ݺߣ

ݺߣShare a Scribd company logo

Земсков - Как обеспечить безопасность клиентских сайтов в процессе оказания услуг

SEO Conference
SEO Conference

#seoconf

1 of 34
Download to read offline
Как обеспечить безопасность клиентских сайтов 
 в процессе оказания услуг // SEO Conference 2016
 
 Григорий Земсков, компания «Ревизиум»
Безопасность сайта требует внимания
Не до безопасности — Агентство, студия, SEO-специалисты • постоянно работает с сайтом • профессионально (или не очень :) решает задачи • не задумывается о безопасности (не до нее / нет компетенций) — Владелец сайта • постоянно или не очень работает с сайтом • решает бизнес-задачи • не задумывается о безопасности (не до нее)
«Чувствительные» данные • email • IM: skype, whatsapp, viber, соц.сети, sms • своя CRM или сервис • чаты на сайтах, фриланс-сайтах • хостинг клиента
Как «утекают» пароли
Правильные вопросы — Кто отвечает за безопасность сайта? — Кто и как управляет доступами? — Как обеспечить безопасную передачу и хранение доступов? — Что такое «гигиена безопасности»? — Чем грозит взлом и заражение сайта? — Как снизить риски? …
Если ничего не делать…
Примеры из жизни
«Японский дорвей»
Дефейс
Хулиганство
Шантаж
Вирусы
Как чаще всего взламывают — Перехватывают (крадут) пароли от FTP, «админки» — Подбирают пароли от FTP , «админки» — Взламывают через инструменты специалистов на сайте (adminer, phpmyadmin, filemanager,…) — Раскрывают доступы в результате «социальной инженерии» — Взламывают из-за ошибок в настройке сайта и сервера — Компрометируют из-за «нелицензионных» плагинов и шаблонов
 
 или — Атакуют через уязвимости в ПО
Повторный взлом сайтов — Не поменяли пароли — Восстановили сайт из резервной копии — Перенесли на prod-сервер зараженную версию с dev-сервера — Отключили защиту
 
 или — Одна из причин, по которой взломали в первый раз
Причины проблем
Комплексная безопасность сайта = Технические средства + Организационные меры
Организационные меры — Делаем безопасным рабочее место — Защищаем сетевое подключение (канал данных) — Управляем доступами к домену, сайту и хостингу — Выбираем надежных подрядчиков, работа по договору — Разрабатываем памятку безопасности и контролируем исполнение предписаний — Инструктируем сотрудников и подрядчиков — Выполняем регулярный аудит безопасности
Рабочее место — Выбираем операционную систему — Регулярно обновляем компоненты ОС (браузер, плагины браузера, софт для работы с сайтом) — Устанавливаем антивирусное ПО — Регулярно выполняем полную проверку антивирусом — Используем менеджеры паролей — Отдельный рабочий компьютер или терминал — Устанавливаем мониторинговые (например, антифишинговые) расширения
Сетевое подключение — Выбираем безопасное подключение 
 (роутер, 3G/LTE)
 
 
 
 
 
 
 — Используем VPN для открытых [WIFI] сетей
Кто управляет доступами? — Если разовое обращение - 
 клиент — Если разработка/сопровождение - агентство или веб-студия (менеджер)
Управление доступами — Регулярно меняем пароли от панели хостинга, FTP, SSH, админ-панели сайта, базы данных — Устанавливаем сложные и разные пароли — Включаем логгирование операций в панелях и логи сервисов — Выдаем (суб)подрядчикам минимально необходимые доступы с минимальным сроком валидности — Меняем / деактивируем доступы сразу после завершения работы — Включаем двухфакторную аутентификацию, где возможно — Используем SSH ключи для подключения — Не используем FTP (используем SFTP, крайний случай FTPS)
Инструктаж — «Инструкция по безопасности» сайта:
 
 
 
 
 
 
 
 
 
 — Знакомим (суб)подрядчиков с предписаниями и памяткой по безопасной работе с сайтом — Проверяем выполнение предписаний • Используемое ПО • Варианты сетевых подключений к серверу • Работа с доступами (прием, передача, хранение, смена) • Работа с продуктовой и тестовой версиями сайта • Работа со средствами защиты и безопасными настройками сайта • Тестирование и сдача проекта • Реагирование на инциденты (что делать, в каком порядке, к кому обращаться)
Резервное копирование — Вырабатываем стратегию резервного копирования: 
 
 
 
 
 
 
 — Выбираем место для хранения (не на сервере) — Проверяем резервные копии • период • интервал • количество копий • автоматизация
Аудит безопасности — Проводим аудит перед публичным анонсом проекта — Выполняем регулярные проверки на вирусы, взлом в процессе работы — Проводим аудит после работы (суб)подрядчиков — Своими силами или привлекая ИБ специалистов
Диагностика — Сканирование файлов: https://revisium.com/ai/ 
 
 
 — Сканирование страниц сайта: https://rescan.pro 
 — Проверка базы данных — Сканер «AI-BOLIT» — Сервис ReScan.Pro
Пароли
Печальная статистика — 4,7% пользователей используют пароль password; — 8,5% пользователей выбирают один из двух вариантов: password или 123456; — 9,8% пользователей выбирают: password, 123456 или 12345678; — 14% пользователей выбирают один из 10 самых популярных паролей; — 40% пользователей выбирают один из 100 самых популярных паролей; — 79% пользователей выбирают один из 500 самых популярных паролей; — 91% пользователей выбирает один из 1000 самых популярных паролей.
«Словарные» пароли
Правила работы с паролями — Длинный (>8 знаков) — Сложный (цифры, буквы, спецсимволы) — Храниться в менеджере паролей или надежном хранилище (не в FTP клиенте, не в браузере) — Передаваться безопасно — Регулярно меняться
Неудобная безопасность
Безопасность и комфорт — Безопасность - это ограничения и запреты — Безопасность - это неудобно — Задача - найти соотношение между безопасностью и удобством работы — Автоматизация рутины, мониторинг, готовые предписания и безопасность как аутсорс
Резюме — Кто управляет безопасностью сайтов? — Внедрение организационных мер — Памятка / инструктаж сотрудников и подрядчиков — Учетные записи, бэкапы, аудит и мониторинг
Спасибо! Вопросы? Григорий Земсков Компания «Ревизиум» http://revisium.com http://facebook.com/Revisium http://twitter.com/revisium Telegram - @sitesecurity

