Вопрос владельцам бизнеса по безопасности сайта

Коллеги, давайте активнее :)

Вас правда чтоль не взламывают или этот вопрос несущественен?

После наёма админа, следящего за серваком проблема взломов сайта исчезла.

Менеджеры иногда ставят проги левые себе на компы, приходится периодически проверять их компы, чтобы через них не влезли на админ панель сайта или корпоративную почту.

админ не особо спасет от атаки через веб-интерфейсы. админы заканчивают свое общение с кодингом на уровне скриптописания, а для толковой защиты от тех же иньекций уже нужно глубокое понимание методов взлома от девелоперов двигла...

Не совсем понимаю в чем заключается услуга.

Кейс #1. Появляется 0дей для ssh, нас ломают. Зачем нам после этого аудит безопасности? Сервис не отрубить, т.к. он нужен, как обезопасить себя от 0дея?

Кейс #2. Редактор сайта отреагировал на xss-фейк и слил куку. Вордпресс проифреймили. В чем здесь будет заключаться аудит безопасности? Объяснить как был осуществлен взлом? Или рекрутировать грамотного редактора? =)

Кейс #3. Уже который раз соглашаюсь с Cthulchu, да будет так ;). Стоит дрявый php-фреймворк от старой команды девелоперов, сверху прикручено двигло. Хакеры сканят по вебу этот фреймворк, делают инъекцию, зашиваются на сервере и редиректят весь мобильный трафик на некую смс-партнерку. Одмин палит это под конец недели. В чем здесь заключались бы работы по аудиту безопасности?

Я не то чтобы прикопаться. Просто меня несколько вымораживают обтекаемые формулировки по типу "аудит безопасности". Они абсолютно ни о чем не говорят и напоминают мне инфобизнес.

Вот я, предположим, потенциальный ваш клиент. Когда мне к вам обращаться и по какому поводу? Когда меня взломали? Аудит кода (если да, то какого)? Просто скан нашего проекта серьезными тулзами по типу Metasploit? Обучение персонала по типу "как-лучше-не-делать", исходя из вашего опыта?

P.S. Кейсы привел все навскидку из моего опыта, когда нас ломали =)

Спасибо за ответ, попробую ответить также по кейсам:

Кейс #1. Админ должен быть в курсе зиродеев. Как обезопасить - иметь при себе человека, который будет мониторить сервер на постоянной основе. Человек должен разбираться в безопасности, а иначе толку мало. Этот человек должен быть в курсе последних новостей по ИБ, в т.ч. 0day, чтобы своевременно реагировать на них. Если смотреть приватные зиродеи, то тут никто не застрахован и может засечь вторжение только бдительный админ.

Кейс #2. Знание элементарных правил по информационной безопасности. Это как минимум :). По сабжу, есть варианты, например, двухфакторная авторизация для людей с правами редактора и выше. Кука ничего не даст, если не знать связку логин-пароль для .htaccess или basic-auth. Это как пример.

Кейс #3. Давайте разделять аудит безопасности сайта и сервера :) У меня, например, эти услуги отделены. Аудит кода позволяет закрыть дырки в коде, аудит сервера - на сервере, грамотная настройка прав доступа, проверка на рутабильность и т.д. Вкупе, образуется синергия, которая дает неплохие результаты.

Отдельное спасибо за кейсы из реальной жизни :).

На вторую часть отвечу из своего реального опыта. Ко мне чаще всего обращаются, когда сайт уже был взломан, к сожалению. Есть те, кто заказывает аудит непосредственно перед запуском в продакшн, есть те, кто делает профилактику, предполагая, что с безопасностью могут быть проблемы. Самым лучшим решением считаю - одновременный аудит кода и сервера до запуска сайта в продакшн. Это самый идеальный вариант :).

Как потенциальному клиенту сообщаю - мы не занимаемся сканом типа метасплоита, если на этом нет необходимости. Чаще всего, аудит скриптов, кода. Вручную + вспомогательные тулзы. Анализаторы кода работают по шаблону и могут выявить какие-то самые примитивные уязвимости.

