Продолжительность 41:23
16+
Воспроизвести
Видео

Защита сайтов

Продолжительность 41:23
16+
Воспроизвести
Видео

Защита сайтов

Рустем Хайретдинов
Генеральный директор в Атак Киллер
  • Видео
  • Аудио
  • Тезисы
  • Видео
  • Аудио
Код ИБ Онлайн 2020
29 января 2020, Екатеринбург, Россия
Код ИБ Онлайн 2020
Видеозапись
Защита сайтов
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
В избранное
44
Мне понравилось 0
Мне не понравилось 0
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
  • Описание
  • Расшифровка
  • Обсуждение

О спикере

Рустем Хайретдинов
Генеральный директор в Атак Киллер

Рустем Хайретдинов — генеральный директор компании Атак Киллер, вице-президент компании Инфовотч. Выпускник Механико-математического факультета МГУ, кандидат экономических наук. В ИТ-индустрии почти 30 лет, в информационной безопасности с 2001 года, участвовал в создании и продвижении на рынок российских ИТ- и ИБ- продуктов, реализовал более сотни проектов масштаба предприятия. Автор курсов, посвящённых различным аспектам взаимодействия информационной безопасности и бизнеса. Преподает на курсах MBA в РАНХиГС при Президенте РФ, на курсах повышения квалификации сотрудников информационной безопасности ЦИБИТ, в корпоративных университетах.

Перейти в профиль

О докладе

Код ИБ ОНЛАЙН Защита сайтов и WEB-приложений


Поделиться

моя задача сегодня рассказать вам про защиту приложений его некоторым концептуальным подходам А поскольку вместе наверное совсем рынком защиты в приложении Я прошел весь путь от простого аудита кода до понимания того что защита приложений это не только какие-то инструменты этой процессы и некоторые организационные мероприятия и попробую сейчас рассказать этот весь свой опыт в сложно для нас время отвечу на Ваши вопросы где-то с 2010 года я занимаюсь в защиты приложений первым инструментом для этого там наша компания стала производить сыр статического кода

и именно применение этого сканировал потолком если что любая система контроля сама по себе она не очень интересно да вы можете посмотреть что не так по ходе которого мы написали ваш программист или сдали ваши внешние программисты Надо смотреть на задачу целиком и видеть роль каждого инструмента во всём процессе обеспечения безопасности Давайте немножко поговорим о рисках то есть собственно Ну да там торчит интернет даже если это там не какой-то портал или сайт вполне возможно это просто интерфейсы обмена

такими-то каких-то внутренних приложение там а внутри корпоративной почты банкоматная сеть не важно важно что у вас торчит это фейс в Интернете Может принимать внешние команды до общем понятно что поскольку потенциальной доступ к этой точки входа ваше приложение есть там у миллиарда польза интернет или сколько там сегодня а то не все из них могут оказаться просто двойными пользователя на могут попробовать что-то поломать А если смотреть Моё Как быстрее тебя видел многих много даже может смешных

А так то есть понятно что там частично Интересно а поломать чтобы ничего не работало дата для этого существуют как Adidas такеда последовательность а запросов о могут быть удастся атаки. как говорят да с одной команды да Когда можно одной команды повалить сайт бывают более изощренные попытки Да это что-то украсть какие-то данные украсть если они хранятся на сайт какие-то видимости сайта разные Хулиганы любят дефиса Да точно сайте запустить какую-нибудь неприличную картинку написать

какой-нибудь хулиганская ругательное экстремистское слова такие вещи тоже бывали бывают более изощренное атаки Когда можно подменить телефон для связи или email для связи и воровать трафик то есть люди ходят на 1 сайта на другом пальце вопросы задают в другом и рекламная компания деньги которые потрачены на этот на привлечение трафика она уходит конкуренту обвале случаю смешной случай был нас одного заказчика когда аим на сайт в подвал в котором стоят

партнёры счётчики вот самое дно такое первой страницы сайта до туда кто-то кричал ссылку на которую давала какой-то вредоносный сайт попал в черный список браузерных вирусов и мы неделю поцарапали из всех антивирусов А этот этот сайт потому что Ну реально кадров купол Каждый раз когда полетели зайти на сайт сайт говорил вроде антивирус говорил что этот Безопасен ноги в общем-то выбирали не идти дальше А вот поэтому Хотя не было никого Adidas Ну вот такая маленькая инъекция на сайт кода Она привела к

