Submit Search
Upload
Евгения Поцелуевская. Уязвимости систем ДБО в 2011-2012 гг.
•
0 likes
•
806 views
Positive Hack Days
Follow
Technology
Report
Share
Report
Share
1 of 11
Recommended
Обзор средств разработки тестов.
Обзор средств разработки тестов.
gilraenanarion
Презентация для бизнес-форума по электронной торговле (Минск, июнь 2010)
Юзабилити интернет-магазинов
Юзабилити интернет-магазинов
Pavel Konoplitski
Программное выступление по всем вопросам разработки софта, не связанным с программами. Ценности, личности, общение, задачи https://www.youtube.com/watch?v=_jJDaHaY4GE
Быть разработчиком: вызовы, ожидания, перестроение мозгов
Быть разработчиком: вызовы, ожидания, перестроение мозгов
Sergey Nemchinsky
Знакомство с Мастер-Тест.
Знакомство с Мастер-Тест.
gilraenanarion
Описание сервиса
Фабрика Юзабилити V.2
Фабрика Юзабилити V.2
Макс Козлов
Высокоинтерактивные прототипы пользовательского интерфейса - альтернатива Use...
Высокоинтерактивные прототипы пользовательского интерфейса - альтернатива Use...
QA Dnepropetrovsk Community (Ukraine)
4885 pd flipchart_bubble
4885 pd flipchart_bubble
Aida Acevedo
Los aspectos vertidos en las diapositivas harán notar indicadores esenciales para entender el eje del Buen Vivir en el entorno educativo: En ocasiones los aspectos más simples son los más idóneos. En nuestro país se debe pugnar por una educación de calidad y que se acomode a las necesidades de los estudiantes... Para así formar y forjar entes con ética, honestidad, profesionalismo y que respondan favorablemente a las estrictas interacciones de la compleja y difícil sociedad. En fin espero que el trabajo sea un aporte y sobre todo que cumpla las expectativas esperadas.
UTE_Párraga José MSc. Gonzalo Remache docente_fortalecer las capacidades y po...
UTE_Párraga José MSc. Gonzalo Remache docente_fortalecer las capacidades y po...
0985318187
Recommended
Обзор средств разработки тестов.
Обзор средств разработки тестов.
gilraenanarion
Презентация для бизнес-форума по электронной торговле (Минск, июнь 2010)
Юзабилити интернет-магазинов
Юзабилити интернет-магазинов
Pavel Konoplitski
Программное выступление по всем вопросам разработки софта, не связанным с программами. Ценности, личности, общение, задачи https://www.youtube.com/watch?v=_jJDaHaY4GE
Быть разработчиком: вызовы, ожидания, перестроение мозгов
Быть разработчиком: вызовы, ожидания, перестроение мозгов
Sergey Nemchinsky
Знакомство с Мастер-Тест.
Знакомство с Мастер-Тест.
gilraenanarion
Описание сервиса
Фабрика Юзабилити V.2
Фабрика Юзабилити V.2
Макс Козлов
Высокоинтерактивные прототипы пользовательского интерфейса - альтернатива Use...
Высокоинтерактивные прототипы пользовательского интерфейса - альтернатива Use...
QA Dnepropetrovsk Community (Ukraine)
4885 pd flipchart_bubble
4885 pd flipchart_bubble
Aida Acevedo
Los aspectos vertidos en las diapositivas harán notar indicadores esenciales para entender el eje del Buen Vivir en el entorno educativo: En ocasiones los aspectos más simples son los más idóneos. En nuestro país se debe pugnar por una educación de calidad y que se acomode a las necesidades de los estudiantes... Para así formar y forjar entes con ética, honestidad, profesionalismo y que respondan favorablemente a las estrictas interacciones de la compleja y difícil sociedad. En fin espero que el trabajo sea un aporte y sobre todo que cumpla las expectativas esperadas.
UTE_Párraga José MSc. Gonzalo Remache docente_fortalecer las capacidades y po...
UTE_Párraga José MSc. Gonzalo Remache docente_fortalecer las capacidades y po...
