Практическая безопасность веб-проектов

Начало: 15 Апреля в 15:30

Зал 7, Секция 70

INFOSECURITY (Информационная безопасность)

I. Современный “агрессивный” интернет (Григорий Земсков, Revisium.com)

Современные тенденции в плоскости информационной безопасности сайтов: постоянный рост числа нецелевых атак на сайты, увеличение объема “агрессивного” трафика, сравнение с тем, что было несколько лет назад, необходимость переосмыслить отношение к веб-безопасности. Примеры того, как любой сайт, как только попадает в поисковую выдачу и становится доступным публично, подвергается постоянным нецелевым атакам (брутфорс «админок» CMS, проверка CMS и скриптов на публичные уязвимости и 0day уязвимости, поиск чувствительных файлов в известных каталогах: бэкапы, конфиги и пр.).

Обзор популярных целевых атак (брутфорс админ-панели, DOS атаки с использованием уязвимостей в скриптах и ошибок в архитектуре сайта, DDOS атаки по заказу, атаки уровня L7+ на бизнес-логику приложения и на бизнес-процессы, связанные с веб-сайтом). Как защититься от этих видов атак. Какие последствия ждут сайты, если они оказываются взломанными и зараженными.

II. Аналитический обзор средств защиты интернет-контента (Дмитрий Главацкий, CDNvideo.ru)

Современные способы воровства различного контента и масштаб проблемы. Враг не пройдет: как защитить контент до того, как его своровали. Поздно пить боржом?.. Как защитить контент после того, как его своровали. Экспонаты руками не трогать! Методы защиты графического контента. Мелодии и ритмы современных пиратов. Методы защиты аудиоконтента. А теперь - слайды! Методы защиты видеоконтента.

III. Практическая защита от воровства WAP трафика. Реальные кейсы (Евгений Трухин, Zaycev.net)

Проблема воровства WAP трафика в современном РуНете встала наиболее остро и касается всех ресурсов. Украсть мобильного пользователя и подписать его на Wap подписку могут у любого ресурса и без его ведома, так как текущие технические средства не дают 100% защиты от этого. Решать данную проблему можно благодаря тесному взаимодействию технической службы с отделами маркетинга и рекламы, при непосредственном участии руководителей проектов. Игнорирование данной проблемы может привести к крайне негативным последствиям для ресурса - блокировке в поисковых системах.

Реальные примеры реализации системы защиты от воровства WAP трафика на сайте Zaycev.net. Внедрение системы защиты CSP, ручного тестирования и контроля качества продукта. Практические советы по предотвращению утечки мобильного трафика.

IV. Заоблачная безопасность: как обойти чужие грабли (Александр Демидов, bitrix24.ru)

Актуальность проблемы безопасной веб-разработки (почему на это стоит тратить ресурсы компании). Из чего состоит цикл безопасной разработки, мировые практики (SDL). Как обеспечить безопасность облачных сервисов, кто может нести угрозу, как отслеживать инциденты.

V. Бюджетные технические средства защиты сайтов от взлома и вирусов (Мария Питерская, Айри.рф)

Какими критериями следует руководствоваться при выборе безопасной CMS и хостинга. Как безопасно настроить окружение сайта на различных типах хостинга (shared-хостинг, выделенный сервер). Как правильно защищать CMS и скрипты от веб-атак. Важность защиты внешнего периметра хостинга и способы фильтрации «плохого входящего трафика». Что такое WAF и как он помогает защищать внешний периметр. О важности мониторинга: критические показатели работоспособности и безопасности сайта, варианты мониторинга этих показателей.

VI. Организационные средства защиты сайтов от взлома и вирусов (Максим Лагутин, SiteSecure.ru)

Основные риски в организации разработки, продвижения и поддержки сайта.

Примеры нежелательных последствий.
Практика разделения ответственности за различные участки работ. Как правильно и почему.
Почему надежнее отдавать безопасность сайта на аутсорсинг специалистам, как их найти?

Организаторы и ведущие