тому что на сайт был недоступен В общем интернета такая Дикий запад никаких правил законы суверенитет и не кажется странно пытаются там что-то сами блокировать Но это в общем-то только на самом деле мешает работе интернета они не делают его более безопасно А поэтому Если Вы взяли сделать какой-то серьёзное в приложении на сегодня практически все приложения используют в либо как интерфейс либо как минимум как транспорт то вам придётся Как готовить потому что среда будет в общем-то очень агрессивные люди которые занимаются построением приманок так называемых они потом они видят

что как бы там серый появишься в Интернете начинает открываться в течение первых же минут и мы сами это наблюдали когда там размещали наша высота в интернете сразу на него пытались поставить майнер на Java катались его включить в какую-то будет сеть для ссылок или недостаток В общем интернет очень агрессивная среда и защититься просто снаружи не очень получается я в качестве примера всегда сегодня выступают перед менеджерами Я говорю что такое классический

фильм про защиту в интернете вовсе не фильм Хакеры или какие-то другие там пароль рыба-меч много фильмов про хакеров самый понятный фильм про тогда тебе это Телохранитель с Кевином Костнером и Уитни Хьюстон который говорит о том что если объект ведёт себя неправильно Тони Какой самый профессиональный защитник не может совладать именно об этом и фильм что Кевин Костнер герой это точно, защитить певицу которая не хочет соблюдать не хочет ходить куда хочешь убегать от охраны и так происходит до тех пор пока не происходит какой-то серьезный инцидент после чего начинается на себя

вести более правильно хочу Сколько время совсем правильно после повторного инцидента настолько правильно что ей уже не нужен такой профессиональный Телохранитель если сам объект защиты построен в основные безопасного безопасной разработки то гораздо меньше усилий придётся сделать для того чтобы я вас защищать вот поэтому и рассказать о том что защита левиафана начинается собственно с того что разработчики помогают защитником тем что правильно строить архитектуру изолируют процессы

не вносят каких-то уязвимостей не вносят как непонятного функционала описывают свои поделие чтобы если случилась какая-то Аномалия мог как-то быстро разобраться это так программист хотел чтоб такая нормальная была или это всё-таки атака А дело в том что мы понимаем что помощники всё больше и больше действует на прикладном уровне на том уровне Ну всё-таки идут на логику приложение да и если какой-то процесс там 1 2 и 3 а потом только идёт 1 32 надо понять это было запланировано разработчиками или это действительно какой-то нарушение и атакан

А как она приложение а поэтому конечно чисто Есть проекты когда люди начинают защищать защищать приложение с Вот она есть Она написана Понятно что ничего уже исправить нельзя особенно в каких не госуслугах где там проведён конкурс завод ли приложение Вот она его надо защищать таким какой он есть разработчиков если не найдёшь ту заставить их изменить что-то уже нельзя а приёмка произошла госконтракт закрыт всё вас Никаких обязательств приходится заниматься защиты того чтобы написали

разработчики в этом смысле я всё время говорю что ситуация с разработкой она сейчас такая что-то мне хватит и на детей на внуков Инна как безопаснее потому что приложение в среднем становится всё хуже и хуже не то что программисты там не знаю уезжают что ты ещё просто программистов требует больше требуется больше чем у нас есть людей вообще как бы образованных программирующие в стране а приложение пишет в Тюмени некультурно разработчики имеющихся меньше опыта особенно региональные госуслуги вот Я тут недавно давал одной газете наверное самое плохое

что я видел это региональные госуслуги люди которые там делают какие-то свои интернет-магазина не понимает что этот магазины в форме какие-то деньги в региональные госуслуги делают минимальными усилиями за минимальную цену И если там когда я начинал заниматься безопасная разработка сайта делали там какие-то энтузиасты фанат это сейчас это делать Просто студенты в плане подработки соответственно их нет никакого серьезного образование программирование чаще всего они энтузиасты самоучки но с очень маленьким опытом

