УЦСБ
Решения
  • Информационная безопасность
    • Анализ защищенности
    • Безопасный удаленный доступ
    • Возможности вендоров по предоставлению лицензий для удаленного доступа
    • Обеспечение информационной безопасности
    • Безопасность промышленных систем автоматизации и управления
    • Консалтинг
    • Сервисная поддержка по вопросам ИБ
    • Обеспечение безопасности ПДн и ГИС
    • Выполнение требований Положений Банка России №683-П и №684-П
  • Информационные технологии
    • Цифровая трансформация
    • Сети передачи данных
    • Информационная инфраструктура
    • Информационные сервисы
    • Мультимедийные проекты
    • Сервисы взаимодействия
  • Инженерные системы
    • Центры обработки данных
    • Системы видеонаблюдения
    • Системы пожарной сигнализации
    • Системы объектовой охранной сигнализации
    • Системы защиты периметра
    • Системы контроля и управления доступом
    • Инженерно-технические сооружения
  • Примеры решений
    • Система автоматизации процессов управления информационной безопасностью (САПУИБ) на базе eplat4m
      • Модуль Eplat4m «Управление соответствием требованиям по ИБ. САПУИБ-И»
      • Модуль Eplat4m «Управление инцидентами информационной безопасности. САПУИБ-И»
      • Модуль Eplat4m «Управление классификацией объектов защиты. САПУИБ-И»
    • Система диспетчеризации ЦОД DATCHECK
    • Efros Config Inspector
    • Модуль Eplat4m «Категорирование объектов критической информационной инфраструктуры»
    • Умные решения в управлении ЖКХ на платформе HESKEY
    • CyberLympha DATAPK
    • Модульный ЦОД на основе решения DATARK
    • Система управления событиями ИБ
    • Система управления учетными записями и правами пользователей
    • E4 аудит. Онлайн-сервис дистанционной оценки соответствия ГОСТ Р 57580
Продукты и услуги
  • Корпоративный центр ГосСОПКА
  • Сервисная поддержка
  • Пентесты
  • Консалтинг ИБ
    • Услуги по консалтингу в сфере защиты информации
      • Критической информационной инфраструктуры
      • Государственных информационных систем
      • Финансовых организации
      • Персональных данных
      • Коммерческой тайны
      • Комплексный аудит ИБ
    • Полезные материалы
      • Вебинары серии «Безопасность Финансовых организаций»
      • Вебинары по КИИ
      • Обзоры изменений законодательства ИБ
      • Обзоры изменений в области КИИ
      • Общие статьи
      • Дистанционная оценка соответствия ГОСТ Р 57580
    • Преимущества
    • Лицензии
  • 187-ФЗ
  • Импортозамещение
  • Безопасная разработка ПО
Компания
  • Об УЦСБ
  • Лицензии и сертификаты
  • Партнеры
  • Награды и рейтинги
  • СМК
  • Охрана труда
  • Политика обработки ПДн
  • Важное
Мероприятия
  • Ближайшие мероприятия
  • Прошедшие мероприятия
  • Записи вебинаров
    • Серия вебинаров «SecOps от УЦСБ»
    • Вебинар «Построение системы мониторинга ИБ АСУ ТП»
    • Вебинар «DATAPK: на страже АСУ ТП»
    • Вебинар «Анализ защищенности сети предприятия»
    • Вебинар «Офис на удаленке: эффективная и безопасная работа»
    • Серия вебинаров «Безопасность финансовых организаций»
    • Записи вебинара «Российское программное обеспечение. Методология перехода»
    • Серия вебинаров «Кибербезопасность АСУ ТП»
    • Серия вебинаров «Безопасность КИИ и требования 187-ФЗ»
    • Серия вебинаров ИБ. Стратегия обороны
    • Серия вебинаров УЦСБ. Держи марку!
    • Серия вебинаров ИБ АСУ ТП NON-STOP
Пресс-центр
Карьера
Контакты
Ещё
    Задать вопрос
    +7 (343) 379-98-34
    Заказать звонок
    info@ussc.ru 