0985318187
Baitrinhdienhosobaiday
BÀI TRÌNH DIỄN HỒ SƠ BÀI DẠY
BÀI TRÌNH DIỄN HỒ SƠ BÀI DẠY
hatranthithu
http://bookgdz.ru/posobie-vs/10505-krichevec-a-n-matematika-dlia-psihologov-ychebnik-a-n-krichevec-e-v-shikin-a-g-diachkov-besplatno-onlain
220
220
robinbad123100
C.V Muhammed lotfy PDF
C.V Muhammed lotfy PDF
Muhammad Gamal
Presentaciónn conceptos de Trade Markeying
Presentación trade mk jng. julio 21-15
Presentación trade mk jng. julio 21-15
Leonardo Avila
forkastn-2b
forkastn-2b
Stig-Arne Kristoffersen
Esta é a apresentação
Avasus colaborasus grupo 3
Avasus colaborasus grupo 3
comunidadedepraticas
clases de word de la femin toro de introducción a la informatica de la carrera relaciones industriales
Calendario y folleto
Calendario y folleto
Moises Marichal
7 Tools to improve quality
7 tools of quality
7 tools of quality
Farah Amreen
Webtools y trabajo colaborativo
Webtools y trabajo colaborativo
msv12
Shika na Mikono Success Story - Steve Bonomo
Shika na Mikono Success Story - Steve Bonomo
Steve Bonomo
Илья Трифаленков. Размещение приложений в облачной платформе О7 - обеспечение...
Илья Трифаленков. Размещение приложений в облачной платформе О7 - обеспечение...
Positive Hack Days
Михаил Емельянников. Можно ли защитить секреты в российском суде
Михаил Емельянников. Можно ли защитить секреты в российском суде
Positive Hack Days
Михаил Кадер. Что надо знать о сертификации по Общим Критериям (Common Criter...
Михаил Кадер. Что надо знать о сертификации по Общим Критериям (Common Criter...
Positive Hack Days
filosofos contemporaneos
Filosofía diego alvarez
Filosofía diego alvarez
diegoalvarezjijon
Letteratura latina : la figura di Marco Tullio Cicerone. "Vita, morte e miracoli". Vita, pensiero politico e filosofico, punti di forza, retorica, ars oratoria. (4° Liceo) - Roberto Testa, IV^ H Liceo Scientifico "Leonardo" - Giarre (Ct)
Marco Tullio Cicerone - Letteratura latina
Marco Tullio Cicerone - Letteratura latina
Roberto Testa
practica de powerpoint de la fermin toro de introducción a la informatica de la carrera relaciones industriales
Practica 1 diapositivas
Practica 1 diapositivas
Moises Marichal
The presentation I gave on stage at TheNextWeb US Conference in NYC, Dec 10, 2014. Meekan was selected to the Boost Startup Competition, co-hosted by TNW and WeTransfer.
Meekan Presentation at TheNextWeb US Conference 2014
Meekan Presentation at TheNextWeb US Conference 2014
Dvir Reznik
Filosofia da Tecnologia: a diferença entre Tecnologia, Cultura e Biologia
Filosofia da Tecnologia: a diferença entre Tecnologia, Cultura e Biologia
Filosofia da Tecnologia: a diferença entre Tecnologia, Cultura e Biologia
Carlos Nepomuceno (Nepô)
Андрей Хохлов. Банковские приложения и киберпреступность - взгляд разработчик...
Андрей Хохлов. Банковские приложения и киберпреступность - взгляд разработчик...
Positive Hack Days
2013-06-01 - Brava Casa - In armonia con l_ambiente
2013-06-01 - Brava Casa - In armonia con l_ambiente
Fiemme3000
1. Основные понятия и определения: продукт, пакет, связи между ними. 2. Как узнать, какие изменения произошли в продукте? 3. Проблемы changelog и release note. 4. Решение: инструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release Notes
Positive Hack Days
1. Обзор Windows Docker (кратко) 2. Как мы построили систему билда приложений в Docker (Visual Studio\Mongo\Posgresql\etc) 3. Примеры Dockerfile (выложенные на github) 4. Отличия процессов DockerWindows от DockerLinux (Долгий билд, баги, remote-регистр.)