Recommended

Как обеспечить безопасность клиентских сайтов
Как обеспечить безопасность клиентских сайтовКак обеспечить безопасность клиентских сайтов
Как обеспечить безопасность клиентских сайтов
revisium
Безопасность Joomla: теория и практика
Безопасность Joomla: теория и практикаБезопасность Joomla: теория и практика
Безопасность Joomla: теория и практика
revisium
Разумная безопасность сайта
Разумная безопасность сайтаРазумная безопасность сайта
Разумная безопасность сайта
revisium
"На Стачку" - Взлом сайта: 5 стадий принятия неизбежного
"На Стачку" - Взлом сайта: 5 стадий принятия неизбежного"На Стачку" - Взлом сайта: 5 стадий принятия неизбежного
"На Стачку" - Взлом сайта: 5 стадий принятия неизбежного
revisium
Выступление Ревизиум на ХостОбзор 2017
Выступление Ревизиум на ХостОбзор 2017Выступление Ревизиум на ХостОбзор 2017
Выступление Ревизиум на ХостОбзор 2017
revisium
Опыт организации тестирования безопасности Web приложений в компании
Опыт организации тестирования безопасности Web приложений в компанииОпыт организации тестирования безопасности Web приложений в компании
Опыт организации тестирования безопасности Web приложений в компании
SQALab
Почему хакеры выбирают WordPress. WordCamp 2017, Moscow.
Почему хакеры выбирают WordPress. WordCamp 2017, Moscow.Почему хакеры выбирают WordPress. WordCamp 2017, Moscow.
Почему хакеры выбирают WordPress. WordCamp 2017, Moscow.
revisium
Security zap and selenium
Security zap and seleniumSecurity zap and selenium
Security zap and selenium
Anton Shapin
Безопасность Joomla: мифы и реальность
Безопасность Joomla: мифы и реальностьБезопасность Joomla: мифы и реальность
Безопасность Joomla: мифы и реальность
revisium
Fuzzing - автоматическое тестирование безопасности
Fuzzing - автоматическое тестирование безопасностиFuzzing - автоматическое тестирование безопасности
Fuzzing - автоматическое тестирование безопасности
SQALab
Почему взламывают даже защищенные CMS на безопасном хостинге
Почему взламывают даже защищенные CMS на безопасном хостингеПочему взламывают даже защищенные CMS на безопасном хостинге
Почему взламывают даже защищенные CMS на безопасном хостинге
revisium
CloudsNN 2014. Демидов Александр. Заоблачная безопасность: как обойти чужие г...
CloudsNN 2014. Демидов Александр. Заоблачная безопасность: как обойти чужие г...CloudsNN 2014. Демидов Александр. Заоблачная безопасность: как обойти чужие г...
CloudsNN 2014. Демидов Александр. Заоблачная безопасность: как обойти чужие г...
Clouds NN
Positive Hack Days. Гуркин. Угрозы безопасности АСУ ТП
Positive Hack Days. Гуркин. Угрозы безопасности АСУ ТПPositive Hack Days. Гуркин. Угрозы безопасности АСУ ТП
Positive Hack Days. Гуркин. Угрозы безопасности АСУ ТП
Positive Hack Days
Check Point. Сергей Чекрыгин. "На шаг впереди"
Check Point. Сергей Чекрыгин. "На шаг впереди"Check Point. Сергей Чекрыгин. "На шаг впереди"
Check Point. Сергей Чекрыгин. "На шаг впереди"
Expolink
CheckPoint. Сергей Чекрыгин. "Check Pont. На шаг впереди"
CheckPoint. Сергей Чекрыгин. "Check Pont. На шаг впереди"CheckPoint. Сергей Чекрыгин. "Check Pont. На шаг впереди"
CheckPoint. Сергей Чекрыгин. "Check Pont. На шаг впереди"
Expolink
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Expolink
Под капотом Vulners
Под капотом VulnersПод капотом Vulners
Под капотом Vulners
Kirill Ermakov
Безопасность сессий в веб-приложениях: практическое применение
Безопасность сессий в веб-приложениях: практическое применениеБезопасность сессий в веб-приложениях: практическое применение
Безопасность сессий в веб-приложениях: практическое применение
SQALab
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Expolink
Доклад SiteSecure
Доклад SiteSecureДоклад SiteSecure
Доклад SiteSecure
Positive Hack Days
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Expolink
Этичный хакинг или пентестинг в действии
Этичный хакинг или пентестинг в действииЭтичный хакинг или пентестинг в действии
Этичный хакинг или пентестинг в действии
SQALab
Svyatoslav Login
Svyatoslav LoginSvyatoslav Login
Svyatoslav Login
Dakiry
Как взламывают сети государственных учреждений
Как взламывают сети государственных учрежденийКак взламывают сети государственных учреждений
Как взламывают сети государственных учреждений
Dmitry Evteev
Угрозы безопасности, которые будут мешать вам спокойно зарабатывать с сайта -...
Угрозы безопасности, которые будут мешать вам спокойно зарабатывать с сайта -...Угрозы безопасности, которые будут мешать вам спокойно зарабатывать с сайта -...
Угрозы безопасности, которые будут мешать вам спокойно зарабатывать с сайта -...
Joomla Secrets
История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...
Dmitry Evteev
Атаки на web-приложения. Основы
Атаки на web-приложения. ОсновыАтаки на web-приложения. Основы
Атаки на web-приложения. Основы
Positive Hack Days
Анализ уязвимостей ПО
Анализ уязвимостей ПОАнализ уязвимостей ПО
Анализ уязвимостей ПО
Sergey Borisov
Вязовская - Мобильное приложение, как канал привлечения новых клиентов
Вязовская - Мобильное приложение, как канал привлечения новых клиентовВязовская - Мобильное приложение, как канал привлечения новых клиентов
Вязовская - Мобильное приложение, как канал привлечения новых клиентов
SEO Conference
Васильев Семен - SEO в мире новостей
Васильев Семен - SEO в мире новостейВасильев Семен - SEO в мире новостей
Васильев Семен - SEO в мире новостей
SEO Conference

