Перейти к содержанию

Салют 👋,
Данная лабораторная работа посвещена закреплению всех приобретенных навыков, где вам следует использовать все поулченные знания за все время обучения.

  • Эта работа позволит вам:
  • Проанализировать принципы обеспечения безопасности CI/CD-конвейера
  • Выявить недостатки в веб-интерфейсе
  • Исследовать логику возникновения уязвимостей в коде
  • Оценить последствия отсутствия контроля в конвейере поставок ПО, которые позволяют злоумышленнику осуществить кражу конфиденциальных данных, получить несанкционированный доступ за счёт повышения привилегий, скомпрометировать архитектуру системы
  • Ваша задача на практике отработать классификацию рисков ИБ на базе примеров задач бизнеса, использовать знания по обнаружению уязвимостей, выставлению требований к разработке ПО, какие анализаторы использовать и иное
  • Отработка знаний позволит вам научиться получать и добиваться нужного эффекта от бизнеса, приоритезировать задачи ИБ в продуктовом RoadMap и выделять косты бюджета на активности ИБ

Для сдачи данной работы также будет требоваться ответить на дополнительыне вопросы по описанным темам. После выполнения задания вы получите корректировку ответов и пояснения для развития компетенций в области.

Цель

  • Закрепить полученные знания
  • Развить навыки стратегического взаимодействия с бизнесом
  • Научиться прогнозировать влияние задач на процессы разработки и бизнес-результаты, а также анализировать последствия невыполнения требований ИБ
  • Разбор архитектурного решения позволит понять на практике, куда и как встраиваются требования, инструменты, политики и человеческие ресурсы ИБ

Ремарка

Помните о акценте на быструю поставку ценности, а также только необходимого функционала – приоритет задач бизнеса, так как важно проработать изменение логики функциональных/ не функциональных требований ИБ.

Зафиксируйте риски информационной безопасности, связанные с данной активностью, и классифицируйте их по следующим категориям:

  • регуляторные требования
  • утечки данных
  • киберпреступления

Структура репозитория лабораторной работы

lab10
└── README.md

Задание

Бизнес хочет протестировать гипотезу целесообразности нового продукта для клиентов в виде web-приложения. Гипотеза направлена на сбор информации из публичных источников о гастрономических заведениях и их оценках, продвижения – то есть анализ конкурентных преимуществ.

Активность бизнеса предполагает запуск веб-приложения по типу с отзывами о кафе и ресторанах. Бизнес предполагает, что необходим личный кабинет пользователя, который позволит идентифицировать человека и контролировать достоверность его отзывов.

Бизнес понимает, что это нужно для снижения риска потери деловой репутации, как маркетера, так и порчи репутации заведений, которые оцениваются (учитывайте влияние на наш бизнес, когда контрагент, партнер получает негатив от наших клиентов) и, что следует контролировать контент.

Основное

  1. Нам нужно оценить риски, которые повлияют на бизнес и предложить лучшие решения для них
  2. Приложение позволяет осуществлять бронирование мест с данными о клиенте за индивидуальное вознаграждение (для увеличение роста клиентов)
  3. Страница бронирования включает:
  • информацию о заведении,
  • рецензию,
  • наименования личных аккаунтов пользователей,
  • пользовательский рейтинг,
  • балльную оценку заведения,
  • текст отзыва (нам надо также учесть валидацию данных в формах, как подсказка: инъекция в placeholder исполняемого кода на стороне сервера),
  • возможность оставлять комментарии,
  • возможность отмечать избранное,
  • сохранять в закладки,
  • просматривать аккаунты пользователей, а также личные данные пользователей, как пример фото, а там есть метаданные (EXIF), которые содержат информацию о устройстве, локации, профиле и иное.
  1. Гипотеза бизнеса также ориентирована на использовании нотификаций, то есть отправки уведомлений на персональные аккаунты пользователей в мессенджеры, типа Telegram, включая веб, личные устройства, почту
  2. Бизнесу проще и комфортнее выбрать готовое решение и сделать его на CMS для тестирования клиентского спроса и только частной визуализации web-дизайна (по этому учитывайте, что могут быть известные уязвимости этих CMS)
  3. Предлагается рассмотреть 1С Битрикс, либо Wordpress, Opencart — следует найти информацию об уязвимостях на состояние 2025 года и оценить, какие риски они несут в текущей версии ПО, которое планируется использовать. Также приведите рекомендации об их устранении.