Как мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows Docker
Positive Hack Days
More Related Content
Viewers also liked
Baitrinhdienhosobaiday
BÀI TRÌNH DIỄN HỒ SƠ BÀI DẠY
BÀI TRÌNH DIỄN HỒ SƠ BÀI DẠY
hatranthithu
http://bookgdz.ru/posobie-vs/10505-krichevec-a-n-matematika-dlia-psihologov-ychebnik-a-n-krichevec-e-v-shikin-a-g-diachkov-besplatno-onlain
220
220
robinbad123100
C.V Muhammed lotfy PDF
C.V Muhammed lotfy PDF
Muhammad Gamal
Presentaciónn conceptos de Trade Markeying
Presentación trade mk jng. julio 21-15
Presentación trade mk jng. julio 21-15
Leonardo Avila
forkastn-2b
forkastn-2b
Stig-Arne Kristoffersen
Esta é a apresentação
Avasus colaborasus grupo 3
Avasus colaborasus grupo 3
comunidadedepraticas
clases de word de la femin toro de introducción a la informatica de la carrera relaciones industriales
Calendario y folleto
Calendario y folleto
Moises Marichal
7 Tools to improve quality
7 tools of quality
7 tools of quality
Farah Amreen
Webtools y trabajo colaborativo
Webtools y trabajo colaborativo
msv12
Shika na Mikono Success Story - Steve Bonomo
Shika na Mikono Success Story - Steve Bonomo
Steve Bonomo
Илья Трифаленков. Размещение приложений в облачной платформе О7 - обеспечение...
Илья Трифаленков. Размещение приложений в облачной платформе О7 - обеспечение...
Positive Hack Days
Михаил Емельянников. Можно ли защитить секреты в российском суде
Михаил Емельянников. Можно ли защитить секреты в российском суде
Positive Hack Days
Михаил Кадер. Что надо знать о сертификации по Общим Критериям (Common Criter...
Михаил Кадер. Что надо знать о сертификации по Общим Критериям (Common Criter...
Positive Hack Days
filosofos contemporaneos
Filosofía diego alvarez
Filosofía diego alvarez
diegoalvarezjijon
Letteratura latina : la figura di Marco Tullio Cicerone. "Vita, morte e miracoli". Vita, pensiero politico e filosofico, punti di forza, retorica, ars oratoria. (4° Liceo) - Roberto Testa, IV^ H Liceo Scientifico "Leonardo" - Giarre (Ct)
Marco Tullio Cicerone - Letteratura latina
Marco Tullio Cicerone - Letteratura latina
Roberto Testa
practica de powerpoint de la fermin toro de introducción a la informatica de la carrera relaciones industriales
Practica 1 diapositivas
Practica 1 diapositivas
Moises Marichal
The presentation I gave on stage at TheNextWeb US Conference in NYC, Dec 10, 2014. Meekan was selected to the Boost Startup Competition, co-hosted by TNW and WeTransfer.
Meekan Presentation at TheNextWeb US Conference 2014
Meekan Presentation at TheNextWeb US Conference 2014
Dvir Reznik
Filosofia da Tecnologia: a diferença entre Tecnologia, Cultura e Biologia
Filosofia da Tecnologia: a diferença entre Tecnologia, Cultura e Biologia
Filosofia da Tecnologia: a diferença entre Tecnologia, Cultura e Biologia
Carlos Nepomuceno (Nepô)
Андрей Хохлов. Банковские приложения и киберпреступность - взгляд разработчик...
Андрей Хохлов. Банковские приложения и киберпреступность - взгляд разработчик...
Positive Hack Days
2013-06-01 - Brava Casa - In armonia con l_ambiente
2013-06-01 - Brava Casa - In armonia con l_ambiente
Fiemme3000
Viewers also liked
(20)
BÀI TRÌNH DIỄN HỒ SƠ BÀI DẠY
BÀI TRÌNH DIỄN HỒ SƠ BÀI DẠY
220
220
C.V Muhammed lotfy PDF
C.V Muhammed lotfy PDF
Presentación trade mk jng. julio 21-15
Presentación trade mk jng. julio 21-15
forkastn-2b
forkastn-2b
Avasus colaborasus grupo 3
Avasus colaborasus grupo 3
Calendario y folleto
Calendario y folleto
7 tools of quality
7 tools of quality
Webtools y trabajo colaborativo
Webtools y trabajo colaborativo
Shika na Mikono Success Story - Steve Bonomo
Shika na Mikono Success Story - Steve Bonomo
Илья Трифаленков. Размещение приложений в облачной платформе О7 - обеспечение...