More Related Content

What's hot (20)

Безопасность Joomla: мифы и реальность
Безопасность Joomla: мифы и реальностьБезопасность Joomla: мифы и реальность
Безопасность Joomla: мифы и реальность
revisium
Fuzzing - автоматическое тестирование безопасности
Fuzzing - автоматическое тестирование безопасностиFuzzing - автоматическое тестирование безопасности
Fuzzing - автоматическое тестирование безопасности
SQALab
Почему взламывают даже защищенные CMS на безопасном хостинге
Почему взламывают даже защищенные CMS на безопасном хостингеПочему взламывают даже защищенные CMS на безопасном хостинге
Почему взламывают даже защищенные CMS на безопасном хостинге
revisium
CloudsNN 2014. Демидов Александр. Заоблачная безопасность: как обойти чужие г...
CloudsNN 2014. Демидов Александр. Заоблачная безопасность: как обойти чужие г...CloudsNN 2014. Демидов Александр. Заоблачная безопасность: как обойти чужие г...
CloudsNN 2014. Демидов Александр. Заоблачная безопасность: как обойти чужие г...
Clouds NN
Positive Hack Days. Гуркин. Угрозы безопасности АСУ ТП
Positive Hack Days. Гуркин. Угрозы безопасности АСУ ТПPositive Hack Days. Гуркин. Угрозы безопасности АСУ ТП
Positive Hack Days. Гуркин. Угрозы безопасности АСУ ТП
Positive Hack Days
Check Point. Сергей Чекрыгин. "На шаг впереди"
Check Point. Сергей Чекрыгин. "На шаг впереди"Check Point. Сергей Чекрыгин. "На шаг впереди"
Check Point. Сергей Чекрыгин. "На шаг впереди"
Expolink
CheckPoint. Сергей Чекрыгин. "Check Pont. На шаг впереди"
CheckPoint. Сергей Чекрыгин. "Check Pont. На шаг впереди"CheckPoint. Сергей Чекрыгин. "Check Pont. На шаг впереди"
CheckPoint. Сергей Чекрыгин. "Check Pont. На шаг впереди"
Expolink
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Expolink
Под капотом Vulners
Под капотом VulnersПод капотом Vulners
Под капотом Vulners
Kirill Ermakov
Безопасность сессий в веб-приложениях: практическое применение
Безопасность сессий в веб-приложениях: практическое применениеБезопасность сессий в веб-приложениях: практическое применение
Безопасность сессий в веб-приложениях: практическое применение
SQALab
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Expolink
Доклад SiteSecure
Доклад SiteSecureДоклад SiteSecure
Доклад SiteSecure
Positive Hack Days
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Expolink
Этичный хакинг или пентестинг в действии
Этичный хакинг или пентестинг в действииЭтичный хакинг или пентестинг в действии
Этичный хакинг или пентестинг в действии
SQALab
Svyatoslav Login
Svyatoslav LoginSvyatoslav Login
Svyatoslav Login
Dakiry
Как взламывают сети государственных учреждений
Как взламывают сети государственных учрежденийКак взламывают сети государственных учреждений
Как взламывают сети государственных учреждений
Dmitry Evteev
Угрозы безопасности, которые будут мешать вам спокойно зарабатывать с сайта -...
Угрозы безопасности, которые будут мешать вам спокойно зарабатывать с сайта -...Угрозы безопасности, которые будут мешать вам спокойно зарабатывать с сайта -...
Угрозы безопасности, которые будут мешать вам спокойно зарабатывать с сайта -...
Joomla Secrets
История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...
Dmitry Evteev
Атаки на web-приложения. Основы
Атаки на web-приложения. ОсновыАтаки на web-приложения. Основы
Атаки на web-приложения. Основы
Positive Hack Days
Анализ уязвимостей ПО
Анализ уязвимостей ПОАнализ уязвимостей ПО
Анализ уязвимостей ПО
Sergey Borisov
Безопасность Joomla: мифы и реальность
Безопасность Joomla: мифы и реальностьБезопасность Joomla: мифы и реальность
Безопасность Joomla: мифы и реальность
revisium
Fuzzing - автоматическое тестирование безопасности
Fuzzing - автоматическое тестирование безопасностиFuzzing - автоматическое тестирование безопасности
Fuzzing - автоматическое тестирование безопасности
SQALab
Почему взламывают даже защищенные CMS на безопасном хостинге
Почему взламывают даже защищенные CMS на безопасном хостингеПочему взламывают даже защищенные CMS на безопасном хостинге
Почему взламывают даже защищенные CMS на безопасном хостинге
revisium
CloudsNN 2014. Демидов Александр. Заоблачная безопасность: как обойти чужие г...
CloudsNN 2014. Демидов Александр. Заоблачная безопасность: как обойти чужие г...CloudsNN 2014. Демидов Александр. Заоблачная безопасность: как обойти чужие г...
CloudsNN 2014. Демидов Александр. Заоблачная безопасность: как обойти чужие г...
Clouds NN
Positive Hack Days. Гуркин. Угрозы безопасности АСУ ТП
Positive Hack Days. Гуркин. Угрозы безопасности АСУ ТПPositive Hack Days. Гуркин. Угрозы безопасности АСУ ТП
Positive Hack Days. Гуркин. Угрозы безопасности АСУ ТП
Positive Hack Days
Check Point. Сергей Чекрыгин. "На шаг впереди"
Check Point. Сергей Чекрыгин. "На шаг впереди"Check Point. Сергей Чекрыгин. "На шаг впереди"
Check Point. Сергей Чекрыгин. "На шаг впереди"
Expolink
CheckPoint. Сергей Чекрыгин. "Check Pont. На шаг впереди"
CheckPoint. Сергей Чекрыгин. "Check Pont. На шаг впереди"CheckPoint. Сергей Чекрыгин. "Check Pont. На шаг впереди"
CheckPoint. Сергей Чекрыгин. "Check Pont. На шаг впереди"
Expolink
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Expolink
Под капотом Vulners
Под капотом VulnersПод капотом Vulners
Под капотом Vulners
Kirill Ermakov
Безопасность сессий в веб-приложениях: практическое применение
Безопасность сессий в веб-приложениях: практическое применениеБезопасность сессий в веб-приложениях: практическое применение
Безопасность сессий в веб-приложениях: практическое применение
SQALab
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Expolink
Доклад SiteSecure
Доклад SiteSecureДоклад SiteSecure
Доклад SiteSecure
Positive Hack Days
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Expolink
Этичный хакинг или пентестинг в действии
Этичный хакинг или пентестинг в действииЭтичный хакинг или пентестинг в действии
Этичный хакинг или пентестинг в действии
SQALab
Svyatoslav Login
Svyatoslav LoginSvyatoslav Login
Svyatoslav Login
Dakiry
Как взламывают сети государственных учреждений
Как взламывают сети государственных учрежденийКак взламывают сети государственных учреждений
Как взламывают сети государственных учреждений
Dmitry Evteev
Угрозы безопасности, которые будут мешать вам спокойно зарабатывать с сайта -...
Угрозы безопасности, которые будут мешать вам спокойно зарабатывать с сайта -...Угрозы безопасности, которые будут мешать вам спокойно зарабатывать с сайта -...
Угрозы безопасности, которые будут мешать вам спокойно зарабатывать с сайта -...
Joomla Secrets
История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...
Dmitry Evteev
Атаки на web-приложения. Основы
Атаки на web-приложения. ОсновыАтаки на web-приложения. Основы
Атаки на web-приложения. Основы
Positive Hack Days
Анализ уязвимостей ПО
Анализ уязвимостей ПОАнализ уязвимостей ПО
Анализ уязвимостей ПО
Sergey Borisov

