SlideShare a Scribd company logo

Анализ защищенности ПО и инфраструктур – подходы и результаты

Download as PPTX, PDF
Advanced monitoring
Advanced monitoring

Михаил Богатырёв рассказал, как в купленном или заказном ПО появляются уязвимости и как с ними бороться.

Software
1 of 15
Анализ защищенности ПО и инфраструктур – подходы и результаты Михаил Богатырев Руководитель направления по работе с клиентами ЗАО «ПМ»
О нас Дочерняя компания ИнфоТеКС создана в 2007 г. Анализ защищенности ПО и ИС. Центр мониторинга.
Основные типы компьютерных атак Многопрофильная компания Офис в Москве 3 офиса в России ~700 рабочих мест События 2016 Сканирования 480,838 Другие 313,773 Вредоносное ПО 113,239 Попытки вызова отказа в обслуживании 24,380 Попытки перебора паролей 17,059 Попытки эксплуатации известных уязвимостей 3,036 Сканирования 480,838 Другие 313,773 Вредоносное ПО 113,239 Попытки вызова отказа в обслуживании 24,380 Попытки перебора паролей 17,059 Попытки эксплуатации известных уязвимостей 3,036
Причины возникновения уязвимостей ПО и систем защиты Уязвимости на стадии разработки ПО и СЗИ Ошибки разработчиков кода. Уязвимости сторонних компонентов, системного ПО, платформы. Уязвимости, внесенные в код злоумышленником. Уязвимости на стадии эксплуатации Изменения настроек. Смена режима эксплуатации. Изменения в процессах. Изменения в персонале.
Примеры выявленных уязвимостей в ПО, сторонних компонентах и платформе Модификация клиентского приложения, в результате которой был получен доступ ко всем записям базы данных серверной части. Уязвимость в web-приложении позволила провести инъекцию исполняемого файла на сервер, с помощью которого был получен доступ к операционной системе. Используя уязвимость драйвера ядра удалось повысить привилегии и проникнуть в локальную сеть.
Примеры выявленных уязвимостей в ПО, сторонних компонентах и платформе Перехват ключевой информации из оперативной памяти клиентского приложения, который позволил осуществить доступ к данным клиента и организовать несколько фиктивных клиентских рабочих мест. Отправка запросов на аутентификацию от имени разных клиентских приложений, привела к множественным блокировкам клиентских учетных данных.
Примеры выявленных уязвимостей в инфраструктуре Подключенная к локальной сети wi-fi точка сотрудника позволила получить доступ к инфраструктуре из соседних офисов. Добавленный администратором для своего удобства сетевой адаптер позволил проникнуть из открытого сегмента в защищенный через его рабочее место.
Примеры выявленных уязвимостей в инфраструктуре Испорченные файлы архивов не позволили провести восстановление после сбоя. «Зомби-аккаунт» позволил уволенному сотруднику несколько лет получать доступ к данным. IDS не обнаруживал сетевые атаки из-за потерь трафика при копировании после подключения новых мощностей.
Методы выявления уязвимостей в ПО Анализ исходных кодов (статический анализ). Тестирование на проникновение и устойчивость к воздействиям (динамический анализ): декомпиляция; отладка; фаззинг; попытки НСД к данным HDD, RAM, трафик. Анализ настроек вспомогательного и системного ПО.
Методы выявления уязвимостей в ПО Мониторинг публикаций об уязвимостях сторонних компонентов, системного ПО, платформ. Количество уязвимостей в CVE Аудит инфраструктуры и системы обновлений разработчика. Комплексный аудит защищенности Анализ методов защиты обновлений
Снижение количества уязвимостей на стадии разработки Аудит требований. Анализ архитектуры. Анализ разработанного кода. Мониторинг публикаций об уязвимостях сторонних компонентов. Анализ безопасности конечного решения. Анализ безопасности системы обновлений. Цикл безопасной разработки ПО
Цикл безопасной разработки (нотация HP)
Комплексный аудит ИБ: тестирование на проникновение; анализ конфигураций СЗИ; аудит процессов управления ИБ; тестирование персонала. Методы выявления уязвимостей в инфраструктуре
Отслеживание изменений настроек Отслеживание событий ИБ Методы выявления уязвимостей в инфраструктуре Центр мониторинга
Спасибо за внимание? Михаил Богатырев Руководитель направления по работе с клиентами ЗАО «ПМ»