Илья Трифаленков. Размещение приложений в облачной платформе О7 - обеспечение...
Михаил Емельянников. Можно ли защитить секреты в российском суде
Михаил Емельянников. Можно ли защитить секреты в российском суде
Михаил Кадер. Что надо знать о сертификации по Общим Критериям (Common Criter...
Михаил Кадер. Что надо знать о сертификации по Общим Критериям (Common Criter...
Filosofía diego alvarez
Filosofía diego alvarez
Marco Tullio Cicerone - Letteratura latina
Marco Tullio Cicerone - Letteratura latina
Practica 1 diapositivas
Practica 1 diapositivas
Meekan Presentation at TheNextWeb US Conference 2014
Meekan Presentation at TheNextWeb US Conference 2014
Filosofia da Tecnologia: a diferença entre Tecnologia, Cultura e Biologia
Filosofia da Tecnologia: a diferença entre Tecnologia, Cultura e Biologia
Андрей Хохлов. Банковские приложения и киберпреступность - взгляд разработчик...
Андрей Хохлов. Банковские приложения и киберпреступность - взгляд разработчик...
2013-06-01 - Brava Casa - In armonia con l_ambiente
2013-06-01 - Brava Casa - In armonia con l_ambiente
More from Positive Hack Days
1. Основные понятия и определения: продукт, пакет, связи между ними. 2. Как узнать, какие изменения произошли в продукте? 3. Проблемы changelog и release note. 4. Решение: инструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release Notes
Positive Hack Days
1. Обзор Windows Docker (кратко) 2. Как мы построили систему билда приложений в Docker (Visual Studio\Mongo\Posgresql\etc) 3. Примеры Dockerfile (выложенные на github) 4. Отличия процессов DockerWindows от DockerLinux (Долгий билд, баги, remote-регистр.)
Как мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows Docker
Positive Hack Days
1. Проблемы в построении CI процессов в компании 2. Структура типовой сборки 3. Пример реализации типовой сборки 4. Плюсы и минусы от использования типовой сборки
Типовая сборка и деплой продуктов в Positive Technologies
Типовая сборка и деплой продуктов в Positive Technologies
Positive Hack Days
1. Что такое BI. Зачем он нужен. 2. Что такое Qlik View / Sense 3. Способ интеграции. Как это работает. 4. Метрики, KPI, планирование ресурсов команд, ретроспектива релиза продукта, тренды. 5. Подключение внешних источников данных (Excel, БД СКУД, переговорные комнаты).
Аналитика в проектах: TFS + Qlik
Аналитика в проектах: TFS + Qlik
Positive Hack Days
1. Для чего нужны анализаторы кода 2. Что такое SonarQube 3. Принципе работы 4. Поддержка языков 5. Что находит 6. Метрики, снимаемые с кода
Использование анализатора кода SonarQube
Использование анализатора кода SonarQube
Positive Hack Days
1. Обзор инструментов в сообществе DevOpsHQ: https://github.com/devopshq и решаемые ими проблемы. 2. Планы развития сообщества DevOpsHQ.
Развитие сообщества Open DevOps Community
Развитие сообщества Open DevOps Community
Positive Hack Days
1. Методика 2. Практика 3. Перспективы
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Positive Hack Days
Approof — статический анализатор кода для проверки веб-приложений на наличие уязвимых компонентов. В своей работе анализатор основывается на правилах, хранящих сигнатуры искомых компонентов. В докладе рассматривается базовая структура правила для Approof и процесс автоматизации его создания.
