risspa 16 app-sec_d.bezkorovayny_trendmicro
TRANSCRIPT
![Page 1: Risspa 16 app-sec_d.bezkorovayny_trendmicro](https://reader033.vdocument.in/reader033/viewer/2022060202/559c11861a28ab9c398b488c/html5/thumbnails/1.jpg)
Copyright 2009 Trend Micro Inc.Classification 7/9/2010 1
Уязвимости в веб-приложениях как критичный фактор развития киберпреступности
Денис Безкоровайный, CISA, CISSP
Технический консультант, Trend Micro
![Page 2: Risspa 16 app-sec_d.bezkorovayny_trendmicro](https://reader033.vdocument.in/reader033/viewer/2022060202/559c11861a28ab9c398b488c/html5/thumbnails/2.jpg)
Copyright 2009 Trend Micro Inc.Classification 7/9/2010 2
Agenda
Способы монетизации веб-уязвимостей
Способы защиты
Защита самих веб-приложений
Защита пользователей
Выводы
![Page 3: Risspa 16 app-sec_d.bezkorovayny_trendmicro](https://reader033.vdocument.in/reader033/viewer/2022060202/559c11861a28ab9c398b488c/html5/thumbnails/3.jpg)
Copyright 2009 Trend Micro Inc.
История Samy и MySpace
• 10/04/2005, 12:34 pm: У Вас 73 друга.
• 1 час спустя, 1:30 am: У Вас 73 друга и 1запрос на добавление в друзья.
• 7 часов спустя, 8:35 am: У вас 74 друга и 221запрос на добавление в друзья.
• 1 час спустя, 9:30 am: У Вас 74 друга и 480запрос на добавление в друзья.
• 4 часа спустя, 1:30 pm: У Вас 2503 друзей и 6373 запросов на добавление в друзья.
3
![Page 4: Risspa 16 app-sec_d.bezkorovayny_trendmicro](https://reader033.vdocument.in/reader033/viewer/2022060202/559c11861a28ab9c398b488c/html5/thumbnails/4.jpg)
Copyright 2009 Trend Micro Inc.
История Samy и MySpace
За 20 часов – 1 005 831запросов на добавления в
друзья
MySpace перестал работать
http://namb.la/popular/
4
![Page 5: Risspa 16 app-sec_d.bezkorovayny_trendmicro](https://reader033.vdocument.in/reader033/viewer/2022060202/559c11861a28ab9c398b488c/html5/thumbnails/5.jpg)
Copyright 2009 Trend Micro Inc.
It's All about the Benjamins
5
![Page 6: Risspa 16 app-sec_d.bezkorovayny_trendmicro](https://reader033.vdocument.in/reader033/viewer/2022060202/559c11861a28ab9c398b488c/html5/thumbnails/6.jpg)
Copyright 2009 Trend Micro Inc.
Как заработать на уязвимостях?
6PROFIT!
???????
Получить контроль над жертвами
Провести массовое заражение
Найти уязвимости веб-приложений (XSS, Injection, etc)
Разместить вредоносный контент
![Page 7: Risspa 16 app-sec_d.bezkorovayny_trendmicro](https://reader033.vdocument.in/reader033/viewer/2022060202/559c11861a28ab9c398b488c/html5/thumbnails/7.jpg)
Copyright 2009 Trend Micro Inc.
Как от веб уязвимостей страдают пользователи?
• Кража cookies
• Сбор паролей и прочих данных через подложные формы
• Заражение вредоносным ПО (боты, трояны и тд)
![Page 8: Risspa 16 app-sec_d.bezkorovayny_trendmicro](https://reader033.vdocument.in/reader033/viewer/2022060202/559c11861a28ab9c398b488c/html5/thumbnails/8.jpg)
Copyright 2009 Trend Micro Inc.
Методы монетизации ботнетов
• Кража данных и учетных записей
– кредитные карты
– онлайн –банкинг
– FTP
– социальные сети
– электронная почта
• Click Fraud и перехват поискового трафика
– партнерские программы
• знакомства / adult
• легальные системы – оплата трафика
• Установка программ (pay per install)
– FAKEAV – ложные антивирусы
– SMS-вымогатели
• Распределенные вычисления
– распознаватель CAPTCHA
дальнейшее распространение
вредоносного ПО
продажа или вывод средств
![Page 9: Risspa 16 app-sec_d.bezkorovayny_trendmicro](https://reader033.vdocument.in/reader033/viewer/2022060202/559c11861a28ab9c398b488c/html5/thumbnails/9.jpg)
Copyright 2009 Trend Micro Inc.