Recommended

Андрей Лабунец. Механизмы трассировки
Андрей Лабунец. Механизмы трассировкиАндрей Лабунец. Механизмы трассировки
Андрей Лабунец. Механизмы трассировкиLiloSEA
 
Анализ уязвимостей ПО
Анализ уязвимостей ПОАнализ уязвимостей ПО
Анализ уязвимостей ПОSergey Borisov
 
Практика обнаружения атак, использующих легальные инструменты
Практика обнаружения атак, использующих легальные инструментыПрактика обнаружения атак, использующих легальные инструменты
Практика обнаружения атак, использующих легальные инструментыSergey Soldatov
 
Этичный хакинг или пентестинг в действии
Этичный хакинг или пентестинг в действииЭтичный хакинг или пентестинг в действии
Этичный хакинг или пентестинг в действииSQALab
 
Anti-Malware. Илья Шабанов. "Обзор рынка DLP-систем"
Anti-Malware. Илья Шабанов. "Обзор рынка DLP-систем"Anti-Malware. Илья Шабанов. "Обзор рынка DLP-систем"
Anti-Malware. Илья Шабанов. "Обзор рынка DLP-систем"Expolink
 
Falcongaze. Александр Зайцев. "Falcongaze Secure Tower: защита от утечек инфо...
Falcongaze. Александр Зайцев. "Falcongaze Secure Tower: защита от утечек инфо...Falcongaze. Александр Зайцев. "Falcongaze Secure Tower: защита от утечек инфо...
Falcongaze. Александр Зайцев. "Falcongaze Secure Tower: защита от утечек инфо...Expolink
 
Anti-Malware. Илья Шабанов. "Обзор рынка DLP-систем"
Anti-Malware. Илья Шабанов. "Обзор рынка DLP-систем"Anti-Malware. Илья Шабанов. "Обзор рынка DLP-систем"
Anti-Malware. Илья Шабанов. "Обзор рынка DLP-систем"Expolink
 
Охота на угрозы на BIS summit 2016
Охота на угрозы на BIS summit 2016Охота на угрозы на BIS summit 2016
Охота на угрозы на BIS summit 2016Sergey Soldatov
 

Recommended

Андрей Лабунец. Механизмы трассировки
Андрей Лабунец. Механизмы трассировкиАндрей Лабунец. Механизмы трассировки
Андрей Лабунец. Механизмы трассировкиLiloSEA
 
Анализ уязвимостей ПО
Анализ уязвимостей ПОАнализ уязвимостей ПО
Анализ уязвимостей ПОSergey Borisov
 
Практика обнаружения атак, использующих легальные инструменты
Практика обнаружения атак, использующих легальные инструментыПрактика обнаружения атак, использующих легальные инструменты
Практика обнаружения атак, использующих легальные инструментыSergey Soldatov
 
Этичный хакинг или пентестинг в действии
Этичный хакинг или пентестинг в действииЭтичный хакинг или пентестинг в действии
Этичный хакинг или пентестинг в действииSQALab
 
Anti-Malware. Илья Шабанов. "Обзор рынка DLP-систем"
Anti-Malware. Илья Шабанов. "Обзор рынка DLP-систем"Anti-Malware. Илья Шабанов. "Обзор рынка DLP-систем"
Anti-Malware. Илья Шабанов. "Обзор рынка DLP-систем"Expolink
 