прочитавший книжку может быть закончится какие-то краткосрочные курсы возможно онлайн Вот в такой среде и приходится нам безопасником работает с одной стороны очень агрессивная среда интернет где какие законы а с другой стороны разработчики которые не помогают нам всё всё больше мешают а ну и какие-то ресурсы на том чтобы защитить все приложения которые мы взяли при этом бизнес Всё равно стратегический идёт в интернет это удобно и дёшево привлекать клиентов дёшево обслуживать клиентов дешевле там на на сайте и так далее и

очень часто Когда сайты проективных корректирует потом пристраивают другой функционал и возникает такой Шанхай из сайтов построенный на обычном сверху натянут какая-то единая морда который является просто шлюзом по образованию трафика на внутренние какие-то приложения которые ничем внутренне защищаются А у нас есть клиент региональные госуслуги там 800 сайтов под единой мордой госуслуг локальных местных но реально Это совершенно разные системы написано на разных языках где-то там на WordPress Get

наша поинте А где ты это Битрикс На каких платформах никто не повторно никто не проверял Не Включи сайт никогда не интересует потому что вроде бы как находится за периметром А впереди вот один сайт который с адресом баф или там на что-то такое вот А и понятно На самом деле что там до 80% защиты приложение это консалтинг на том как нужно строить архитектуру в приложении что надо изменить существующий архитектуре какие надо исправлять ошибки и так далее То есть если вы не будете заниматься там собственно архитектуры и

разработкой защищаемого решение ли заказчик не будет заниматься а то находиться в состоянии такого вратаря у которого нет защитника давом пьют и отбивать его бьют рано или поздно вам забьют это такая очень ответственная должность должность атакуют всегда когда вы там не можете сразу всё из-за консоли что-то сделать вот поэтому конечно мы видим просто так и росту и если почитать там последние отчеты то мы видим что ситуация не улучшается Будем считать что я вас Напугал там

достаточно сильно Теперь давайте поговорим о том что делать и так У вас есть какие-то инструменты платные бесплатные неважно да То есть можно как бы вот Adidas есть сервисы хорошие есть сервисы в сочетании с каким-то лицензии Вы можете себе поставить какую-то часть программы в Облаке будет стоять другое программное обеспечение которое будет там фильтровать трафик на Adidas но как бы Adidas Это только один из видов Атак атаковать вас как ваше приложение думал у каждого из вас есть какое-то приложение которое может сразу подумать когда я говорю ваше

приложение да А что у него есть разработчики у него есть ещё постоянно меняющейся функционал давайте я тебе честно скажу что это функционал описывается очень плохо а то есть реально Вы можете отличить там атаку Ну то есть бывает таких ситуациях Вы реально не можете понять на программиста так запрограммировали Или это вы Как вы видите на и спросить неукого сегодняшний программистский стилетто и Джилл и гибкой разработки никто особенно кот не документирует

так называемая User Stories то есть именно тот Как ведёт себя клиент на этом сервисе посетители этого сервиса что реально в каких событиях отражено практически не документируются и более того гибкая каждые 2 недели новый спринт новый функционал в результате вы получаете некоторые объекты которые даже если вы беретесь тестировать там Мстители проверять там Исходный код настройки и так далее То вы не можете этим заниматься там долго больше там дня два-три потому что потом опять как бы новый Билд И вам

нужно его тестировать Я знаю компанию где там происходит несколько сотен билдов идее Да но это большие банки у неё много приложений каждый из них там регулярно обновляется и понятно что такие задача решить без автоматизации без остановки процессов нельзя Ну и даже на маленьких Когда у вас есть там один сайт который там требуют защиты да. обычно обычно в компании 3 самописных приложение Какая бы маленькая компания не бывает какая-то внутренняя автоматизация она может стоить вокруг электрона вокруг вокруг платформы типа Вики и так далее

Это всё что связано бухгалтерия отчетность финансы часто это 1С но могут быть и Более серьёзные вещи Это что-то для общения клиентами это сайт у нас напали на весь район допустим Если говорить о нашей компании я в этом смысле сапожник с сапогами внутренних работ каком этаже контролирует не только тираж А вот и в результате вам нужно выстроить процесс разработчики получили задание от бизнеса добавить там так они это сделали они это отдали тестировать тестировщики посмотрели и сказали что то здесь не так давайте Исправьте