    Россия, 620100, г. Екатеринбург, ул. Ткачей, 6
    • Вконтакте
    • Habr
    +7 (343) 379-98-34
    Заказать звонок
    УЦСБ
    Решения
    • Информационная безопасность
    • Информационные технологии
    • Инженерные системы
    • Примеры решений
    Продукты и услуги
    • Корпоративный центр ГосСОПКА
    • Сервисная поддержка
    • Пентесты
    • Консалтинг ИБ
    • 187-ФЗ
    • Импортозамещение
    • Безопасная разработка ПО
    Компания
    • Об УЦСБ
    • Лицензии и сертификаты
    • Партнеры
    • Награды и рейтинги
    • СМК
    • Охрана труда
    • Политика обработки ПДн
    • Важное
    Мероприятия
    • Ближайшие мероприятия
    • Прошедшие мероприятия
    • Записи вебинаров
    Пресс-центр
    Карьера
    Контакты
      УЦСБ
      Решения
      • Информационная безопасность
      • Информационные технологии
      • Инженерные системы
      • Примеры решений
      Продукты и услуги
      • Корпоративный центр ГосСОПКА
      • Сервисная поддержка
      • Пентесты
      • Консалтинг ИБ
      • 187-ФЗ
      • Импортозамещение
      • Безопасная разработка ПО
      Компания
      • Об УЦСБ
      • Лицензии и сертификаты
      • Партнеры
      • Награды и рейтинги
      • СМК
      • Охрана труда
      • Политика обработки ПДн
      • Важное
      Мероприятия
      • Ближайшие мероприятия
      • Прошедшие мероприятия
      • Записи вебинаров
      Пресс-центр
      Карьера
      Контакты
        УЦСБ
        УЦСБ
        • Решения
          • Назад
          • Решения
          • Информационная безопасность
            • Назад
            • Информационная безопасность
            • Анализ защищенности
            • Безопасный удаленный доступ
            • Возможности вендоров по предоставлению лицензий для удаленного доступа
            • Обеспечение информационной безопасности
            • Безопасность промышленных систем автоматизации и управления
            • Консалтинг
            • Сервисная поддержка по вопросам ИБ
            • Обеспечение безопасности ПДн и ГИС
            • Выполнение требований Положений Банка России №683-П и №684-П
          • Информационные технологии
            • Назад
            • Информационные технологии
            • Цифровая трансформация
            • Сети передачи данных
            • Информационная инфраструктура
            • Информационные сервисы
            • Мультимедийные проекты
            • Сервисы взаимодействия
          • Инженерные системы
            • Назад
            • Инженерные системы
            • Центры обработки данных
            • Системы видеонаблюдения
            • Системы пожарной сигнализации
            • Системы объектовой охранной сигнализации
            • Системы защиты периметра
            • Системы контроля и управления доступом
            • Инженерно-технические сооружения
          • Примеры решений
            • Назад
            • Примеры решений
            • Система автоматизации процессов управления информационной безопасностью (САПУИБ) на базе eplat4m
              • Назад
              • Система автоматизации процессов управления информационной безопасностью (САПУИБ) на базе eplat4m
              • Модуль Eplat4m «Управление соответствием требованиям по ИБ. САПУИБ-И»
              • Модуль Eplat4m «Управление инцидентами информационной безопасности. САПУИБ-И»
              • Модуль Eplat4m «Управление классификацией объектов защиты. САПУИБ-И»
            • Система диспетчеризации ЦОД DATCHECK
            • Efros Config Inspector
            • Модуль Eplat4m «Категорирование объектов критической информационной инфраструктуры»
            • Умные решения в управлении ЖКХ на платформе HESKEY
            • CyberLympha DATAPK
            • Модульный ЦОД на основе решения DATARK
            • Система управления событиями ИБ
            • Система управления учетными записями и правами пользователей
            • E4 аудит. Онлайн-сервис дистанционной оценки соответствия ГОСТ Р 57580
        • Продукты и услуги
          • Назад
          • Продукты и услуги
          • Корпоративный центр ГосСОПКА
          • Сервисная поддержка
          • Пентесты
          • Консалтинг ИБ
            • Назад
            • Консалтинг ИБ
            • Услуги по консалтингу в сфере защиты информации
              • Назад
              • Услуги по консалтингу в сфере защиты информации
              • Критической информационной инфраструктуры
              • Государственных информационных систем
              • Финансовых организации
              • Персональных данных
              • Коммерческой тайны
              • Комплексный аудит ИБ
            • Полезные материалы
              • Назад
              • Полезные материалы
              • Вебинары серии «Безопасность Финансовых организаций»
              • Вебинары по КИИ
              • Обзоры изменений законодательства ИБ
              • Обзоры изменений в области КИИ
              • Общие статьи
              • Дистанционная оценка соответствия ГОСТ Р 57580
            • Преимущества
            • Лицензии
          • 187-ФЗ
          • Импортозамещение
          • Безопасная разработка ПО
        • Компания
          • Назад
          • Компания
          • Об УЦСБ
          • Лицензии и сертификаты
          • Партнеры
          • Награды и рейтинги
          • СМК
          • Охрана труда
          • Политика обработки ПДн
          • Важное
        • Мероприятия
          • Назад
          • Мероприятия
          • Ближайшие мероприятия
          • Прошедшие мероприятия
          • Записи вебинаров
            • Назад
            • Записи вебинаров
            • Серия вебинаров «SecOps от УЦСБ»
            • Вебинар «Построение системы мониторинга ИБ АСУ ТП»
            • Вебинар «DATAPK: на страже АСУ ТП»
            • Вебинар «Анализ защищенности сети предприятия»
            • Вебинар «Офис на удаленке: эффективная и безопасная работа»
            • Серия вебинаров «Безопасность финансовых организаций»
            • Записи вебинара «Российское программное обеспечение. Методология перехода»
            • Серия вебинаров «Кибербезопасность АСУ ТП»
            • Серия вебинаров «Безопасность КИИ и требования 187-ФЗ»
            • Серия вебинаров ИБ. Стратегия обороны
            • Серия вебинаров УЦСБ. Держи марку!
            • Серия вебинаров ИБ АСУ ТП NON-STOP
        • Пресс-центр
        • Карьера
        • Контакты
        • +7 (343) 379-98-34
        info@ussc.ru 