В моей практике обучения персонала "как-лучше-не-делать" не было. Обычно был контакт с разработчиками, которым объяснялась суть уязвимости, как её можно проэксплуатировать, как лучше закрывать дырку, рекомендации. Выполнить их или нет решает уже сам клиент. Вот как-то так.

Cthulchu, верно, но скорее всего вы о разных типах аудита безопасности говорите :).

Пройдемся еще раз по кейсам.

Кейс #1.

У меня абсолютно обычный админ, но весь софт ап-ту-дейт, и 0деи регулярно проверяются. Возьмем обычный сервер из коробки, например, с Gentoo. Что вы можете посоветовать моему админу для избежания приватных зироудеев? Если вы беретесь за мониторинг таких серверов сами, то сколько это будет стоить за сервер в месяц? Существует ли у вас российское юридическое лицо для заключения договора? Прописаны ли какие-то гарантии в договоре? Или речь идет о 0day liability?

Кейс #2.

Разумный ответ. Сколько бы вы взяли за этот совет (конечно, с учетом конкретной реализацией двухфакторки, плагин там какой бесплатный, например), если бы я обратился к вам сразу после взлома?

Кейс #3.

Rebz, так уже лучше, становится понятней. Но возникают новые вопросы.

Во-первых, это цены. Аудит кода считается вероятно по часам? Аудит сайта и сервера есть опечатка? Т.е. подразумевалось аудит кода и аудит сайта? Если не опечатка, то поясните, что есть аудит сайта и чем это отличается от аудита сервера? Или аудит сайта от аудита кода?

Во-вторых, все же хочется услышать конкретнее, что вы делаете. Остановимся на аудите кода. Предположим, у меня есть несколько пхп-админок, которые мне хотелось бы проверить на возможные баги. Каким образом происходит аудит? Исходников, предположим, у меня нет и все под зендом. А если, предположим самое ужасное, я даю вам не свои админки, а админки моего конкурента? Т.е. использую вас в темную =) Фактически получается, что я заказываю вам взлом? Или вы всегда требуете доказать владение кодом =)?

P. S. Я если вас утомлю, вы скажите. На самом деле тема интересна и актуальна, к тому же есть минутка свободная.

Rodnoi, боюсь мы загадим тему своей личной перепиской :)

Все же, цель опроса - разобраться как обстоят дела в сфере веб-безопасности, а не пиар моего бизнеса :).

Я отвечу Вам в ПМ через некоторое время.

есть с десяток популярных движков, у многих есть форумы пользователей. Плюс вебленсер, фриленсер.

http://forum.webasyst.ru/

Там надо искать клиентов. Я своего админа нашёл на фрилансе, продвиженца на сапу тут.

Так что рекомендую там и искать клиентов. Больше отдачи будет. Тут ветка свежая, народа по теме трётся мало.

На мой взгляд, для реально действующих проектов вопрос "как сделать чтобы не взломали?" или "что делать когда взломали?" - совершенно тривиально решаемые вопросы. Правильно сформулированный вопрос, это: "как сделать чтобы когда взломали, это не отразилось негативно на работе проекта".

Что касается разного рода услуг. Лично я, третьих лиц к своим проектам не подпустил бы ни при каких обстоятельствах.

Спасибо за ссылку, посмотрю, но цель, повторюсь, не в поиске клиентов, а в поиске целевой аудитории, её потребностей и нужд.

Solmyr, я понимаю и разделяю Ваш подход, его наверное многие придерживаются. Точнее так, 70-80% клиентов хотят проверить свой сайт на уязвимости не давая исходного кода. Это называется тестирование на проникновение методом черного ящика, эмуляция действий взломщика. Это тоже делаем, но эффективность крайне мала, относительно аудита исходного кода, когда все уязвимости видны на ладони. Но это все детали.

Спасибо за сформулированный вопрос. Я тут недавно понял, что клиенту важнее ответить на вопрос как быстро восстановиться после взлома, чем думать о превентивной защите.

PS "как сделать чтобы когда взломали, это не отразилось негативно на работе проекта" - подумал, что ответ на этот вопрос скорее знаем мы, чем наш потенциальный заказчик. А мне важно понять нужды заказчика. Поправьте, если не прав.