Статистика по результатам тестирований на...
DESCRIPTION
TRANSCRIPT
Статистика по результатам тестирований на проникновение и анализа защищенности веб-приложений 2011-2012
Дмитрий Евтеев
http://www.ptsecurity.ru/lab/analytics/
Статистика по результатам тестирований на проникновение 2011-2012
Статистика уязвимостей в веб-приложениях за 2012 год (с 2006 года)
Статистика уязвимостей систем дистанционного банковского обслуживания 2011-2012
Аналитика Positive Technologies
Тестирование на проникновение – это один из методов проведения аудита информационной безопасности, который при расширении соответствующих границ позволяет получить оценку состояния процессов информационной безопасности на принципиально новом качественном уровне.
Тестирование на проникновение
Пентест - это запустить троянчика на компьютере генерального директора.
Пентест в отличии от аудита ИБ бесполезен.
Пентест бесполезен для Бизнеса.
Пентест - это имитация действий злоумышленника.
Заблуждения дилетантов про пентесты
Позитивное тестирование на проникновение
ЗаказчикФормирование
требований, определение границ
проведения работ
Менеджер проекта
Управление проектом
Группа экспертовСбор информации
АналитикАнализ результатов оценки
защищенности, оформление отчетных документов
Группа экспертовИнвентаризация сети,
идентификация сервисов
Группа экспертовИдентификация уязвимостей:
инструментальное сканирование и ручные
методы
Группа экспертовЭксплуатация уязвимостей:
получение доступа, повышение привилегий
Группа экспертовОценка защищенности
веб-приложений
Анализ защищенности с новым уровнем
привилегий
Группа экспертовОценка защищенности
беспроводных сетей
Отчет
Система трекинга
Система автоматизации социотехнических
проверок
База знаний по уязвимостям и методам эксплутации
Система тестирования
Координатор проекта
Управление проектом
(технические аспекты)
Координатор проектаУправление проектом (технические аспекты),
контроль качества
Эксперты в различных областях (SCADA, ERP, и др.)
привлекаются при необходимости
Презентация Группа экспертовОценка эффективности
программы осведомленности в вопросах ИБ Разработчики
Обновление базы знаний MaxPatrol
База знаний
Минимальный уровень нарушителя для полного контроля над критичными ресурсами
Наиболее распространенные уязвимости
Их МНОГО и они уязвимы
«Пароли», Человеки, Технологии, Продукты, Организационные составляющие и т.п.
Идентификаторы и пароли
ВСЕ веб-приложения уязвимы
Их ОЧЕНЬ много и они присутствуют практически во всех компонентах информационной системы
Уязвимости веб-приложений
Уязвимости веб-приложений по степени риска (доля сайтов, %)
Высокий Средний Низкий0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
45%
90%73%
Позитивный анализ приложений
ЗаказчикФормирование
требований, определение границ
проведения работ
ЭкспертАвтоматизированное
сканирование, проверка соответствия
конфигураций рекомендациям по
безопасной настройке
Группа экспертовАнализ PHP-кода
Система трекинга Группа экспертов Анализ JAVA, ASP.NET и
другого кода
Группа экспертовАнализ мобильных
приложений
АналитикАнализ результатов оценки
защищенности, оформление отчетных документов
Отчет
Веб-приложение Веб-приложение
Веб-приложение
Мобильное приложение
Менеджер проектаУправление проектом
(организационные вопросы)
Архитектор проектаУправление проектом (технические аспекты)
Наиболее распространенные уязвимости
Fingerp
rinting
Cross-
Site Sc
ripting
Brute Fo
rce
SQL I
njection
Cross-
Site Request
Forg
ery
Credential/S
ession Pre
diction
Serve
r Misc
onfiguration
Information Le
akage
Path Trave
rsal
URL Redire
ctor A
buse0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
73%
63%
46%
33% 31% 30% 30%24%
18% 18%
Доля уязвимых сайтов для разных языков программирования
ASP.NET Java Perl PHP0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
10%
15%
29%
83%
90%
100%
76%
92%
80%
62%
88%
63%
Высокий Средний Низкий
Характерные уязвимости для сайтов на различных языках программирования
PHP Доля сайтов ASP.NET Доля сайтов Java Доля сайтов
Cross-Site Request Forgery
73%Cross-Site Scripting
39%Insufficient Authorization
41%
SQL Injection 61%Cross-Site Request Forgery
35%Cross-Site Request Forgery
35%
Cross-Site Scripting
43%Insufficient Anti-automation
35%Application Misconfiguration
29%
Insufficient Anti-automation
42% SQL Injection 22%Insufficient Authentication
29%
Path Traversal 42%Application Misconfiguration
17% OS Commanding 29%
Доля сайтов по максимальному уровню критичности уязвимостей
ASP.NET
Java
Perl
PHP
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
10%
15%
29%
83%
80%
85%
53%
17%
10%
18%
Распределение уязвимостей по уровням риска в зависимости от типа CMS
Собственной разработки
Свободные
Коммерческие
25%
25%
7%
70%
72%
89%
5%
3%
4%
Высокий Средний Низкий
Демка
Вероятность успешной атаки возрастает с числом доступных систем и сервисов атакующему
Системы X Сервисы X Сервисы других систем && Пользователей, при этом Системы/Сервисы/ Пользователи постоянно пополняются
Не эффективное разграничение сетевых сервисов
Проблема «Бога»
Проблема множества систем X на количество пользователей
Обслуживание инфраструктуры
Шифрование?
Установка «закладок»
Управление доступом/использование привилегий
Сервисы инфраструктуры
Популяризация «мобильного офиса»
Удаленный доступ для администратора сети
Клиенты и партнеры
Забытый «мусор» на периметре…
Необходимость в публикации приложений для доступа «из вне»
Уровень привилегий, полученных от лица внешнего нарушителя
Демка
http://www.ptsecurity.ru/lab/analytics/
Статистика по результатам тестирований на проникновение 2011-2012
Статистика уязвимостей в веб-приложениях за 2012 год (с 2006 года)
Статистика уязвимостей систем дистанционного банковского обслуживания 2011-2012
Более подробно
Спасибо за внимание!
[email protected]://devteev.blogspot.comhttps://twitter.com/devteev