Viewers also liked (16)

Вязовская - Мобильное приложение, как канал привлечения новых клиентов
Вязовская - Мобильное приложение, как канал привлечения новых клиентовВязовская - Мобильное приложение, как канал привлечения новых клиентов
Вязовская - Мобильное приложение, как канал привлечения новых клиентов
SEO Conference
Васильев Семен - SEO в мире новостей
Васильев Семен - SEO в мире новостейВасильев Семен - SEO в мире новостей
Васильев Семен - SEO в мире новостей
SEO Conference
Васильев Дмитрий - Гибридный интернет-магазин
Васильев Дмитрий - Гибридный интернет-магазинВасильев Дмитрий - Гибридный интернет-магазин
Васильев Дмитрий - Гибридный интернет-магазин
SEO Conference
Инсаров - Использование мобильных приложений для оказания массовых услуг насе...
Инсаров - Использование мобильных приложений для оказания массовых услуг насе...Инсаров - Использование мобильных приложений для оказания массовых услуг насе...
Инсаров - Использование мобильных приложений для оказания массовых услуг насе...
SEO Conference
Шкляр - Создание и монетизация сайтов под США и РФ
Шкляр - Создание и монетизация сайтов под США и РФШкляр - Создание и монетизация сайтов под США и РФ
Шкляр - Создание и монетизация сайтов под США и РФ
SEO Conference
Карпенко - Ссылки в 2016 году на западные рынки
Карпенко - Ссылки в 2016 году на западные рынкиКарпенко - Ссылки в 2016 году на западные рынки
Карпенко - Ссылки в 2016 году на западные рынки
SEO Conference
Лукашов - Успешная работа с You tube
Лукашов - Успешная работа с You tubeЛукашов - Успешная работа с You tube
Лукашов - Успешная работа с You tube
SEO Conference
Оганисян - Правильный старт в сфере Mobile
Оганисян - Правильный старт в сфере MobileОганисян - Правильный старт в сфере Mobile
Оганисян - Правильный старт в сфере Mobile
SEO Conference
Култаев - Новые фичи myTarget
Култаев - Новые фичи myTargetКултаев - Новые фичи myTarget
Култаев - Новые фичи myTarget
SEO Conference
Гуровский - Выход партнерской программы на весь мир
Гуровский - Выход партнерской программы на весь мирГуровский - Выход партнерской программы на весь мир
Гуровский - Выход партнерской программы на весь мир
SEO Conference
Нарижный - Малоиспользуемые варианты тестирования
Нарижный - Малоиспользуемые варианты тестированияНарижный - Малоиспользуемые варианты тестирования
Нарижный - Малоиспользуемые варианты тестирования
SEO Conference
Токуров - Facebook Instant Articles & Google AMP: что это и зачем онлайн-изда...
Токуров - Facebook Instant Articles & Google AMP: что это и зачем онлайн-изда...Токуров - Facebook Instant Articles & Google AMP: что это и зачем онлайн-изда...
Токуров - Facebook Instant Articles & Google AMP: что это и зачем онлайн-изда...
SEO Conference
Соловьев - Продвижение одностраничников в поисковых системах
Соловьев - Продвижение одностраничников в поисковых системахСоловьев - Продвижение одностраничников в поисковых системах
Соловьев - Продвижение одностраничников в поисковых системах
SEO Conference
Зинатуллин - Как сделать комфортный сайт, зная поведение пользователя во ВКон...
Зинатуллин - Как сделать комфортный сайт, зная поведение пользователя во ВКон...Зинатуллин - Как сделать комфортный сайт, зная поведение пользователя во ВКон...
Зинатуллин - Как сделать комфортный сайт, зная поведение пользователя во ВКон...
SEO Conference
Чекушин - Автоматическая классификация запросов
Чекушин - Автоматическая классификация запросовЧекушин - Автоматическая классификация запросов
Чекушин - Автоматическая классификация запросов
SEO Conference
Шахов - Как конкуренты могут повредить вашему SEO
Шахов - Как конкуренты могут повредить вашему SEOШахов - Как конкуренты могут повредить вашему SEO
Шахов - Как конкуренты могут повредить вашему SEO
SEO Conference
Вязовская - Мобильное приложение, как канал привлечения новых клиентов
Вязовская - Мобильное приложение, как канал привлечения новых клиентовВязовская - Мобильное приложение, как канал привлечения новых клиентов
Вязовская - Мобильное приложение, как канал привлечения новых клиентов
SEO Conference
Васильев Семен - SEO в мире новостей
Васильев Семен - SEO в мире новостейВасильев Семен - SEO в мире новостей
Васильев Семен - SEO в мире новостей
SEO Conference
Васильев Дмитрий - Гибридный интернет-магазин
Васильев Дмитрий - Гибридный интернет-магазинВасильев Дмитрий - Гибридный интернет-магазин
Васильев Дмитрий - Гибридный интернет-магазин
SEO Conference
Инсаров - Использование мобильных приложений для оказания массовых услуг насе...
Инсаров - Использование мобильных приложений для оказания массовых услуг насе...Инсаров - Использование мобильных приложений для оказания массовых услуг насе...
Инсаров - Использование мобильных приложений для оказания массовых услуг насе...
SEO Conference
Шкляр - Создание и монетизация сайтов под США и РФ
Шкляр - Создание и монетизация сайтов под США и РФШкляр - Создание и монетизация сайтов под США и РФ
Шкляр - Создание и монетизация сайтов под США и РФ
SEO Conference
Карпенко - Ссылки в 2016 году на западные рынки
Карпенко - Ссылки в 2016 году на западные рынкиКарпенко - Ссылки в 2016 году на западные рынки
Карпенко - Ссылки в 2016 году на западные рынки
SEO Conference
Лукашов - Успешная работа с You tube
Лукашов - Успешная работа с You tubeЛукашов - Успешная работа с You tube
Лукашов - Успешная работа с You tube
SEO Conference
Оганисян - Правильный старт в сфере Mobile
Оганисян - Правильный старт в сфере MobileОганисян - Правильный старт в сфере Mobile
Оганисян - Правильный старт в сфере Mobile
SEO Conference
Култаев - Новые фичи myTarget
Култаев - Новые фичи myTargetКултаев - Новые фичи myTarget
Култаев - Новые фичи myTarget
SEO Conference
Гуровский - Выход партнерской программы на весь мир
Гуровский - Выход партнерской программы на весь мирГуровский - Выход партнерской программы на весь мир
Гуровский - Выход партнерской программы на весь мир
SEO Conference
Нарижный - Малоиспользуемые варианты тестирования
Нарижный - Малоиспользуемые варианты тестированияНарижный - Малоиспользуемые варианты тестирования
Нарижный - Малоиспользуемые варианты тестирования
SEO Conference
Токуров - Facebook Instant Articles & Google AMP: что это и зачем онлайн-изда...
Токуров - Facebook Instant Articles & Google AMP: что это и зачем онлайн-изда...Токуров - Facebook Instant Articles & Google AMP: что это и зачем онлайн-изда...
Токуров - Facebook Instant Articles & Google AMP: что это и зачем онлайн-изда...
SEO Conference
Соловьев - Продвижение одностраничников в поисковых системах
Соловьев - Продвижение одностраничников в поисковых системахСоловьев - Продвижение одностраничников в поисковых системах
Соловьев - Продвижение одностраничников в поисковых системах
SEO Conference
Зинатуллин - Как сделать комфортный сайт, зная поведение пользователя во ВКон...
Зинатуллин - Как сделать комфортный сайт, зная поведение пользователя во ВКон...Зинатуллин - Как сделать комфортный сайт, зная поведение пользователя во ВКон...
Зинатуллин - Как сделать комфортный сайт, зная поведение пользователя во ВКон...
SEO Conference
Чекушин - Автоматическая классификация запросов
Чекушин - Автоматическая классификация запросовЧекушин - Автоматическая классификация запросов
Чекушин - Автоматическая классификация запросов
SEO Conference
Шахов - Как конкуренты могут повредить вашему SEO
Шахов - Как конкуренты могут повредить вашему SEOШахов - Как конкуренты могут повредить вашему SEO
Шахов - Как конкуренты могут повредить вашему SEO
SEO Conference