Пример монетизации:Pay per install
Image © Trend Micro
![Page 10: Risspa 16 app-sec_d.bezkorovayny_trendmicro](https://reader033.vdocument.in/reader033/viewer/2022060202/559c11861a28ab9c398b488c/html5/thumbnails/10.jpg)
Copyright 2009 Trend Micro Inc.
Пример монетизации:Search poisoning
Image © Trend Micro
![Page 11: Risspa 16 app-sec_d.bezkorovayny_trendmicro](https://reader033.vdocument.in/reader033/viewer/2022060202/559c11861a28ab9c398b488c/html5/thumbnails/11.jpg)
Copyright 2009 Trend Micro Inc.
ЗАЩИТА WEB-ПРИЛОЖЕНИЙ
Classification 7/9/2010 11
![Page 12: Risspa 16 app-sec_d.bezkorovayny_trendmicro](https://reader033.vdocument.in/reader033/viewer/2022060202/559c11861a28ab9c398b488c/html5/thumbnails/12.jpg)
Copyright 2009 Trend Micro Inc.
Защита веб-приложений
• Обнаружение–Сканеры безопасности
• Защита–Web Application Firewall
• Предотвращение–SDLC-стандарты
12
![Page 13: Risspa 16 app-sec_d.bezkorovayny_trendmicro](https://reader033.vdocument.in/reader033/viewer/2022060202/559c11861a28ab9c398b488c/html5/thumbnails/13.jpg)
Copyright 2009 Trend Micro Inc.
Web Application Firewall Evaluation Criteria
Copyright © 2005,2006 Web Application Security Consortium (http://www.webappsec.org)
– Section 1 - Deployment Architecture
– Section 2 - HTTP and HTML Support
– Section 3 - Detection Techniques
– Section 4 - Protection Techniques
– Section 5 - Logging
– Section 6 - Reporting
– Section 7 - Management
– Section 8 - Performance
– Section 9 – XML
13
![Page 14: Risspa 16 app-sec_d.bezkorovayny_trendmicro](https://reader033.vdocument.in/reader033/viewer/2022060202/559c11861a28ab9c398b488c/html5/thumbnails/14.jpg)
Copyright 2009 Trend Micro Inc.
Trend Micro Deep Security –защита web-приложений
• Защищает от ключевых уязвимостей:– XSS
– SQL Injection
• Закрывает уязвимости
– До выпуска исправления
– Вместо исправления кода
• Программное решение
– Меньшая стоимость(закупки и последующая) в в в в сравнении с аппаратными решениями
14
![Page 15: Risspa 16 app-sec_d.bezkorovayny_trendmicro](https://reader033.vdocument.in/reader033/viewer/2022060202/559c11861a28ab9c398b488c/html5/thumbnails/15.jpg)
Copyright 2009 Trend Micro Inc.
Trend Micro Deep Security Защита web-приложений в действии
15 © Third Brigade, Inc.
С помощью IBM Rational AppScan просканировано
web-приложение созданное на Microsoft.NET
• выполнено 5 428 теста
без защиты защита Deep Security
![Page 16: Risspa 16 app-sec_d.bezkorovayny_trendmicro](https://reader033.vdocument.in/reader033/viewer/2022060202/559c11861a28ab9c398b488c/html5/thumbnails/16.jpg)
Copyright 2009 Trend Micro Inc.
ЗАЩИТА ПОЛЬЗОВАТЕЛЕЙ
16
![Page 17: Risspa 16 app-sec_d.bezkorovayny_trendmicro](https://reader033.vdocument.in/reader033/viewer/2022060202/559c11861a28ab9c398b488c/html5/thumbnails/17.jpg)
Copyright 2009 Trend Micro Inc.
Как защитить пользователей
• Антивирус? – может защитить только от установки ПО
• Не защищает от кражи данных
– количество образцов постоянно растет
– сигнатурный метод – не панацея
– реактивные меры
• Черные списки?
• Защита от XSS на клиенте?
17
![Page 18: Risspa 16 app-sec_d.bezkorovayny_trendmicro](https://reader033.vdocument.in/reader033/viewer/2022060202/559c11861a28ab9c398b488c/html5/thumbnails/18.jpg)
Copyright 2009 Trend Micro Inc.
Черные списки в браузерах?
18
• Кнопка «Продолжить все равно»
• Неполные списки
![Page 19: Risspa 16 app-sec_d.bezkorovayny_trendmicro](https://reader033.vdocument.in/reader033/viewer/2022060202/559c11861a28ab9c398b488c/html5/thumbnails/19.jpg)
Copyright 2009 Trend Micro Inc.
