Просмотров: 22118
Дата последнего изменения: 23.09.2021
Сложность урока:
3 уровень - средняя сложность. Необходимо внимание и немного подумать.
1
2
3
4
5
Чтобы не пропала информация
Этот риск обычно курирует выделенное подразделение или эксперты, которые находятся в подразделении разработки и участвуют в аудите кода.
При сторонней разработке рекомендуем роль данного эксперта привязать к владельцу веб-системы – для независимого и объективного контроля подрядчика.
Обычно риски Информационной безопасности минимизируют следующими процедурами:
Юридическое оформление соглашения о неразглашении.
Техническое
ограничение доступа
Управление доступом в рамках системы подразумевает: доступ к модулям, доступ к элементам динамического контента, доступ к файлам и папкам.
Подробнее ...
сотрудникам на разные части веб-системы. Разработчики не должны иметь полные права на все файлы и базы данных на серверах заказчика, что нередко бывает на практике. Сотруднику необходимо выдавать только такие права, с помощью которых он сможет решить поставленную задачу, и не больше. При увольнении сотрудник должен быть ограничен в доступе к ресурсам веб-проекта.
Ограничение на доступ к серверам веб-проекта
только из офисов компании
Защита административной части сайта осуществляется с помощью ограничения доступа со всех, кроме указанных в настройках IP-адресов...
Подробнее ...
. Если необходим доступ из других точек, можно использовать VPN и другие техники, но с жестким контролем ротации ключей и возможностью быстрого блокирования учетных записей.
Аудит кода. Рекомендуется просматривать создаваемый в веб-проекте код на предмет ошибок в области ИБ и backdoors, иногда оставляемых (и забываемых) разработчиками.
Регулярный аудит подразделением информационной безопасности подразделения эксплуатации. Проверка открытых портов, наличия механизма ротации ключей доступа сотрудников на сервера, стойкости ключей/паролей, использования мульти-факторной авторизации, наличия процедуры регулярного обновления серверов веб-проекта для защиты от открывающихся уязвимостей, использование антивирусного ПО.
Регулярный аудит других подразделений на предмет выполнения требований ИБ. Проверка регулярных обновлений операционной системы и используемого для работы с веб-проектом софта, наличия антивирусной защиты на рабочих местах, ограничения доступа на ресурсы и в административную часть веб-проекта только из офисов компании, использование мульти-факторной авторизации, ротации паролей (раз в несколько месяцев).
Постоянный мониторинг новостей в области ИБ и быстрое устранение выявленных уязвимостей в программном обеспечении веб-проекта.
Контроль регулярного обновления релиза операционной системы (который обычно выходит раз в несколько лет). Это необходимо, чтобы была возможность оперативно, средствами операционной системы, устанавливать патчи с исправлением безопасности в системных библиотеках. Если релиз операционной системы устарел и не поддерживается вендором – установить патчи, исправляющие бреши в безопасности операционной системы, практически невозможно.
Возможности продукта
Для достижения ранее упомянутых целей важно максимально полно использовать встроенные инструменты модуля
Проактивная защита
Проактивная защита – это комплекс технических и организационных мер, которые объединены общей концепцией безопасности и позволяют значительно расширить понятие защищенности и реакции веб-приложений на угрозы.
Панель безопасности. Для контроля и улучшения общего уровня защищенности веб-системы.
Проактивный фильтр. Для защиты от попыток взлома веб-проекта внешними хакерскими атаками.
Веб-антивирус. Для защиты посетителей веб-сайта от заражения контента сайта. Например, оператор новостей веб-сайта с зараженного компьютера загрузил вирус через админку, и он начал распространяться среди посетителей веб-системы. Этот инструмент хорошо дополняет антивирусную защиту на компьютерах посетителей и не раз доказал свою эффективность.
Инструмент для аудита безопасности PHP-кода. Позволяет выявить популярные ошибки, которые приводят к брешам в информационной безопасности PHP-кода веб-проекта
Инструменты поддержки мультифакторной авторизации – для защиты от утечки паролей и сессий сотрудников и посетителей веб-системы.
Облачный сканер безопасности – для выявления распространенных ошибок в конфигурации веб-проектов и типичных неполадок.