Similar to Земсков - Как обеспечить безопасность клиентских сайтов в процессе оказания услуг (20)

Защита сайта от взлома и вирусов
Защита сайта от взлома и вирусовЗащита сайта от взлома и вирусов
Защита сайта от взлома и вирусов
SkillFactory
Лечение мобильных, поисковых редиректов и дорвеев на сайте
Лечение мобильных, поисковых редиректов и дорвеев на сайте Лечение мобильных, поисковых редиректов и дорвеев на сайте
Лечение мобильных, поисковых редиректов и дорвеев на сайте
revisium
Безопасность
БезопасностьБезопасность
Безопасность
1С-Битрикс
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
it-people
ProtoSecurity - сервисы для безопасности и отказоустойчивости веб-приложений
ProtoSecurity - сервисы для безопасности и отказоустойчивости веб-приложенийProtoSecurity - сервисы для безопасности и отказоустойчивости веб-приложений
ProtoSecurity - сервисы для безопасности и отказоустойчивости веб-приложений
Denis Bezkorovayny
Основные угрозы безопасности для интернет-бизнеса в 2014 году
Основные угрозы безопасности для интернет-бизнеса в 2014 годуОсновные угрозы безопасности для интернет-бизнеса в 2014 году
Основные угрозы безопасности для интернет-бизнеса в 2014 году
SiteSecure
Разумная безопасность сайта
Разумная безопасность сайтаРазумная безопасность сайта
Разумная безопасность сайта
1С-Битрикс
Penetration testing (AS IS)
Penetration testing (AS IS)Penetration testing (AS IS)
Penetration testing (AS IS)
Dmitry Evteev
Практические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPПрактические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLP
DialogueScience
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...
Ontico
Безопасность CMS
Безопасность CMSБезопасность CMS
Безопасность CMS
1С-Битрикс
безопасность
безопасностьбезопасность
безопасность
Shoplist
Архитектура защищенного периметра
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметра
Cisco Russia
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеровКак защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
Yandex
11 лекция, петр волков
11 лекция, петр волков11 лекция, петр волков
11 лекция, петр волков
karina krew
Практические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPПрактические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLP
DialogueScience
Что такое пентест
Что такое пентестЧто такое пентест
Что такое пентест
Dmitry Evteev
безопасность веб проектов сергей рыжиков
безопасность веб проектов сергей рыжиковбезопасность веб проектов сергей рыжиков
безопасность веб проектов сергей рыжиков
Media Gorod
Основные угрозы безопасности веб-сайтов
Основные угрозы безопасности веб-сайтовОсновные угрозы безопасности веб-сайтов
Основные угрозы безопасности веб-сайтов
SiteSecure
Безопасность сайта: мифы и реальность — Петр Волков
Безопасность сайта: мифы и реальность — Петр ВолковБезопасность сайта: мифы и реальность — Петр Волков
Безопасность сайта: мифы и реальность — Петр Волков
Yandex
Защита сайта от взлома и вирусов
Защита сайта от взлома и вирусовЗащита сайта от взлома и вирусов
Защита сайта от взлома и вирусов
SkillFactory
Лечение мобильных, поисковых редиректов и дорвеев на сайте
Лечение мобильных, поисковых редиректов и дорвеев на сайте Лечение мобильных, поисковых редиректов и дорвеев на сайте
Лечение мобильных, поисковых редиректов и дорвеев на сайте
revisium
Безопасность
БезопасностьБезопасность
Безопасность
1С-Битрикс
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
it-people
ProtoSecurity - сервисы для безопасности и отказоустойчивости веб-приложений
ProtoSecurity - сервисы для безопасности и отказоустойчивости веб-приложенийProtoSecurity - сервисы для безопасности и отказоустойчивости веб-приложений
ProtoSecurity - сервисы для безопасности и отказоустойчивости веб-приложений
Denis Bezkorovayny
Основные угрозы безопасности для интернет-бизнеса в 2014 году
Основные угрозы безопасности для интернет-бизнеса в 2014 годуОсновные угрозы безопасности для интернет-бизнеса в 2014 году
Основные угрозы безопасности для интернет-бизнеса в 2014 году
SiteSecure
Разумная безопасность сайта
Разумная безопасность сайтаРазумная безопасность сайта
Разумная безопасность сайта
1С-Битрикс
Penetration testing (AS IS)
Penetration testing (AS IS)Penetration testing (AS IS)
Penetration testing (AS IS)
Dmitry Evteev
Практические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPПрактические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLP
DialogueScience
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...
Ontico
Безопасность CMS
Безопасность CMSБезопасность CMS
Безопасность CMS
1С-Битрикс
безопасность
безопасностьбезопасность
безопасность
Shoplist
Архитектура защищенного периметра
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметра
Cisco Russia
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеровКак защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
Yandex
11 лекция, петр волков
11 лекция, петр волков11 лекция, петр волков
11 лекция, петр волков
karina krew
Практические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPПрактические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLP
DialogueScience
Что такое пентест
Что такое пентестЧто такое пентест
Что такое пентест
Dmitry Evteev
безопасность веб проектов сергей рыжиков
безопасность веб проектов сергей рыжиковбезопасность веб проектов сергей рыжиков
безопасность веб проектов сергей рыжиков
Media Gorod
Основные угрозы безопасности веб-сайтов
Основные угрозы безопасности веб-сайтовОсновные угрозы безопасности веб-сайтов
Основные угрозы безопасности веб-сайтов
SiteSecure
Безопасность сайта: мифы и реальность — Петр Волков
Безопасность сайта: мифы и реальность — Петр ВолковБезопасность сайта: мифы и реальность — Петр Волков
Безопасность сайта: мифы и реальность — Петр Волков
Yandex

More from SEO Conference (19)