        Россия, 620100, г. Екатеринбург, ул. Ткачей, 6
        • Вконтакте
        • Habr
        • Главная
        • Пресс-центр
        • Новости
        • Анализ защищенности web-порталов высших учебных заведений или «Незачёт!»

        Анализ защищенности web-порталов высших учебных заведений или «Незачёт!»

        12 июня 2015
        Новости

        Компания ООО «УЦСБ» провела исследование по анализу защищенности web-порталов высших учебных заведений, расположенных в г. Екатеринбург. Объектами исследования стали 27 web-порталов. По результатам проведенного тестирования учебные заведения города получили «хвостовки», но даже эта процедура не содействовала пересдаче.

        Начнем с терминологии

        В данной статье под web-порталом понимается сайт организации, на котором размещается информация в открытом доступе для внешних и внутренних пользователей. При этом необходимо учитывать, что сайт организации зачастую тесно интегрирован с ее информационными системами и базами данных (далее – БД), поэтому его необходимо рассматривать в совокупности с данными ресурсами.

        С анализом защищенности все несколько сложнее. Существует великое множество толкований этого термина, которые, как правило, сводятся к вполне определенной основе: это либо инструментальный анализ существующих уязвимостей и оценка их критичности, либо имитация реальных атак – то есть имитация действий злоумышленника по получению несанкционированного доступа в информационную систему. Анализ защищенности проводится с целью тестирования существующих систем безопасности.

        В данном исследовании анализ защищенности web-портала высшего учебного заведения (далее – ВУЗ) основывался на выявлении и подтверждении уязвимостей web-портала.

        Все исследования проводились без осуществления несанкционированного доступа и нарушения работы ресурсов web-порталов. Анализ был реализован в ручном режиме и с использованием различных автоматизированных сканеров безопасности в щадящем и скрытном режимах.

        Ловкость рук и никакого мошенства

        В результате проведенного анализа защищенности специалисты компании «УЦСБ» получили интересные результаты, которые свидетельствуют о том, что не все учебные заведения города уделяют должное внимание безопасности своих web-порталов.