NoScript?
19
• Плюсы
• Контроль запуска плагинов (Flash, PDF) с недоверенных сайтов
• Фильтрует XSS
• Минусы
• Снижает удобство
• Требует небольшой квалификации
• Только для Firefox
• Обходится социальной инженерией
![Page 20: Risspa 16 app-sec_d.bezkorovayny_trendmicro](https://reader033.vdocument.in/reader033/viewer/2022060202/559c11861a28ab9c398b488c/html5/thumbnails/20.jpg)
Copyright 2009 Trend Micro Inc.
Как защитить пользователей?
20
• Минимизировать последствия
• Самый большой вред – установка ПО
• Предотвратить заражение = запретить доступ к URL загрузчика
• система должна быть очень динамичной
• должна блокировать доступ только к зараженным частям сайтов (а не всему домену)
![Page 21: Risspa 16 app-sec_d.bezkorovayny_trendmicro](https://reader033.vdocument.in/reader033/viewer/2022060202/559c11861a28ab9c398b488c/html5/thumbnails/21.jpg)
Copyright 2009 Trend Micro Inc.
Как построить динамичную и эффективную систему?
21
• Постоянный анализ
• Спам (ссылки)
• Автоматизированный анализ сайтов
• Honeypots
• Реверс-инжиниринг ботов, троянов и вирусов
• Корреляция полученных данных
• Динамическое пополнение баз репутации
• Принудительная защита
![Page 22: Risspa 16 app-sec_d.bezkorovayny_trendmicro](https://reader033.vdocument.in/reader033/viewer/2022060202/559c11861a28ab9c398b488c/html5/thumbnails/22.jpg)
Copyright 2009 Trend Micro Inc.
Релизация подхода в Trend Micro Smart Protection Network
Анализ угрозTrendLabsIP
Репутация почты
URL
Веб репутация
Файлы
Файловая репутация
Корреляция
Сбор информации
об угрозах• Спам-сообщения
• Honeypots
• Web-crawlers
• Схемы обратной связи
• Клиенты
• Партнеры
• Исследования TrendLabs
•5 млрд. запросов URL в день
•5 центров обработки данных (США, Европа, Ближний Восток, Африка, АТР)
•1000 рабочих серверов
![Page 23: Risspa 16 app-sec_d.bezkorovayny_trendmicro](https://reader033.vdocument.in/reader033/viewer/2022060202/559c11861a28ab9c398b488c/html5/thumbnails/23.jpg)
Copyright 2009 Trend Micro Inc.
Что дает реверс-инжиниринг?
23
• Дроп-зоны
• Центры управления
• Сервера обновлений и распространения
• Базы данных мулов
• Сайты партнерских программ с дистрибутивами для pay per install
![Page 24: Risspa 16 app-sec_d.bezkorovayny_trendmicro](https://reader033.vdocument.in/reader033/viewer/2022060202/559c11861a28ab9c398b488c/html5/thumbnails/24.jpg)
Copyright 2009 Trend Micro Inc.
Клиентская машина
Как происходит защита клиентов
24
Приложение /
Браузер
Сервис
прокси
База
репутацииВеб сайт
Желаемое соединение
Реальное соединение
Получение репутации URL
Keep alive
Если разрешено политикой, установка сессии
![Page 25: Risspa 16 app-sec_d.bezkorovayny_trendmicro](https://reader033.vdocument.in/reader033/viewer/2022060202/559c11861a28ab9c398b488c/html5/thumbnails/25.jpg)
Copyright 2009 Trend Micro Inc.
Принудительная защита
25
• Защищаются все соединения, а не только запросы из браузера
• Нет кнопки «продолжить все равно»
![Page 26: Risspa 16 app-sec_d.bezkorovayny_trendmicro](https://reader033.vdocument.in/reader033/viewer/2022060202/559c11861a28ab9c398b488c/html5/thumbnails/26.jpg)
Copyright 2009 Trend Micro Inc.
Заключение
26
• Большинство веб-приложений уязвимы
• SDLC
• сканеры
• Web application firewall
• Для защиты пользователей нужен комплексный подход:
• Система репутации, подобная Smart Protection Network
• Принудильная блокировка доступа
![Page 27: Risspa 16 app-sec_d.bezkorovayny_trendmicro](https://reader033.vdocument.in/reader033/viewer/2022060202/559c11861a28ab9c398b488c/html5/thumbnails/27.jpg)
Copyright 2009 Trend Micro Inc.
Вопросы? Комментарии?
27
http://trendmicro.com/
Спасибо!