Автоматизация построения правил для Approof
Автоматизация построения правил для Approof
Positive Hack Days
Задумывались ли вы когда-нибудь о том, как устроены современные механизмы защиты приложений? Какая теория стоит за реализацией WAF и SAST? Каковы пределы их возможностей? Насколько их можно подвинуть за счет более широкого взгляда на проблематику безопасности приложений? На мастер-классе будут рассмотрены основные методы и алгоритмы двух основополагающих технологий защиты приложений — межсетевого экранирования уровня приложения и статического анализа кода. На примерах конкретных инструментов с открытым исходным кодом, разработанных специально для этого мастер-класса, будут рассмотрены проблемы, возникающие на пути у разработчиков средств защиты приложений, и возможные пути их решения, а также даны ответы на все упомянутые вопросы.
Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»
Positive Hack Days
В рамках PDUG
Формальные методы защиты приложений
Формальные методы защиты приложений
Positive Hack Days
В рамках PDUG
Эвристические методы защиты приложений
Эвристические методы защиты приложений
Positive Hack Days
В рамках PDUG
Теоретические основы Application Security
Теоретические основы Application Security
Positive Hack Days
Разработка наукоемкого программного обеспечения отличается тем, что нет ни четкой постановки задачи, ни понимания, что получится в результате. Однако даже этом надо программировать то, что надо, и как надо. Докладчик расскажет о том, как ее команда успешно разработала и вывела в промышленную эксплуатацию несколько наукоемких продуктов, пройдя непростой путь от эксперимента, результатом которого был прототип, до промышленных версий, которые успешно продаются как на российском, так и на зарубежном рынках. Этот путь был насыщен сложностями и качественными управленческими решениями, которыми поделится докладчик
От экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 лет
Positive Hack Days
Немногие разработчики закладывают безопасность в архитектуру приложения на этапе проектирования. Часто для этого нет ни денег, ни времени. Еще меньше — понимания моделей нарушителя и моделей угроз. Защита приложения выходит на передний план, когда уязвимости начинают стоить денег. К этому времени приложение уже работает и внесение существенных изменений в код становится нелегкой задачей. К счастью, разработчики тоже люди, и в коде разных приложений можно встретить однотипные недостатки. В докладе речь пойдет об опасных ошибках, которые чаще всего допускают разработчики Android-приложений. Затрагиваются особенности ОС Android, приводятся примеры реальных приложений и уязвимостей в них, описываются способы устранения.
Уязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на грабли
Positive Hack Days
Разработка любого софта так или иначе базируется на требованиях. Полный перечень составляют бизнес-цели приложения, различные ограничения и ожидания по качеству (их еще называют NFR). Требования к безопасности ПО относятся к последнему пункту. В ходе доклада будут рассматриваться появление этих требований, управление ими и выбор наиболее важных. Отдельно будут освещены принципы построения архитектуры приложения, при наличии таких требований и без, и продемонстрировано, как современные (и хорошо известные) подходы к проектированию приложения помогают лучше строить архитектуру приложения для минимизации ландшафта угроз.
Требования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПО
Positive Hack Days
Доклад посвящен разработке корректного программного обеспечения с применением одного из видов статического анализа кода. Будут освещены вопросы применения подобных методов, их слабые стороны и ограничения, а также рассмотрены результаты, которые они могут дать. На конкретных примерах будет продемонстрировано, как выглядят разработка спецификаций для кода на языке Си и доказательство соответствия кода спецификациям.