Чечукевич - Поисковый маркетинг
Чечукевич - Поисковый маркетингЧечукевич - Поисковый маркетинг
Чечукевич - Поисковый маркетинг
SEO Conference
Хизова - Стратегия рекламных кампаний: CPO/CPA или большой охват
Хизова - Стратегия рекламных кампаний: CPO/CPA или большой охватХизова - Стратегия рекламных кампаний: CPO/CPA или большой охват
Хизова - Стратегия рекламных кампаний: CPO/CPA или большой охват
SEO Conference
Харев - Поисковая оптимизация медиапроектов
Харев - Поисковая оптимизация медиапроектовХарев - Поисковая оптимизация медиапроектов
Харев - Поисковая оптимизация медиапроектов
SEO Conference
Стаин - Лучшие кейсы и практики монетизации мобильноготрафика
Стаин - Лучшие кейсы и практики монетизации мобильноготрафикаСтаин - Лучшие кейсы и практики монетизации мобильноготрафика
Стаин - Лучшие кейсы и практики монетизации мобильноготрафика
SEO Conference
Русаков - Агентство по продвижению или in-house специалист (отдел)
Русаков - Агентство по продвижению или in-house специалист (отдел)Русаков - Агентство по продвижению или in-house специалист (отдел)
Русаков - Агентство по продвижению или in-house специалист (отдел)
SEO Conference
Рвачев - Стратегия закупки мобильной Facebook&Instagram рекламы с оптимизацие...
Рвачев - Стратегия закупки мобильной Facebook&Instagram рекламы с оптимизацие...Рвачев - Стратегия закупки мобильной Facebook&Instagram рекламы с оптимизацие...
Рвачев - Стратегия закупки мобильной Facebook&Instagram рекламы с оптимизацие...
SEO Conference
Морозов - Поведенческие факторы 7.0
Морозов - Поведенческие факторы 7.0Морозов - Поведенческие факторы 7.0
Морозов - Поведенческие факторы 7.0
SEO Conference
Луценко - Big Data в рекламе
Луценко - Big Data в рекламеЛуценко - Big Data в рекламе
Луценко - Big Data в рекламе
SEO Conference
Куваев - Mobile Programmatic
Куваев - Mobile ProgrammaticКуваев - Mobile Programmatic
Куваев - Mobile Programmatic
SEO Conference
Кравченко - Партизанский маркетинг
Кравченко - Партизанский маркетингКравченко - Партизанский маркетинг
Кравченко - Партизанский маркетинг
SEO Conference
Губерман - SEO сайта медицинской тематики
Губерман - SEO сайта медицинской тематикиГуберман - SEO сайта медицинской тематики
Губерман - SEO сайта медицинской тематики
SEO Conference
Бут - Beeline Programmatic
Бут - Beeline ProgrammaticБут - Beeline Programmatic
Бут - Beeline Programmatic
SEO Conference
Буйлов - SEO-клиенты на всю жизнь
Буйлов - SEO-клиенты на всю жизньБуйлов - SEO-клиенты на всю жизнь
Буйлов - SEO-клиенты на всю жизнь
SEO Conference
Байбеков - Заработок на ссылках
Байбеков - Заработок на ссылкахБайбеков - Заработок на ссылках
Байбеков - Заработок на ссылках
SEO Conference
Орлов - Адаптация сайта под мобильные устройства
Орлов - Адаптация сайта под мобильные устройстваОрлов - Адаптация сайта под мобильные устройства
Орлов - Адаптация сайта под мобильные устройства
SEO Conference
Бондарь - Продвижение на запад сетками
Бондарь - Продвижение на запад сеткамиБондарь - Продвижение на запад сетками
Бондарь - Продвижение на запад сетками
SEO Conference
Юрков - Продвижение сайтов в 2016 году
Юрков - Продвижение сайтов в 2016 годуЮрков - Продвижение сайтов в 2016 году
Юрков - Продвижение сайтов в 2016 году
SEO Conference
Шивалин - Сквозная аналитика для повышения конверсий
Шивалин - Сквозная аналитика для повышения конверсийШивалин - Сквозная аналитика для повышения конверсий
Шивалин - Сквозная аналитика для повышения конверсий
SEO Conference
Черногоров - Разработка мобильного приложения. Ожидания VS Реальность
Черногоров - Разработка мобильного приложения. Ожидания VS РеальностьЧерногоров - Разработка мобильного приложения. Ожидания VS Реальность
Черногоров - Разработка мобильного приложения. Ожидания VS Реальность
SEO Conference