        Из 27 web-порталов, попавших в область исследования, на 10 были обнаружены критичные уязвимости. Сводная статистика по типам обнаруженных уязвимостей представлена на рисунке 1. 

        Рисунок 1 –Типы уязвимостей web-порталов ВУЗов Екатеринбурга

        Как показывает статистика, 18% web-порталов оказались подвержены SQL-инъекции, которая дает злоумышленнику один из самых доступных способов взлома сайта. Суть таких инъекций – внедрение в данные (передаваемые через GET, POST запросы или значения cookie) произвольного SQL-кода. Если сайт уязвим и выполняет такие инъекции, то злоумышленник получает возможность обращаться к БД (чаще всего это MySQL) и распоряжаться ею по своему усмотрению.

        Еще одной распространенной уязвимостью (18% web-порталов) оказалась возможность межсайтового скриптинга (XSS). XSS – это возможность злоумышленника определенным образом интегрировать в страницу сайта скрипт, который будет выполнен при ее посещении. XSS-атака может быть направлена на кражу личных данных, таких как cookies, пароли и т.д., или внедрение кода скриптов и ссылок на страницы сайта.

        Среди файлов, доступных для просмотра и скачивания, были обнаружены файлы, содержащие логины и пароли пользователей, файл phpinfo, содержащий информацию о текущей конфигурации PHP и другие виды частных файлов.

        При проведении анализа защищенности одного из исследуемых web-порталов случайным образом была обнаружена его потенциальная подверженность DoS-атакам из-за особенностей хостинга. Эта особенность заключается в том, что при превышении допустимого количества трафика за единицу времени или предельного значения нагрузки на центральный процессор на стороне хостинга происходит отключение сайта на некоторое время. Как правило, подобные слабости web-порталов маловероятно выявить без проведения целенаправленного анализа возможности реализации D(D)oS-атак, и данный вид анализа не входил в рамки настоящего исследования.

        Помимо упомянутых типов уязвимостей на 5 исследуемых web-порталах были найдены ошибки, в том числе множество открытых портов в сетях учебного заведения (MySQL, RDP, SSH), вывод ошибок сайта и пустой сайт.

        Еще одним любопытным результатом исследования стало обнаружение следов взлома web-порталов нескольких ВУЗов. Среди следов были обнаружены:

        -        остатки фишинговых страниц на сайте учебного заведения;

        -        страницы с так называемыми дефейсами;

        -        информация, размещенная на различных форумах, подтверждающая факт утечки БД с web-портала.

        Располагайтесь, будьте как дома

        Результаты анализа возможных последствий от эксплуатации найденных уязвимостей и ошибок приведены на рисунке 2.

        Как видно из диаграммы, представленной на рисунке, эксплуатация найденных слабых мест позволяет злоумышленнику в полной мере использовать уязвимые web-порталы учебных заведений для своих нужд.

        Рисунок 2 – Результаты анализа возможных последствий от
        эксплуатации найденных уязвимостей

        Почему это важно?

        Сегодня предоставление адекватной, достоверной и полной информации – важная задача как для государственных, так и для коммерческих организаций. Тенденция использовать в своей деятельности публичные web-порталы, подключенные к сети Интернет, не обошла стороной и ВУЗы, которые размещают на web-порталах информацию о своей деятельности, контакты для взаимодействия с подразделениями или руководством и справочную информацию, в том числе научные публикации и заявления от имени руководства учреждения.

        При этом ошибки в системе защиты web-порталов можно отнести к существенным недостаткам организации защиты информации, поскольку уязвимости web-порталов дают потенциальному злоумышленнику набор инструментов для проникновения в информационные системы ВУЗа. Такое несанкционированное проникновение может привести к утечке конфиденциальной информации, включая личные данные пользователей, нарушить режим работы web-портала или навредить репутации учебного заведения – в случае, если web-портал будет использован как площадка для осуществления атак на другие сайты или при размещении злоумышленником на портале компрометирующей или скандальной информации.

        «Незачёт!» и «выдача хвостовки»

        Одной из ключевых характеристик эффективной системы защиты информации является скорость реакции специалистов организации на информацию об уязвимых местах и наличии ошибок в системе безопасности.

