Защита от атак и взлома

реклама
Сайт под атаками
Как обеспечить бесперебойную работу сайта
при постоянных атаках хакеров и ботов
Григорий Земсков, Компания “Ревизиум”
FailOver Conference, 2015
Агрессивна ли веб-среда?
Два мифа про атаки и взлом
| 1 - “Кому я нужен”?
| 2 - Любой взлом – заказ конкурентов
Откуда берутся нецелевые атаки
| 30-45 дней – сайт в поисковом индексе
| Сайт попадает в хакерские выборки
| Сайт начинают атаковать
| Эксплуатация уязвимостей
| Взлом
Причины нецелевых атак
| Быстрое обнаружение ботами
| Автоматизация процесса
| Экономическая выгода
“Хактивизм”
Канал распространения вирусов
| Поиск доступных ресурсов
Есть две новости
| Хорошая:
По статистике – 5-10% атак целевые
| Плохая:
Нецелевые атаки легко провести даже
школьнику
Как находят сайты для атак?
| Google Hacking Database (Google d0rks)
| Выбрали дорк
|
inurl: wp-content/wpback/tup_backups
Нашли “жертву”
Скачали базу сайта
с паролями
| Можно и в автоматическом режиме
Инструменты хакера
Пример нецелевой атаки
Целевые атаки
Пример целевой атаки
Инструменты целевых атак
| OWASP SQLiX, SQLMap, bsqlbf-v2,
pentest-tools.com, xss- scanner.com и др
| DirBuster, Webroot, CMS Bruteforcers for
WP, Joomla, и т.д
Стратегия и тактика при атаках
Что делать?
| Принять факт постоянного
|
|
|
|
|
сканирования
Выполнить аудит безопасности (силами
“безопасников” или самостоятельно)
Регулярно обновлять CMS, скрипты, ПО
Установить защиту (CMS + WAF)
Подключить мониторинг
Соблюдать “гигиену”
Аудит безопасности своими
силами
Проверяем конфигурацию
|
|
|
|
|
|
|
|
Актуальность установленного ПО
Зарегистрированные аккаунты FTP/SSH
Логирование активностей
Резервное копирование
Адрес панели управления
Лишние сервисы и ПО
Сервисы, доступные “снаружи”
Инфраструктура сети
Аудит сайта
| Проведение black-box тестирования
| Аудит исходного кода
| Проверка файловой системы (лишние
файлы, доступные бэкапы, дампы,
info.php, и пр. DirBuster’ом и dirs3arch)
| Проведение нагрузочного тестирования
(Яндекс.Танк)
| Выработка политики безопасности и
процесс реагирования на инциденты
Инструменты пентестера
|
|
|
|
|
|
|
Metasploit Framework
Burp Suite
Acunetix WVS
OWASP ZAP
XSpider
Nessus
Nikto, и др
или развернуть Kali Linux
Защита от атак и взлома
Выбрать хостинг
|
|
|
|
|
|
|
|
Uptime
Репутация
Тарифный план “с запасом”
Защита от DDOS
Наличие WAF
Тестирование безопасности скриптов
Вирусный сканер
Резервное копирование
"Гигиена” безопасности
“Никому не доверять”
Ограничить доступы к сайту
Работать в проверенных сетях
Проверить аккаунты и их привилегии
Регулярно менять пароли
Заменить FTP на SFTP
Тотальное логирование
+
|
|
|
|
|
|
|
Безопасность сервера
| Регулярно обновлять компоненты ОС,
|
|
|
|
|
|
ПО
Отключить ненужные сервисы
Настроить Firewall
Изменить порты по-умолчанию
Доступ SSH по ключам, нет SSH root’у
Fail2ban, Logwatch
Lynis, Tiger, auditd, aide
Использование WAF
WAF на уровне CMS (Битрикс)
WAF через .htaccess или nginx.conf
WAF сервера (mod_security)
WAF сервисы (Sucuri CloudProxy,
CloudFlare, Wallarm, Айри)
| “Железный” WAF (Cisco, Baraccuda,
Trustwave)
|
|
|
|
Защита от брутфорса
|
|
|
|
Плагины CMS
Правила в .htaccess / nginx.conf
Fail2ban
WAF / Anti-DDOS
Защита от DDOS
| Программная реализация (куки)
| “Железо” хостера
| Сервисы (StormWall Pro, Айри,
QRATOR)
CMS / Server Hardening
| Изолируем сайты друг от друга
| Отключаем системные функции PHP
| Ставим плагины и патчи (suhosin, mail
patch)
| Изменяем права на файлы и
директории
| Устанавливаем доп. аутентификацию
на админ-панель
Выводы и рекомендации
Защита сайта
| Большая часть атак - нецелевые
| Они ориентированы на
|
|
|
|
“среднестатистический” сайт
От нецелевых атак достаточно просто
защититься
Упреждающие процедуры
минимизируют риск
Безопасность – неудобная вещь
Безопасность сайта – про вероятность
Спасибо за внимание!
Григорий Земсков,
Компания “Ревизиум”
ai@revisium.com
http://revisium.com
Скачать