Формальная верификация кода на языке Си
Формальная верификация кода на языке Си
Positive Hack Days
В рамках PDUG
Механизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET Core
Positive Hack Days
В рамках секции: ИБ в АСУ ТП
SOC для КИИ: израильский опыт
SOC для КИИ: израильский опыт
Positive Hack Days
В рамках секции: ИБ в АСУ ТП
Honeywell Industrial Cyber Security Lab & Services Center
Honeywell Industrial Cyber Security Lab & Services Center
Positive Hack Days
В рамках секции: Инновации в средствах защиты и проверки защищенности
Credential stuffing и брутфорс-атаки
Credential stuffing и брутфорс-атаки
Positive Hack Days
More from Positive Hack Days
(20)
Инструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release Notes
Как мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows Docker
Типовая сборка и деплой продуктов в Positive Technologies
Типовая сборка и деплой продуктов в Positive Technologies
Аналитика в проектах: TFS + Qlik
Аналитика в проектах: TFS + Qlik
Использование анализатора кода SonarQube
Использование анализатора кода SonarQube
Развитие сообщества Open DevOps Community
Развитие сообщества Open DevOps Community
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Автоматизация построения правил для Approof
Автоматизация построения правил для Approof
Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»
Формальные методы защиты приложений
Формальные методы защиты приложений
Эвристические методы защиты приложений
Эвристические методы защиты приложений
Теоретические основы Application Security
Теоретические основы Application Security
От экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 лет
Уязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на грабли
Требования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПО
Формальная верификация кода на языке Си
Формальная верификация кода на языке Си
Механизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET Core
SOC для КИИ: израильский опыт
SOC для КИИ: израильский опыт
Honeywell Industrial Cyber Security Lab & Services Center
Honeywell Industrial Cyber Security Lab & Services Center
Credential stuffing и брутфорс-атаки
Credential stuffing и брутфорс-атаки
Recently uploaded
Пристегнитесь, потому что мы собираемся отправиться в захватывающее путешествие по мистической стране инноваций Китая, где драконы прошлого превратились в единорогов мира технологий. Да, мы говорим о превращении Китая из любимой в мире машины Xerox в сияющий маяк инноваций. И как им удалось совершить этот удивительный подвиг? Ведь теперь Запад сидит в стороне, заламывая руки и задаваясь вопросом: "Должны ли мы вскочить в уходящий поезд или придерживаться другого плана действий?" Оказывается, Запад ещё не полностью перехитрили, и у него все ещё есть несколько козырей в рукаве. В статье проповедуется, что сидеть и смотреть не самый разумный выбор. Вместо этого Западу следует напрячь свои демократические мускулы и чутье свободного рынка, чтобы остаться в игре.
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
Ирония безопасности
В постоянно развивающемся мире ИБ, где цифровая сфера устойчива, как карточный домик во время урагана, появился новаторский документ под названием "Доктрина киберзащиты, которая управляет рисками: полное прикладное руководство по организационной киберзащите", предположительно написанный израильским Сунь Цзы из эпохи цифровых технологий. Доктрина, являющаяся шедевром кибернетической мудрости, делит свои стратегии оценки рисков и управления ими на два направления, вероятно, потому что одно из них является слишком уже не модно. Эти направления изобретательно основаны на потенциальном ущербе для организации – новой концепции, для воплощения которой, должно быть, потребовалось как минимум несколько сеансов мозгового штурма за чашкой кофе. Как принято сегодня говорить, доктрина является ярким примером приверженности индустрии киберзащиты … к тому, чтобы как можно подробнее изложить очевидное. Она убеждает нас в том, что перед лицом киберугроз мы всегда можем положиться на объёмные документы, которые защитят нас.
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Ирония безопасности
С 4368 жертвами, пойманными в их цифровые сети, киберпреступникам удалось превзойти самих себя по эффективности на 55,5% по сравнению с предыдущим годом, вот что значит KPI. Средняя сумма выкупа для предприятия выросла до более чем 100 000 долларов, при этом требования в среднем составляли крутые 5,3 миллиона долларов. 80% организаций придерживаются политики "Не платить", и все же в прошлом году 41% в итоге заплатили выкуп. И для тех, кто думает, что страховка может спасти положение, подумайте ещё раз. 77% организаций на собственном горьком опыте убедились, что программы-вымогатели – это далеко не то, за что страховая с лёгкостью заплатит, не проверив, а всё ли вы сделали для защиты.