        Для того, чтобы оценить, как быстро учебные заведения способны реагировать на подобную информацию и насколько они заинтересованы в совершенствовании принятых мер по защите информации, администраторы web-порталов были информированы о найденных уязвимостях и способах их устранения, спустя один месяц специалисты УЦСБ провели повторный анализ защищенности web-порталов.

        Полученный результат не только не позволил получить «перезачет», но и выглядел весьма удручающе – только одно учебное заведение исправило выявленные уязвимости, при этом обратная связь не была получена ни от одного учреждения.

        И что с этим делать?

        Как известно, прочность цепи определяется прочностью самого слабого ее звена. Учитывая тот факт, что ресурсы публичного web-портала по определению открыты любому пользователю сети Интернет, они становятся потенциальной мишенью для атак злоумышленников. Важно учитывать и то, что за последние несколько лет наблюдается значительный рост информационных атак, основная часть которых направлена именно на общедоступные ресурсы, к которым относятся и публичные web-порталы.

        Результаты проведенного исследования показывают, что сегодня ВУЗы Екатеринбурга уделяют недостаточное внимание защищенности своих web-порталов, и ставят тем самым под угрозу безопасность обрабатываемой информации и внутренних информационных ресурсов учреждения.

        Для защиты web-портала наиболее целесообразно применять комплексный подход, сочетающий организационные и технические меры защиты информации.

        Организационные меры связаны с разработкой внутренних документов, определяющих мероприятия по защите информации, и внедрением соответствующих процедур в деятельность компании.

        Технические меры защиты реализуются при помощи программных, аппаратных или программно-аппаратных средств, объединенных в комплекс и включающих в себя подсистемы антивирусной защиты, контроля целостности, разграничения доступа, обнаружения вторжений, анализа защищенности, криптографической защиты информации и подсистему управления.

         

        Авторы статьи:

        Дащенко Владимир,

        аналитик департамента

        системной интеграции УЦСБ

        vdashenko@ussc.ru

         

        Рублева Екатерина,

        аналитик департамента

        системной интеграции УЦСБ

        erubleva@ussc.ru



        Фишинг – вид компьютерного мошенничества, заключающийся в создании поддельной страницы известного сайта, практически не отличимой от оригинала, с целью обманом заставить жертву установить на свой компьютер какую-либо программу, открыть инфицированный файл, ввести пароли к различным аккаунтам, номера банковских счетов, PIN-коды и др.

        Deface – тип атаки, при которой одна страница сайта заменяется на другую – как правило, вызывающего вида (реклама, предупреждение, угроза…). Зачастую доступ ко всему остальному сайту блокируется, или же прежнее содержимое сайта вовсе удаляется.

         

        Поделиться
        Назад к списку
        Решения
        Информационная безопасность
        Информационные технологии
        Инженерные системы
        Примеры решений
        Продукты и услуги
        Корпоративный центр ГосСОПКА
        Сервисная поддержка
        Пентесты
        Консалтинг ИБ
        187-ФЗ
        Импортозамещение
        Безопасная разработка ПО
        Компания
        Об УЦСБ
        Лицензии и сертификаты
        Партнеры
        Награды и рейтинги
        СМК
        Охрана труда
        Политика обработки ПДн
        Важное
        Пресс-центр
        Карьера
        Контакты
        Подписка на рассылку
        +7 (343) 379-98-34
        Заказать звонок
        info@ussc.ru 

        Россия, 620100, г. Екатеринбург, ул. Ткачей, 6
        • Вконтакте
        • Habr
        Версия для печати
        Политика конфиденциальности
        © 2023 ООО «УЦСБ». Все права защищены.
        Разработка сайта IT Cloud
        Продолжая пользоваться нашим сайтом, Вы даете согласие на обработку ваших cookie файлов. Мы используем cookie-файлы, для того, чтобы получать статистику, которая помогает показывать вам самые интересные и выгодные предложения. Вы можете отключить cookie-файлы в настройках браузера.
        Заказать звонок
        Обратная связь
        Задать вопрос эксперту
        Офисы