Чечукевич - Поисковый маркетинг
Чечукевич - Поисковый маркетингЧечукевич - Поисковый маркетинг
Чечукевич - Поисковый маркетинг
SEO Conference
Хизова - Стратегия рекламных кампаний: CPO/CPA или большой охват
Хизова - Стратегия рекламных кампаний: CPO/CPA или большой охватХизова - Стратегия рекламных кампаний: CPO/CPA или большой охват
Хизова - Стратегия рекламных кампаний: CPO/CPA или большой охват
SEO Conference
Харев - Поисковая оптимизация медиапроектов
Харев - Поисковая оптимизация медиапроектовХарев - Поисковая оптимизация медиапроектов
Харев - Поисковая оптимизация медиапроектов
SEO Conference
Стаин - Лучшие кейсы и практики монетизации мобильноготрафика
Стаин - Лучшие кейсы и практики монетизации мобильноготрафикаСтаин - Лучшие кейсы и практики монетизации мобильноготрафика
Стаин - Лучшие кейсы и практики монетизации мобильноготрафика
SEO Conference
Русаков - Агентство по продвижению или in-house специалист (отдел)
Русаков - Агентство по продвижению или in-house специалист (отдел)Русаков - Агентство по продвижению или in-house специалист (отдел)
Русаков - Агентство по продвижению или in-house специалист (отдел)
SEO Conference
Рвачев - Стратегия закупки мобильной Facebook&Instagram рекламы с оптимизацие...
Рвачев - Стратегия закупки мобильной Facebook&Instagram рекламы с оптимизацие...Рвачев - Стратегия закупки мобильной Facebook&Instagram рекламы с оптимизацие...
Рвачев - Стратегия закупки мобильной Facebook&Instagram рекламы с оптимизацие...
SEO Conference
Морозов - Поведенческие факторы 7.0
Морозов - Поведенческие факторы 7.0Морозов - Поведенческие факторы 7.0
Морозов - Поведенческие факторы 7.0
SEO Conference
Луценко - Big Data в рекламе
Луценко - Big Data в рекламеЛуценко - Big Data в рекламе
Луценко - Big Data в рекламе
SEO Conference
Куваев - Mobile Programmatic
Куваев - Mobile ProgrammaticКуваев - Mobile Programmatic
Куваев - Mobile Programmatic
SEO Conference
Кравченко - Партизанский маркетинг
Кравченко - Партизанский маркетингКравченко - Партизанский маркетинг
Кравченко - Партизанский маркетинг
SEO Conference
Губерман - SEO сайта медицинской тематики
Губерман - SEO сайта медицинской тематикиГуберман - SEO сайта медицинской тематики
Губерман - SEO сайта медицинской тематики
SEO Conference
Бут - Beeline Programmatic
Бут - Beeline ProgrammaticБут - Beeline Programmatic
Бут - Beeline Programmatic
SEO Conference
Буйлов - SEO-клиенты на всю жизнь
Буйлов - SEO-клиенты на всю жизньБуйлов - SEO-клиенты на всю жизнь
Буйлов - SEO-клиенты на всю жизнь
SEO Conference
Байбеков - Заработок на ссылках
Байбеков - Заработок на ссылкахБайбеков - Заработок на ссылках
Байбеков - Заработок на ссылках
SEO Conference
Орлов - Адаптация сайта под мобильные устройства
Орлов - Адаптация сайта под мобильные устройстваОрлов - Адаптация сайта под мобильные устройства
Орлов - Адаптация сайта под мобильные устройства
SEO Conference
Бондарь - Продвижение на запад сетками
Бондарь - Продвижение на запад сеткамиБондарь - Продвижение на запад сетками
Бондарь - Продвижение на запад сетками
SEO Conference
Юрков - Продвижение сайтов в 2016 году
Юрков - Продвижение сайтов в 2016 годуЮрков - Продвижение сайтов в 2016 году
Юрков - Продвижение сайтов в 2016 году
SEO Conference
Шивалин - Сквозная аналитика для повышения конверсий
Шивалин - Сквозная аналитика для повышения конверсийШивалин - Сквозная аналитика для повышения конверсий
Шивалин - Сквозная аналитика для повышения конверсий
SEO Conference
Черногоров - Разработка мобильного приложения. Ожидания VS Реальность
Черногоров - Разработка мобильного приложения. Ожидания VS РеальностьЧерногоров - Разработка мобильного приложения. Ожидания VS Реальность
Черногоров - Разработка мобильного приложения. Ожидания VS Реальность
SEO Conference