Ransomware_Q3 2023. The report [RU].pdf
Ransomware_Q3 2023. The report [RU].pdf
Хроники кибер-безопасника
Документ содержит руководство по эффективной стратегии и тактике реагирования на инциденты (IR). Руководство, разработанное группой реагирования на инциденты Microsoft, призвано помочь избежать распространённых ошибок и предназначено не для замены комплексного планирования реагирования на инциденты, а скорее для того, чтобы служить тактическим руководством, помогающим как группам безопасности, так и старшим заинтересованным сторонам ориентироваться в расследовании реагирования на инциденты. В руководстве также подчёркивается важность управления и роли различных заинтересованных сторон в процессе реагирования на инциденты
MS Navigating Incident Response [RU].pdf
MS Navigating Incident Response [RU].pdf
Ирония безопасности
Действие очередной кибер-саги разворачивается в мистических землях Азиатско-Тихоокеанского региона, где главные герои (или антагонисты, в зависимости от вашего взгляда на конфиденциальность данных и необходимость доступа к ним) начали свое цифровую деятельность ещё в середине 2021 года и качественно усилили её в 2022 году. Вооружённый арсеналом инструментов и специально разработанного вредоносного программного обеспечения, предназначенного для кражи данных и шпионажа, Dark Pink был воплощением настойчивости. Их любимое оружие? Фишинговые электронные письма, содержащие сокращённый URL-адрес, который приводил жертв на бесплатный файлообменный сайт, где их ждал ISO-образ, конечно же вредоносный. Давайте углубимся в цели кибер-художников. Корпоративный шпионаж, кража документов, аудиозапись и утечка данных с платформ обмена сообщениями – все это было делом одного дня для Dark Pink. Их географическая направленность, возможно, начиналась в Азиатско-Тихоокеанском регионе, но их амбиции не знали границ, нацелившись на европейское правительственное министерство в смелом шаге по расширению своего портфолио. Их профиль жертв был таким же разнообразным, как совещание ООН, нацеливаясь на военные организации, правительственные учреждения и даже религиозную организацию. Потому что дискриминация это не модная повестка. В мире киберпреступности они служат напоминанием о том, что иногда самые серьёзные угрозы приходят в самых непритязательных упаковках с розовым бантиком.
Cyberprint. Dark Pink Apt Group [RU].pdf
Cyberprint. Dark Pink Apt Group [RU].pdf
Хроники кибер-безопасника
LockBit 3.0 завоевал золото на хакерской олимпиаде, за ним последовали отважные новички Clop и ALPHV/BlackCat. По-видимому, 48% организаций почувствовали себя обделёнными вниманием и решили принять участие в кибератаках. Бизнес-сервисы получили награду в номинации "наиболее подверженные цифровому взлому", а образование и розничная торговля последовали за ними. Хакеры расширили свой репертуар, перейдя от скучного старого шифрования к гораздо более захватывающему миру вымогательства. Не бедные страны США, Великобритания и Канада заняли первое место в категории "страны, которые, скорее всего, заплатят". Биткоины были предпочтительной валютой, хотя некоторые стали поглядывать в сторону Monero. Некоторые организации пытались сэкономить на выкупе, заплатив только 37%. Тем, кто все-таки раскошелился, пришлось в среднем отдать $408 643. Кибер-преступность действительно окупается!
2023 Q4. The Ransomware report. [RU].pdf
2023 Q4. The Ransomware report. [RU].pdf
Хроники кибер-безопасника
DCRat, швейцарский армейский нож киберпреступного мира, истинное свидетельство предпринимательского духа, процветающего в темных уголках Интернета. С момента своего грандиозного дебюта в 2018 году DCRat стал незаменимым гаджетом для каждого начинающего злодея со склонностью к цифровым проказам. По очень низкой цене в 7 долларов можно приобрести двухмесячную подписку на это чудо современного вредоносного ПО, а для тех, кто действительно предан делу, доступна пожизненная лицензия за внушительную сумму в 40 долларов. DCRat служит напоминанием, что в эпоху цифровых технологий безопасность настолько сильна, насколько сильна способность не переходить по подозрительным ссылкам.