вернули исправили вернули тестировщиком лёгкие правильно пропустили дальше идёт приём к там проверяется как будто может быть pentest может быть национальной проверка может быть когда предложения в приложении уже собрано и работает ну вот все специалисты по безопасности в приложении говорят что когда уже приложение собранные работает достаточно сложно что-то исправить даже если вы нашли какое-то резюме функционал на нём построена уже построен другой функцию раз приложение

уже закончены прошло тесты значит она уже как бы работает до работает Как говорится не трогай и когда приходят различные тестеры которые вот что-то там поломали у руководителя разработки и функционального заказчика возникает такое Какая делим до послушать этих начать исправлять Эти ошибки Эти уязвимости которые найдут хакеры не найдут ещё не найдут взломать или не взломают ещё непонятно А если сломается нанесут ущерб тоже ещё не понятно А тут реально вы не можете выпустить новую функцию продуктив это достаточно такая серьёзная дилемма бизнес

дилемма Я видел много конфликтов и участвовал на разных сторонах как на стороне безопас так и на стороне бизнеса когда есть вещи которые нельзя сдвинуть например там выборы А вдруг сайте выборов обнаруживается уязвимость так а что ты не голосования просто там в Москве уже есть был проходил уже онлайн-голосование Да там вообще ни в коем случае нельзя откладывать выпуск Потому что есть время а не Вот вместо сотрудничество с разработчиками и функциональным

заказчиком безопасники встают такую позицию шлагбаума то есть анекдоты нельзя пускать это нельзя пускать в носу смотреть тебя что ты на смотреть какие есть камеры А вот и бизнес воспринимает их как некоторые такую нагрузку на самом деле там ну реально вахтёра до которые стоят и не пускают понятно что бизнес всегда может продавить свои желания да там взять на себя ответ вывесить у него функционал я вот видел. она вот такой банальный конфликт вот есть Интернет

есть магазин продает всякую мебель, А у него есть онлайн магазин который полностью как бы копирует это всё-таки мебели надо трогать руками посидеть поэтому через интернет не очень большие продажи происходит и приходят продавцы говорят Слушать у нас затоваривание склада у нас в большом количестве и надо срочно склад распродать мы запускаем акцию покупаешь кресло к нему идёт торшер или там покупаешь стул тебе за полцены так что короче делают некоторые правила перед настраивают кассовые машины который был подсказки в

магазин и то же самое делают в в интернете и вот Ну практически всплывающую формочка когда человек что-то выбирает из можно сидеть ему всплывает именно вот эту программу отлично но это там написано Flash Flash уязвимый безопасники находят как эту штуку поломать так и тестирования но приходит и говорят безопасники это нельзя запускать одному сейчас отправлять новый тестировать Короче нам нужно Ещё неделя вот разработчика берут ещё неделю что собственно говорит бизнес он будет отлично но я на вас

положу расходует за хранение вот этих торшеров в течение недели Вот скажите мне того что нас понимают он больше того что мы заплатим за эту за это хранение или нет то есть если вы встанете в позу Я безопасник я вижу это небезопасно не пущу если не будете как бы понимать что на самом деле безопасности такое понятие экономической дата максимальный ущерб от даже взлома этой форма Да там надо посмотреть могут ли украсть персональные данные или нет Если Могут просто там положить сайт и Бог с

ним у нас небольшие продажи на в онлайне там перегружается снова, Если захотят безопасники там оказались в общем достаточно гибкими и они там придумали какие-то другие компенсирующие меры там виртуальный подарок то есть место того чтобы жёстко стоять вот есть правило эти правила не соблюденным этот код не подпишет А вот и это кстати говорит о том что постоянное сотрудничество с функциональными нас тем кому кто собственник получает выгоду от этого сайта не важно Это для сайт госуслуга ты люди которые отвечают за оказание госуслуг не за сайт

незапрограммированные а именно за голову снимать если что-то там не будет работать или будет работать некорректно А вот и вот такая эскалация как бы вопросов да то есть повышение никто уровни принятия решений потому что всегда 4 как минимум четыре точки принятия решений это функциональный заказчик который говорит что должно быть на сайте Какие функции выполняет разработчики они могут быть свои они могут быть контактные они могут быть фрилансером приходящие то есть у вас есть