Земсков - Как обеспечить безопасность клиентских сайтов в процессе оказания услуг

  • 1. Как обеспечить безопасность клиентских сайтов 
 в процессе оказания услуг // SEO Conference 2016
 
 Григорий Земсков, компания «Ревизиум»
  • 3. Не до безопасности — Агентство, студия, SEO-специалисты • постоянно работает с сайтом • профессионально (или не очень :) решает задачи • не задумывается о безопасности (не до нее / нет компетенций) — Владелец сайта • постоянно или не очень работает с сайтом • решает бизнес-задачи • не задумывается о безопасности (не до нее)
  • 4. «Чувствительные» данные • email • IM: skype, whatsapp, viber, соц.сети, sms • своя CRM или сервис • чаты на сайтах, фриланс-сайтах • хостинг клиента
  • 6. Правильные вопросы — Кто отвечает за безопасность сайта? — Кто и как управляет доступами? — Как обеспечить безопасную передачу и хранение доступов? — Что такое «гигиена безопасности»? — Чем грозит взлом и заражение сайта? — Как снизить риски? …
  • 7. Если ничего не делать…
  • 14. Как чаще всего взламывают — Перехватывают (крадут) пароли от FTP, «админки» — Подбирают пароли от FTP , «админки» — Взламывают через инструменты специалистов на сайте (adminer, phpmyadmin, filemanager,…) — Раскрывают доступы в результате «социальной инженерии» — Взламывают из-за ошибок в настройке сайта и сервера — Компрометируют из-за «нелицензионных» плагинов и шаблонов
 
 или — Атакуют через уязвимости в ПО
  • 15. Повторный взлом сайтов — Не поменяли пароли — Восстановили сайт из резервной копии — Перенесли на prod-сервер зараженную версию с dev-сервера — Отключили защиту
 
 или — Одна из причин, по которой взломали в первый раз
  • 18. Организационные меры — Делаем безопасным рабочее место — Защищаем сетевое подключение (канал данных) — Управляем доступами к домену, сайту и хостингу — Выбираем надежных подрядчиков, работа по договору — Разрабатываем памятку безопасности и контролируем исполнение предписаний — Инструктируем сотрудников и подрядчиков — Выполняем регулярный аудит безопасности
  • 19. Рабочее место — Выбираем операционную систему — Регулярно обновляем компоненты ОС (браузер, плагины браузера, софт для работы с сайтом) — Устанавливаем антивирусное ПО — Регулярно выполняем полную проверку антивирусом — Используем менеджеры паролей — Отдельный рабочий компьютер или терминал — Устанавливаем мониторинговые (например, антифишинговые) расширения
  • 20. Сетевое подключение — Выбираем безопасное подключение 
 (роутер, 3G/LTE)
 
 
 
 
 
 
 — Используем VPN для открытых [WIFI] сетей
  • 21. Кто управляет доступами? — Если разовое обращение - 
 клиент — Если разработка/сопровождение - агентство или веб-студия (менеджер)
  • 22. Управление доступами — Регулярно меняем пароли от панели хостинга, FTP, SSH, админ-панели сайта, базы данных — Устанавливаем сложные и разные пароли — Включаем логгирование операций в панелях и логи сервисов — Выдаем (суб)подрядчикам минимально необходимые доступы с минимальным сроком валидности — Меняем / деактивируем доступы сразу после завершения работы — Включаем двухфакторную аутентификацию, где возможно — Используем SSH ключи для подключения — Не используем FTP (используем SFTP, крайний случай FTPS)
  • 23. Инструктаж — «Инструкция по безопасности» сайта:
 
 
 
 
 
 
 
 
 
 — Знакомим (суб)подрядчиков с предписаниями и памяткой по безопасной работе с сайтом — Проверяем выполнение предписаний • Используемое ПО • Варианты сетевых подключений к серверу • Работа с доступами (прием, передача, хранение, смена) • Работа с продуктовой и тестовой версиями сайта • Работа со средствами защиты и безопасными настройками сайта • Тестирование и сдача проекта • Реагирование на инциденты (что делать, в каком порядке, к кому обращаться)
  • 24. Резервное копирование — Вырабатываем стратегию резервного копирования: 
 
 
 
 
 
 
 — Выбираем место для хранения (не на сервере) — Проверяем резервные копии • период • интервал • количество копий • автоматизация
  • 25. Аудит безопасности — Проводим аудит перед публичным анонсом проекта — Выполняем регулярные проверки на вирусы, взлом в процессе работы — Проводим аудит после работы (суб)подрядчиков — Своими силами или привлекая ИБ специалистов
  • 26. Диагностика — Сканирование файлов: https://revisium.com/ai/ 
 
 
 — Сканирование страниц сайта: https://rescan.pro 
 — Проверка базы данных — Сканер «AI-BOLIT» — Сервис ReScan.Pro
  • 28. Печальная статистика — 4,7% пользователей используют пароль password; — 8,5% пользователей выбирают один из двух вариантов: password или 123456; — 9,8% пользователей выбирают: password, 123456 или 12345678; — 14% пользователей выбирают один из 10 самых популярных паролей; — 40% пользователей выбирают один из 100 самых популярных паролей; — 79% пользователей выбирают один из 500 самых популярных паролей; — 91% пользователей выбирает один из 1000 самых популярных паролей.
  • 30. Правила работы с паролями — Длинный (>8 знаков) — Сложный (цифры, буквы, спецсимволы) — Храниться в менеджере паролей или надежном хранилище (не в FTP клиенте, не в браузере) — Передаваться безопасно — Регулярно меняться
  • 32. Безопасность и комфорт — Безопасность - это ограничения и запреты — Безопасность - это неудобно — Задача - найти соотношение между безопасностью и удобством работы — Автоматизация рутины, мониторинг, готовые предписания и безопасность как аутсорс
  • 33. Резюме — Кто управляет безопасностью сайтов? — Внедрение организационных мер — Памятка / инструктаж сотрудников и подрядчиков — Учетные записи, бэкапы, аудит и мониторинг
  • 34. Спасибо! Вопросы? Григорий Земсков Компания «Ревизиум» http://revisium.com http://facebook.com/Revisium http://twitter.com/revisium Telegram - @sitesecurity