Обеспечение информационной безопасности webпорталов. Практика. Олег Ли Заместитель начальника ИТО ДИБ ЗАО «Энвижн Груп» Как это было? • Gosuslugi.ru • Webvybory2012.ru Особенности защиты. С чем боролись? • Высокая загрузка системы • Сбой сразу виден всем • Сложность взаимодействия • Сертифицированные средства ИБ Атаки. На что напоролись? • DDOS • SQL injection • Software misconfiguration • Buffer overflow • Session hijacking Ключевые компоненты защиты Почему WAF? • МСЭ недостаточно! • IDS недостаточно! • Защита web приложений, а не протоколов и портов. • Разбор SSL трафика • Автоматическое принятие решений Что есть в WAF, чего нет в других системах? • Низкий % ложных срабатываний • Динамическое профилирование • Обнаружение утечек ПДН • Поддержка white\black lists • Масштабируемость • Высокая скорость работы (1мс) Схема подключения • Работа в режиме Transparent Bridge, Kernel Proxy, Reverse Proxy, Offline Sniffer. • Отсутствие изменений в сетевой инфраструктуре SecureSphere SE WAF (Sniffing) SecureSphere SE WAF (Inline) INTERNET Защита СУБД • Защита от всех видов SQL-injection • Инспекция баз данных на соответствие нормам безопасности • Возможность работы без дополнительных агентов Дополнительные средства ADC (Application Defense Center)- cервис, предоставляемый профессионалами в области защиты информации. • Исследование новейших угроз сетевым приложениям • Еженедельная поддержка, поддержка по запросу • Регулярное обновление сигнатур Мощная система журналирования и составления отчётности • Множество предустановленных форм отчетов • Широкая автоматизация журналирования • Соответствие стандартам BASEL II Известная проблема безопасности web-портала • Как узнать, что нас атакуют? • А где нас атакуют? • Как понять, что мы отбились? Узнаем по факту? Или анализируем события? Принцип работы ArcSight ESM Антивирусная подсистема Маршрутизаторы, коммутаторы Межсетевые экраны Системы обнаружения вторжений Фильтрация Нормализация Корреляция Приоритизация Агрегирование Серверы, операционные системы Системы аутентификации Десятки сообщений Тысячи сообщений Миллион сообщений Обнаружение атаки на web-портал Для своевременного обнаружения атаки нужно одновременно видеть, что происходит в нескольких сегментах: WWW сервер Intrusion Detection Router FireWall ArcSight ESM Возможно ли это сделать одному оператору? Или группе операторов? Реагирование • Создание инцидента • Блокирование адресов\ссылок\таблиц • Выпуск\установка патча • Проверка «закрытия» уязвимости Спасибо за внимание!