и различные комбинации Да там ведро пишут одни там интерфейсе пишут другие там пишут 3 и так далее То есть у вас есть три типа разработчиков на каждый Вы можете влиять по-своему и дальше Вы всё техники которые представляют мануфактуру под это если они там ставят на структуру кутузе My операционки или там недолго это тоже как бы повышает риски Да Есть вы безопасники которые в принципе тоже участвует в этапы приемки на этапе тестирования и координируют свои действия со всеми очень часто при разговоре инцидентов

инцидент перебрасывают как горячую картошку потому что они говорят разработчики накосячила sw15 прошли всё хорошо Это айтишники плохо настроили там Linux или какой другой базу базу какую-то А вот обезопасить говорят там вот наш сканер отработали Ничего не нашли А это Там ошибка в логике до этого виноваты проект антонидаса рабочих и так далее вот этот постоянно как бы все писатели сбросить все ответы на самом деле сирийский принимает человек который отвечает за работоспособность сайта должен получить как бы все замечания которые через

которые идут от разработчиков айтишников и Барышников и там взять на себя решение Да что ему важнее ковыряться исправлять что-то на или выпускать функцию и заработать больше чем потерять всё-таки Безопасность это больше про экономию А бизнес это всё-таки больше поработать Если ты не зарабатываешь или ничего это номер надо четко понимать баланс то ради чего мы собственно работаем не просто ради абстрактной безопасная для того чтобы компания не теряла деньги и если она вероятно заработать больше денег потеряет возможно надо чтобы уметь идти на компромисс

А ну вот очень часто бывает главная ошибка Вообще безопасников не только в безопасном приложение Но вообще я как бы начинал с антивирусов с персиком потом подделки система Короче я видел Вот это классическую ошибку безопасника Купить инструмент не имея инструмент контроля не имеют Четкого понимания что надо контролировать и что делать с этим результатам контроля вот у вас есть там политики неважно это политики там используя электронную почту делать или это правило написания кода для для разработчиков Вот

они вы взяли купили какую-то сканер неважно там статические и динамические тамсулозин любовь у вас появилась Какая система контролирует провели нашли какую-то какие-то ошибки какие недостатки возможно эти недостатки там определенных настройках станции Зима начинается совершенно не конструктивный разговор с разработчиками что вот мы нашли у вас вот это они этого сканер плохой докажите нам pinterest.com что вот это найдена уязвимость можно эксплуатировать А ну а как ты как бы для того чтобы показать должен понимать стоят наполнять

реальными данными гнать трафик и видеть что в определенных условиях это Не сработает ли у вас там 5.000 замечание нормальные цифры там для первого прогона сканера какого-то для нового сорта ивы показано замечаний делать принцесс нет вы не будете тебя спрашиваю контролируйте то что не знаете что контролировать и не знаете что делают результатами контроля это всё равно что в отсутствие правила движения мерить скорость нужно померить скорость океана там 131 ты не знаешь можно или

нет Я здесь 130 А если ты как бы спросишь скажешь что здесь нельзя ездить 130 ЗИЛ сказка где написано что здесь нельзя где я расписался в знании того что и дальше хорошо Ты нашел А что дальше штрафую там отбирают права и так далее Если вы знаете то вспомните завтра в дорожном движении они устроены именно так сначала говорят Как ездить вы это сдаёте вы знаете как есть после этого получаете право после этого как бы Ваши действия оценивают там каким-то средствами контроля и дальше Вы четко знаете

за какое нарушение Какой штраф Какое наказание вот если у вас не понимаю страны Вот такая система от разработки до там эксплуатации ТО возникает постоянное трение что вот эти параноики опять своей сканер запускает ананас жалуется А это замедляет выпуск нужного бизнесу или там организации функционал и там мы не выполняем какие-то планы там компании теряют деньги и прочее прочее прочее всё-таки VIP это как бы ну я вижу что это зона компромисса то есть особенно когда вы реально не можете сдвинуть сроки выпуска А когда там была олимпиада были