Учтите

  • Бизнес будет использовать публичные данные о заведениях и нам необходимо их верифицировать. С каждым заведением имеется агентский договор, где мы является оператором данных по ПДн и выставляем требования по обработке и хранению данных клиентов. Важно учитывать сбор данных (именно его формат) из открытых источников, где будут храниться, обрабатываться и передаваться при внешних интеграциях, также учтите размещение, хранение на выбранной платформе
  • Будет иметься личный кабинет пользователя, который содержит ПДн, номера, иные данные (можете ограничить себе скоуп необходимой информации), например: номер телефона, почта, ФИО и иные идентификационные данные
  • Бронирование осуществляется по средствам внешней интеграции путем передачи данных по API в заведения
  • Пример по разбору рисков: ОТП-код имеет риск его перебора (брут-форсинга), подмены, абуза времени жизни кода, которая вываливается в риск киберпреступления, путем взлома личного кабинета и кражи данных. Для минимизации риска: ограничение времени жизни кода, количества запросов в момент времени, контроль длины кода (не меньше 6 символов) и т.д.
  • Помните, что важен принцип упрощения задачи для разработчиков, не рассматривайте ситуации с углубленной технической точки зрения, будет достаточно описания вектора реализации риска ИБ
  • Возможность изменения: на любом этапе можно предложить альтернативное решение со стороны ИБ, которое может снизить описанные риски до целевого уровня.

Итого

Вам необходимо сформулировать минимальный и достаточный набор требований информационной безопасности для снижения рисков до приемлемого уровня. Сфокусируйтесь на рисках с наиболее простыми векторами реализации и кратчайшим временным циклом атаки. Изложите их на языке, понятном для бизнес-аудитории.

  • 1. Изучите формы авторизации и ознакомьтесь, как происходит вход в личный кабинет, как пример tripadvisor.ru. Посмотрите данные в личном кабинете с информацией о вас и разберитесь, как работает логика восстановления доступа к личному кабинету, изменение данных
  • 2. При разработке ПО, помимо проведения анализа рисков ИБ, определите инструментарий Application Security. Нам не важен язык программирования
  • 3. Учитывайте, что мы можем принять риски ИБ (рассчитайте к чему это приведет, какие меры контроля необходимы), делегировать или же отказаться от риска. В таком случае будет необходимо описать формулировку о способе принятия, что за риск и что дает. Но основная цель - это минимизация рисков ИБ
  • 4. Рассмотрите случаи, когда будут использоваться идентификационные данные клиентов (номер телефона, полная ФИО, данные о стороннем мессенджере), а также авторизация в личный кабинет будет осуществляться при использовании ОТП-кода (СМС с данными для входа, также со стороны приложения)
  • 5. Определяйте необходимость работы с ПДн только в рамках KYC Know Your Customer, а также минимально необходимой полноте данных для передачи третьей стороне. Это учитывается и влияет на риск несоответствия регуляторных требований, как пример: защита хранения базы данных, шифрования БД, маскирования данных на web-интерфейсе, а при передаче данных - безопасный канал, хранение на выделенном истансе БД, а также потока данных с сервером приложения
  • 6. При новых постановках версии CMS требуется доработка разработчиков, время на обновление конфигурации, изменение логики процессов в разработке. Это следует учитывать для случая проверки ПО во внутреннем контуре, адаптацию уже имеющего кода и его коннекторах к CMS, что может повлиять на затягивание уязвимых зависимостей кода
  • 7. Выполнить следующее
    • 7.1 - Описать возможные ошибки, которые могут быть допущены разработчиками при реализации,
    • 7.2 - Провести анализ на возможность взлома, утечки, доступности информации и ее категории значимости для компании,
    • 7.3 - Описать требования ИБ,
    • 7.4 - Описать риски, которые возникают из кейса, меры снижения рисков, описать уровень эффективности мер,
    • 7.5 - Описать уязвимости (важно приводить ссылки на CWE и будет достаточно 3-ех таких уязвимостей), их причины возникновения, Proof-of-Concept, что нужно сделать для их контроля, либо устранения,
    • 7.6 - Описать принятые риски – использовать логику простоты реализации и дороговизны используемых решений,
    • 7.7 - Описать контроли,
    • 7.8 - Описать критерии качества для разработчиков
  • 8. Подготовьте отчет gist.

Copyright © 2025 Elijah S Shmakov

Logo

Логотип