Security Информационная безопасность

• Security Информационная безопасность
  • Зачем
  • Виды атак
  • Паттерны
    • TODO
    • Аутентификация
    • Авторизация
  • Сертификаты
  • Технологии
  • Примеры требований

Зачем

Информационная безопасность - комплекс мер, которые нужны, чтобы защитить от утечки или взлома программы, компьютерные системы и данные.

Матрица ИТ безопасности:

• Device/Endpoint security
• Network security
• Application security
• Data security
• User security

Виды атак

• Атаки загрязнения прототипа
• Кликджекинг
• Табнаббинг и обратный табнаббинг
• API
  • Zombie AP
  • Shadow API
  • Внедрение кода (SQL injection)
  • Cookie не корректно настроен CORS
  • SMS Leak
  • ATO-атаки
  • DDOS

Паттерны

• Device/Endpoint
  • Антивирусы
• Network Сетевая Инфраструктура
  • Шифрование канала связи (трафика): TLS, mTLS, VPN
  • DDOS
  • FireWall
  • NAT, NAC
  • Антивирусы
  • Data loss prevention (DLP)
  • Network segmentation (КСПД)
• Application
  • DevSecOps
  • Аутентификация
  • Авторизация
  • API Security
  • Крипто Защита Информации (Шифрование, ЭЦП) туннель
  • Zero Trust
  • Аудит, логирование
    • Platform V Synapse
    • SIEM (Security information and event management)
  • Конфигурация “Во вне”
    • Пассивная (При сборке приложения)
    • Активная Key Managment, Key Vault
      • HashiCorp Vault
      • альтернативы CyberArk, AWS
• Data
  • Access аудит
• User
  • HTTPS
• Регламентирование
  • 152 ФЗ
  • API Банк РФ
  • ФСТЭК РФ
  • ФСБ РФ
• Организационные
  • Secure by Design
    • матрица рисков
    • поверхность атаки
  • Pen Tests
• Антипаттерны
  • Черные списки
  • Шаблонный код
  • Доверие по умолчанию

Триггеры для подключения, анализа ИБ

• Добавление или, напротив, отказ от внешних точек выхода в интернет
• Изменение внешних API
• Архитектурно-значимые изменения
• Рефакторинг

TODO

• АСП
• PCI DSS
• k8s
  • TLS – cert-manager

Аутентификация

• Состоит из:
  • Сеанса Session (ИД, Роль)
    • Который хранится на стороне сервера
    • ИЛИ передается и проверяется на уровне API GW\ИС
      • API Key
      • Token
        • JWT
        • OAuth
        • Access
        • Refresh
  • Контекста
• Способы аутентификации пользователей и обеспечения безопасности транзакций:
  • одноразовые пароли на основе времени/события
  • одноразовые пароли на основе механизма «запрос – ответ»
  • различные механизмы подписи транзакции на базе симметричных криптографических механизмов (например, технологии EMV-CAP, OATH, проприетарных механизмов)
  • механизмы на основе несимметричных алгоритмов (PKI)
  • специфические механизмы привязки к мобильным устройствам
  • биометрия
• Методы защиты
  • CORS
  • XSS
  • Recaptcha
  • CSRF Token
  • Аутентификация HTTPS
    • SSL\TLS
    • MTLS
  • Схемы аутентификации
• Фреймворки
  • Spring Security
  • NodeJS Passport
• IAM
  • SSO
  • MFA

Авторизация

• Access Control List (ACL)
  • по URI
• RBAC\ABAC

Сертификаты

• Виды сертификатов
  • клиентский client certificate для аунтентификации Mutual TLS (mTLS)
  • самоподписанный self signed certificate
• Типы форматов сертификатов
  • сертификат удостоверяющего центра CA .PEM
  • client certificate
    • .CRT file and the .KEY file
    • .PFX file for your certificate
  • Пример запроса с сертификатом в Postman
• Проверка алгоритма подписи примененного к сертификату
  • 1.2.643.7.1.1.3.2, то сертификат сгенерирован по ГОСТ Р 34.10-2012
  • Если установлен КриптоПро, то в Алгоритме подписи будет отображаться ГОСТ Р 34.11-2012/34.10-2012 256 бит.

Технологии

• КриптоПро
• КриптоАРМ
  • Клиент
    • Linux
  • КриптоАрм Сервер
    • КриптоАрм Сервер Git
• Крипто Провайдеры
  • КриптоПро CSP
  • OpenSSL ГОСТ
• Web Application firewall (WAF) Межсетевые экраны
  • PT Application Firewall
    • Сертификация ФСТЭК
    • OWASP TOP 10
    • DDOS
• Identity and Access Management (IAM)
  • SSO
    • Oauth 2, OpenID Connect, SAML
    • WS-Federation (token)
    • two-factor authentication (2FA)

Примеры требований

• Взаимодействие осуществляется через сеть Интернет по протоколу HTTP с использованием стандартного сетевого порта
• Передача конфиденциальной информации в рамках взаимодействия не предполагается
• Взаимная аутентификация клиента и сервера на базе SSL-сертификатов, шифрование передаваемой информации с использованием протокола HTTPS (TLS 1.2)
• SSL-сертификаты должны быть выпущены доверенными удостоверяющими центрами
• В случае, если взаимодействие осуществляется по внешним сетям передачи данных (далее – внешние сети), и участвующая во взаимодействии ИС Компании не является публичной , сетевой доступ к ИС Компании из внешних сетей, открываемый для обеспечения взаимодействия, должен быть ограничен конкретными адресами внешней ИС или сетью ее владельца и конкретными сетевыми протоколами, используемыми ИС Компании.
• Токен (id сессии), при его использовании, должен быть динамическим (актуальным только для одной сессии одного клиента) и не должен передаваться в URL.