выборы был мира То есть если там рекламная кампания пошла и трафик пошёл на сайт Вы можете застрелиться Да насрать должен работать с уязвимостями Там в любом случае в поддержку вы не можете запретить выходить даже с кем-то взаимностью Поэтому в принципе есть три основных этапа жизненного Да это разработка куда мной сходим и как бы проектирование там рождения самой идеи до этого всё что касается создание Да я там не обсудили в этом смысле там есть есть тестирование то есть оценка изучения насколько это работающая

приложение и дальше есть эксплуатации и раньше там ещё действует назад добавили три и вообще независимые между собой процессом вот мы сделали что-то Отдали на приём приём какие-то замечания на выкатила вернула мы эти исправить приёмка прошла но выкатили в продуктив если в продукте возникают в пластике тобою там жалобы клиентов какие-то новые идеи что можно исправить Но это всё записываем в задании на апдейт и так живут очень многие заказные системы то есть в

этом проблемы разработки что там всё живое всё дышит Да там не лез как это версия такая-то вот мы закрываем набор птичка этой версии и выпускаем конкретно верстак вчерашний разработки вот мы делаем тиражная продукты всё завершили версия там 50 выходит до версии 5.1 никаких новых фич только исправляем Багги О'КЕЙ в или так нельзя Завтра придёт маркетинг и скажу Здесь должна быть такая кнопочка Мы хотим на сайте опрос или завтра вышел какой-то указ нам надо его опубликовать на наших госуслугах или что-то изменилось в налоговой порядок исчисления и мы должны

там строить НДС с 18 до 20% во всей нашей механике сайта интернет-магазина и так далее так далее Это же не всегда что-то живое поэтому сегодня Это возникло сначала концепция ВКР называется шрифт но подразумевается что если всё идёт слева направо да. разработка слева потом тестирование эксплуатация то тестирование начинается не после разработки а прямо там можешь сказать с первого дня разработать появились инструменты которые там нет того что продукт начнет собираться уже какие-то замечания по качеству года могут выдвигать то есть другая камера день

работал, там вечером с утра пришёл как бы у него уже есть замечания что что не так возможно он это и планировал исправить Да и какое какие-то оценки review не важно ты глазами делала в другом часовом поясе сейчас Это модно когда тест Россия в другом часовом поясе Когда кончаются работы у программистов тестеры начинают это тестировать широка страна моя родная в этом смысле нам в отличие от европейцев не надо там индусов нанимать у нас страна размазано Так что нас есть кому поработать ночью А

вот то есть в этом в этом смысле сегодня это практически единая концепция Да там Континент играешь а когда идут тут же тестируется в чём-то мне все приложения только изменения для этого нужна специальная архитектура Ну вот затем и не прекращается даже на время эксплуатации сегодня много инструментов которые там осуществляют там autopen тесты на любые приложения для встроенного Запусти publications farg'onada отдельные какие-то решения Ну понятно пентесты заказываю там и может быть там этим тестирование для

достаточно серьезных обновления ежедневное обновление они всегда есть их смотрят Вот именно так в автоматическом режиме автоматические сканеры смотрит Она появилась новая кнопочка появилось новое Поле новая форма страничка сейчас мы её попробуем всеми способами поломать вот сегодня вот такой подход он постепенно внедряется если у вас Нет надежды на людей А Надежда на людей у нас реально нет да разработчики мало того что они не куришь цены по мере того что они становятся кажется они склонны место

работы есть несколько таких уровней Орбит на которых вращается разработчики и начиная с низшей Лиги Да тоже такой вот на подхвате водки небольших сайтов Да там люди прокачиваются идут А дальше уже нормальные там студии нормальные компании Ну и как бы мечта предел мечтаний любого разработчика дают какие-то лидеры мировых мировые программы и лидеры там типа Азбука Apple Microsoft а то есть там где в приложении очень гибкий на соцсети в этом смысле конечно очень крутые последнее время кстати вот у меня

увели технического директора забрала китайская компания сейчас китайцы хотят ничуть не хуже То есть если у вас программисты всегда там склонны к мнениям и Вы реально не сможет конкурировать там свои звуком Гуглом тоже с Яндекса Да точно Яндекс люди уходили мы можем построить анашу безопасную разработку и тестирование и защиту защиты Кстати всё тоже самое я вот видел опять в регионах много работы когда человек на защите этом сайте небольшого банка перебрался в большой потом перебрался в Яндекс сбертех и так далее То есть здесь

