КОД ИБ: информационная безопасность
Ток-шоу Безопасная среда ⚡️ 💬 10 примеров хакерских атак на сайты и WEB-приложения 🗓 Cегодня в 12:00 мск
Эксперимент сегодня - транслируем эфир прямо в канале. Присоединяйтесь с мобильных устройств и десктопа
Инсайты: Если сайт с прицелом на будущее, авторизацию по паролю использовать не нужно. Не все эксперты согласны с этим.
Проблема: Сисадминов нет. Продуктовое мышление. Ресурсов нет...
Проблема: Cisco обрубила сервисы в России. Ждём писем от ФСТЭК с оргрекомендациями по импортозамещению, срокам, и тд...
Злоумышленник может запросто получить доступ к исходным файлам, если забыть просто поставить / в конце конфигурационного файла сервера nginx
Эффективные атаки:
фишинг, социальная инженерия, idor, мисконфигурации, небезопасная загрузка файлов, открытые директории и логи, возможность добраться до чувствительных данных, sql-инъекции, prototype polution
фишинг, социальная инженерия, idor, мисконфигурации, небезопасная загрузка файлов, открытые директории и логи, возможность добраться до чувствительных данных, sql-инъекции, prototype polution
Код ИБ рекомендует⚡️
Вебинар "Корпоративная онлайн-коммуникация в кризисной ситуации"
17.03 в 13 мск 🗓
Вебинар "Корпоративная онлайн-коммуникация в кризисной ситуации"
17.03 в 13 мск 🗓
Мнение эксперта: WAF подходит начинающим для базовой защиты. В более сложных случаях, может только помешать и даже стать точкой отказа, встав на пути продакшна.
КОД ИБ: информационная безопасность pinned «Эксперимент сегодня - транслируем эфир прямо в канале. Присоединяйтесь с мобильных устройств и десктопа»
Мнение эксперта: Когда получаем тикет уже в СОКе, понимаем, что waf смогли пройти
Мнение эксперта: Когда вы соглашаетесь на засветку вашей "морды лица", этот хеш станет вашим идентификатором навсегда. Его нельзя сменить и при утечке этот хеш будет использован для авторизации и получения доступа ко всей системе. Тоже касается про глаз, палец и другую биометрию.
👍1
Рекомендации по защите web-ресурсов здесь и сейчас:
- запретить доступ с иностранных ip-адресов
- составить список всех сервисов и проверить их снаружи. отключить то, что не критично для бизнеса или не нужно
- проверить сервисы на стороне внешних провайдеров
- настроить rate limit
- доступ к администрированию только с определенных ip
- отключить вывод ошибок debug
- обновить cms
- не знаете, что делать с сайтом, обратитесь в подрядчику, сделайте базовый пентест и анализ
- сильно дружить с админами :)
- сейчас квалификация атакующих в общей массе не высока, можно отбиться силами квалифицированных админов
- если ваш бизнес связан с веб-сервисами, отдавайте инфобез этих сервисов на аутсорс
- запретить доступ с иностранных ip-адресов
- составить список всех сервисов и проверить их снаружи. отключить то, что не критично для бизнеса или не нужно
- проверить сервисы на стороне внешних провайдеров
- настроить rate limit
- доступ к администрированию только с определенных ip
- отключить вывод ошибок debug
- обновить cms
- не знаете, что делать с сайтом, обратитесь в подрядчику, сделайте базовый пентест и анализ
- сильно дружить с админами :)
- сейчас квалификация атакующих в общей массе не высока, можно отбиться силами квалифицированных админов
- если ваш бизнес связан с веб-сервисами, отдавайте инфобез этих сервисов на аутсорс
Мнение эксперта: нужно перестать искать золотой ключик от решения проблем иб. ИБ - это процесс. Нет смысла платить иб-шникам меньше чем джуну по php
Мнение эксперта: никто не знает как правильно, мы все "косячим", мы будем жить в условиях, когда сайты будут взламываться, но кому то повезет :)
Мнение эксперта: надо постоянно делать анализ всего - защищенности, эффективности, процессов и тд.
Мнение эксперта: при выборе пентестеров, ориентируйтесь только на проверенных подрядчиков.
Еще один материал Код ИБ Академии в тему - https://academy.codeib.ru/blog/923349
academy.codeib.ru
Как взаимодействовать с подрядчиком при аутсорсинге защиты от DDoS?