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
Хроники кибер-безопасника
CVE-2024-0204 как ключ под ковриком, для не прошедших проверку подлинности, и желающих создать своего собственного пользователя-администратора. Эта уязвимость может быть использована удалённо и является классическим примером CWE-425: "Принудительный доступ, когда веб-приложение просто слишком вежливое, чтобы обеспечить надлежащую авторизацию". Уязвимые версии 6.x начиная с 6.0.1 и версии 7.x до 7.4.1, которая была исправлена, а для уязвимых версией необходимо удалить файл /InitialAccountSetup.xhtml или заменить на пустой с перезапуском службы/ Последствия подобны альбому величайших хитов о кошмарах безопасности: 📌Создание неавторизованных пользователей-администраторов (акция «избавляемся от складских запасов аутентификационных ключей») 📌Потенциальная утечка данных (для повышения популярности компании) 📌Внедрение вредоносных программ (вместо традиционных схем распространения) 📌Риск вымогательства (минутка шантажа) 📌Сбои в работе (разнообразие от повелителя хаоса) 📌Комплаенс и юридические вопросы (ничто так не оживляет зал заседаний, как старый добрый скандал с комплаенсом и потенциальная юридическая драма) Планка "сложности атаки" установлена так низко, что даже малыш может споткнуться об неё. Отмечается простота, которая заставляет задуматься, не является ли "безопасность" просто модным словом, которым они пользуются, чтобы казаться важными
CVE. The Fortra's GoAnywhere MFT [RU].pdf
CVE. The Fortra's GoAnywhere MFT [RU].pdf
Хроники кибер-безопасника
Мир кибербезопасности пополнился последней и самой совершенной версией общей системы оценки уязвимостей CVSS версии 4.0. Эта версия обещает произвести революцию в том, как мы оцениваем критичность и влияние уязвимостей ПО, ведь версия 3.1 была всего лишь разминкой. 📌 Более детализированные базовые показатели. если есть что-то, что любят профессионалы в области ИБ, так это детализация. Теперь мы не только можем оценить воздействие на уязвимую систему, но и потратить тысячу листов на детализацию, это уже серьёзный уровень профессионализма 📌 Группа угроз – критичность уязвимости может быть скорректирована в зависимости от того, мог ли кто-то где-то подумать о их использовании, и теперь паранойя всегда подкрепляется последними данными об угрозах. 📌 Метрики окружения позволяют адаптировать оценку к нашей конкретной вычислительной среде. ничто так не говорит о "индивидуальности", как корректировка оценок на основе множества мер по смягчению последствий. 📌 Показатели угроз были упрощены до уровня зрелости эксплойтов. если и есть что-то, что легко определить, так это то, насколько зрелым является эксплойт. 📌 Система подсчёта оценки стала проще и гибче и … больше. если и есть какое-то слово, которое ассоциируется с CVSS, так это простота, ведь теперь поддерживается несколько оценок для одной и той же уязвимости Итак, CVSS версии 4.0 призван спасти положение благодаря своей повышенной ясности, простоте и повышенному вниманию ко всем мелочам и деталям. Потому что, как мы все знаем, единственное, что доставляет больше удовольствия, чем оценка уязвимостей, — это делать это с помощью новой, более сложной системы.
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
Хроники кибер-безопасника
Recently uploaded
(9)
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Ransomware_Q3 2023. The report [RU].pdf
Ransomware_Q3 2023. The report [RU].pdf
MS Navigating Incident Response [RU].pdf
MS Navigating Incident Response [RU].pdf
Cyberprint. Dark Pink Apt Group [RU].pdf
Cyberprint. Dark Pink Apt Group [RU].pdf
2023 Q4. The Ransomware report. [RU].pdf
2023 Q4. The Ransomware report. [RU].pdf
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
CVE. The Fortra's GoAnywhere MFT [RU].pdf
CVE. The Fortra's GoAnywhere MFT [RU].pdf
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
Евгения Поцелуевская. Уязвимости систем ДБО в 2011-2012 гг.
1.
Москва, 23-24 мая Уязвимости
систем ДБО в 2011-2012 гг. Евгения Поцелуевская
2.
Мы рассматривали ― Системы собственной разработки
и вендорские системы ― Системы ДБО для физических и юридических лиц ― Тестовые и продуктивные системы ― Интернет-банк и Клиент-банк
3.
Что получилось
4.
Что получилось
5.
В итоге…
6.
Где слабые места?
7.
Где слабые места?
8.
Вендорские vs. самописные
9.
Тестовые vs. Продуктивные
10.
Заключение ― Не стоит
переоценивать разработчика системы ДБО, даже если он давно на рынке ― И недооценивать: факторы ошибок при эксплуатации системы серьезность имеющихся уязвимостей Доверяй, но проверяй
11.
Москва, 23-24 мая Спасибо
за внимание! Евгения Поцелуевская epotseluevskaya@ptsecurity.ru