защита тоже защитники в приложении требуется вот серьёзно не только разработчики поэтому для карьеры тоже полезно заниматься сейчас защиты при сейчас все побежали в цифровизацию государства у нас все цифры вызова на в мобильных приложениях и приложениях Полный вперёд специалисты требуются снова снова и снова там люди строят большие высокие люди запускают огромные новые разработки экосистемы целое поэтому без работы. останемся Если будем заниматься защитой в этом вот Ну на этом я хотел бы самом деле

начать да то есть рекомендации такие да то есть первую очередь понять как у вас приложение создаётся да если это ваши разработчики то наладить контакт с ними и формализовать отношения с ними Какие требования вот мы будем проверять так-то Если в эти требования не будете соблюдать мы там например не Premium у вас рис и отправим его на доработку или если это внешний просто не оплатим там госконтракт пока вот эти требования Вот они заранее известны и вы подписывают контракт их принимаете мы будем проверять и будем вам говорить Что исправить и вы не будете требовать каждый

раз всё было что-то доказали Да это наши требования мы платим деньги мы хотим код вот таком виде Мы хотим функционал в таком виде тома. абзац а иногда приходится менять построение таких приложений Вот она работает с одним банком пока мы не поставили процесс сменилось 3 разработчика причём третий писал на другой платформе то и скажем все сканеры настроенный стали бессмысленно и потому что народ приехал там с Java на ПХП А вот то есть мы строим процессор который идёт от разработки мы оставляем требования к разработке дальше мы

проверяем потом мы как бы защищаем настраиваемая система защиты исходя из того насколько мы знаем приложение да то есть мы можем в этом случае отличить запрограммированная программистами поведение системы от аномального время атаки мы понимаем что делает каждый запрос продолжение внутри работает мы видим не только морду так как безопасники обычно там включили какую-нибудь жалкую она там показывает инцидента но мы понимаем что делает каждый раз потому что понимаю что именно и каким образом это

приложение делают потому что мы общаемся с разработчиком безопасным должен знать то что он защищает это вот сегодня просто требования Нельзя просто как-то защищать инфраструктуру Если вы защищаете прикладные системы Вы должны понимать как они работают Вот ну это на самом деле долгий путь то есть от того что вы приходите Что это значит в скажем 1 с первого дня Да там проходит хорошо Если там месяце А то это могут пройти году были проекторы только на третий год начали работать там вот именно так как

хотя бы Мы считали что это было бы оптимально да то есть не идеальна но всё-таки уже работает слаженно команды разработчиков в них есть люди которые понимают безопасности они являются вашими проводниками в эти системы тоже самое во время тестов вас есть такие кроссы команды до и во время эксплуатации У вас есть тоже люди которые понимают как эта система работает Они просто там как-то реагирует на инцидент вот если будешь смотреть на эту задачу целиком то гораздо проще вам Будет обходиться с технологиями То есть я

намеренно не говорил там различных методах защиты их слава Богу есть в любой нише там десяток продуктов русских иностранных дорогих и дешевых сложных и простых бесплатных сенсорных Если вы хотите есть это всё в принципе выпад свой бюджет и задачи всегда всё подберете но вы должны на это всё смотреть никак на Давайте включим какую-нибудь ещё сканер и получаем кучу да посмотри на это как некий процесс создания ценности для компании для организации в которой вы занимаете

одну из ключевых ролей обеспечение безопасности бесперебойно сокращения потерь и так далее вот вот это как бы основная рекомендацию Спасибо что меня слушать

Комментарии для сайта Cackle

Купить этот доклад

Доступ к видеозаписи доклада «Защита сайтов»
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно

Интересуетесь тематикой «Информационная безопасность»?

Возможно, вас заинтересуют видеозаписи с этого мероприятия

21 июля 2020
Онлайн
20
96
безопасность персонала, взаимоднействие с бизнесом и командой, иб без бюджета, ибнужныпрофи, информационная безопасность, код иб, код иб профи, сервисная модель в иб, управление security operations, управление иб, управление инцидентами

Купить это видео

Видеозапись

Доступ к видеозаписи доклада «Защита сайтов»
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно