Часто серьезно кастомизируются  CMS  Хорошо известные уязвимости  Плагины/расширения/сторонние элементы  PT AF  Встроенная база знаний (черный/белый список) для распространенных приложений  Автоматическая настройка (passive fingerprint)  ERP (SAP Portal), CMS (включая плагины), ДБО ptsecurity.com 16
Alerts, alerts, alerts…  45000 событий в неделю на 5 ГБ/20 веб-сайтах  Шум  Спам  Сканеры  Роботы  Среди них лишь 500 действительно важных  Ручные проверки уязвимости  Успешные атаки  Компрометации ptsecurity.com 17
Цепочки атак ptsecurity.com 18
Web-фрод  Анализ поведения клиента  Подбор пароля, многочисленные входы в систему, подписки на услуги  Агент AJAX  Fingerprinting клиентов  Репутационные сервисы  Встроенные  Внешняя подписка API  Контроль ботов  Обнаружение веб-индексирования  Контроль корректного использования robots.txt  Обнаружение «шпионских» расширений (Google analytics и т.п.) ptsecurity.com 19
Преимущества связки из Application Inspector и Application Firewall ptsecurity.com 20
Основной вектор атак — приложения

More Related Content

Основной вектор атак — приложения

  • 1. Красавина Евгения Менеджер по продвижению продуктов Positive Technologies Основной вектор атак – приложения InfoSecurity Russia 2015
  • 2. Статистика инцидентов В 2014 году в 35% инцидентов были задействованы уязвимости веб-приложений Источник: «Verizon 2014 Data Breach Investigations Report» ptsecurity.com 2
  • 3. «Наши разработчики пишут безопасный код» Некоторые – да, но:  Далеко не все (теория != практика)  Качество зависит от:  квалификации  мотивации  аврала  состояния здоровья  времени года, погоды  и еще 100500 причин …  Нет контроля за качеством кода  «Сдал и забыл» ptsecurity.com 3
  • 4. Защита приложений Что мы хотим:  Знать об уязвимости приложения наверняка  И желательно – раньше злоумышленников  Инструменты предотвращения эксплуатации уязвимостей приложения  А не только средства защиты сети или сервера  Защищать приложение еще до выхода исправления  Защищать от эксплуатации еще не известных уязвимостей ptsecurity.com 4
  • 5. PT AppSec Suite – Вместе, а не «Вместо»  Application Security Suite - инструменты, для комплексного решения проблем с уязвимостями приложений Design Development Deployment Maintenance Upgrade  PT AI  PT AF  PT AF & PT AI  PT AF & PT AI  Защита на всех этапах жизненного цикла – от разработки до снятия с эксплуатации  PT Application Inspector – анализатор исходных кодов  PT Application Firewall – решение для защиты корпоративных приложений ptsecurity.com 5
  • 6. Наш подход  Акцент на обнаружении уязвимостей, а не на проблемах с оформлением  Режим “Big Red Button”  Решение как для команды разработки, так и для команды ИБ  Наличие рабочего приложения не обязательно  Минимальное количество ложных срабатываний  Автоматическая генерация эксплойтов ptsecurity.com 6
  • 7. Application Inspector in action  Компоненты PT AI  Комбинация методов SAST/DAST/IAST  Модуль абстрактной интерпретации исходного кода  Частичное выполнение кода (symbolic execution и dynamic slices)  Модуль Pattern Matching в AST  Модуль fingerprint  Модуль анализа конфигурации  Встроенный BlackBox сканер для динамического анализа ptsecurity.com 7
  • 10. Проверка конфигурации  Анализ конфигурации  Уровня сервера (httpd.conf, server.xml …)  Уровня приложения (.htapasswd, web.xml, web.config…)  Использование security best practice ptsecurity.com 10
  • 11. Признаки закладки  Выглядит как обычная уязвимость  File system access  Authentication bypass  Database manipulation  Имеет «секретное» условие  Жестко вшитый пароль  Специальные функции API  Отдельная ветвь исполнения ptsecurity.com 11
  • 12. Интеграция  Web Application Firewall  SIEM  Компоненты цикла безопасной разработки  Репозитории исходного кода  Сервера сборки  Баг-трекеры ptsecurity.com 12
  • 13. Что дальше?  Попросить разработчика исправить уязвимости  Нет разработчика  Нет оснований  Нет нужной оперативности  Исправить уязвимости самому  Нет исходных кодов (в полном объеме)  Нет знаний и опыта  Нет времени ptsecurity.com 13
  • 14. PT Application Firewall  Обнаруживает и предотвращает атаки, направленные на приложения  Блокирует до 75% 0-day атак «из коробки»  Испытан в крупных проектах  Самообучение, виртуальные патчи  Обнаружение веб-фрода  Контроль утечек данных и активности ботов  Железный или виртуальный ПАК ptsecurity.com 14
  • 15. PT AF – быстрый старт  Автоматически  Самообучающийся движок HMM: трафик/логи  Нормализация: passive Web-server/Framework fingerprint  Политика защиты содержимого (CSP)  Автоматизированно  Модель приложения: анализ отчета PT AI, типизация входных данных  Виртуальные патчи: эксплойты PT AI, результаты MaxPatrol Web Engine  Полуавтоматизированно  CSRF, защита Cookie, защита URL  Защита DOM XSS  Правила «из коробки» для некоторых приложений  Встроенный сканер для проверки уязвимостей ptsecurity.com 15
  • 16. Готовые профили «из коробки»  Корпоративные приложения  Неоперативные обновления – большая лазейка для уязвимости  Часто серьезно кастомизируются  CMS  Хорошо известные уязвимости  Плагины/расширения/сторонние элементы  PT AF  Встроенная база знаний (черный/белый список) для распространенных приложений  Автоматическая настройка (passive fingerprint)  ERP (SAP Portal), CMS (включая плагины), ДБО ptsecurity.com 16
  • 17. Alerts, alerts, alerts…  45000 событий в неделю на 5 ГБ/20 веб-сайтах  Шум  Спам  Сканеры  Роботы  Среди них лишь 500 действительно важных  Ручные проверки уязвимости  Успешные атаки  Компрометации ptsecurity.com 17
  • 19. Web-фрод  Анализ поведения клиента  Подбор пароля, многочисленные входы в систему, подписки на услуги  Агент AJAX  Fingerprinting клиентов  Репутационные сервисы  Встроенные  Внешняя подписка API  Контроль ботов  Обнаружение веб-индексирования  Контроль корректного использования robots.txt  Обнаружение «шпионских» расширений (Google analytics и т.п.) ptsecurity.com 19
  • 20. Преимущества связки из Application Inspector и Application Firewall ptsecurity.com 20