Falcongaze. Александр Зайцев. "Falcongaze Secure Tower: защита от утечек инфо...
Falcongaze. Александр Зайцев. "Falcongaze Secure Tower: защита от утечек инфо...Falcongaze. Александр Зайцев. "Falcongaze Secure Tower: защита от утечек инфо...
Falcongaze. Александр Зайцев. "Falcongaze Secure Tower: защита от утечек инфо...Expolink
 
Anti-Malware. Илья Шабанов. "Обзор рынка DLP-систем"
Anti-Malware. Илья Шабанов. "Обзор рынка DLP-систем"Anti-Malware. Илья Шабанов. "Обзор рынка DLP-систем"
Anti-Malware. Илья Шабанов. "Обзор рынка DLP-систем"Expolink
 
Охота на угрозы на BIS summit 2016
Охота на угрозы на BIS summit 2016Охота на угрозы на BIS summit 2016
Охота на угрозы на BIS summit 2016Sergey Soldatov
 
Практика проведения DDoS-тестирований
Практика проведения DDoS-тестированийПрактика проведения DDoS-тестирований
Практика проведения DDoS-тестированийDmitry Evteev
 
Мобильный офис глазами пентестера
Мобильный офис глазами пентестераМобильный офис глазами пентестера
Мобильный офис глазами пентестераDmitry Evteev
 
Что такое пентест
Что такое пентестЧто такое пентест
Что такое пентестDmitry Evteev
 
Целевые атаки. Infosecurity Russia 2013
Целевые атаки. Infosecurity Russia 2013Целевые атаки. Infosecurity Russia 2013
Целевые атаки. Infosecurity Russia 2013Denis Bezkorovayny
 
Безопаность SAP-систем
Безопаность SAP-системБезопаность SAP-систем
Безопаность SAP-системAlexey Kachalin
 
Модель нарушителя безопасности информации
Модель нарушителя безопасности информацииМодель нарушителя безопасности информации
Модель нарушителя безопасности информацииSergey Borisov
 
Жизнь богаче схем ( APT Cobalt на кончиках пальцев). Сергей Золотухин, Group-IB
Жизнь богаче схем ( APT Cobalt на кончиках пальцев). Сергей Золотухин, Group-IBЖизнь богаче схем ( APT Cobalt на кончиках пальцев). Сергей Золотухин, Group-IB
Жизнь богаче схем ( APT Cobalt на кончиках пальцев). Сергей Золотухин, Group-IBБанковское обозрение
 
IT-Task. Дмитрий Ильин. "Привилегированные пользователи. Что делать, чтобы о...
IT-Task. Дмитрий Ильин. "Привилегированные пользователи. Что делать, чтобы о...IT-Task. Дмитрий Ильин. "Привилегированные пользователи. Что делать, чтобы о...
IT-Task. Дмитрий Ильин. "Привилегированные пользователи. Что делать, чтобы о...Expolink
 
пр нужны ли Dlp системы для защиты пдн (прозоров)
пр нужны ли Dlp системы для защиты пдн (прозоров)пр нужны ли Dlp системы для защиты пдн (прозоров)
пр нужны ли Dlp системы для защиты пдн (прозоров)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Nexthop lab-v4
Nexthop lab-v4Nexthop lab-v4
Nexthop lab-v4Pete Kuzeev
 
Построение эффективной защиты от атак АPT на ключевых фронтах. Артем Синицын,...
Построение эффективной защиты от атак АPT на ключевых фронтах. Артем Синицын,...Построение эффективной защиты от атак АPT на ключевых фронтах. Артем Синицын,...
Построение эффективной защиты от атак АPT на ключевых фронтах. Артем Синицын,...Банковское обозрение
 
пр 10 ошибок сотрудников для bisa 2013 02-13
пр 10 ошибок сотрудников для bisa 2013 02-13пр 10 ошибок сотрудников для bisa 2013 02-13
пр 10 ошибок сотрудников для bisa 2013 02-13Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
UEBA (поведенческая аналитика в части ИБ): технологии обнаружения аномалий в ...
UEBA (поведенческая аналитика в части ИБ): технологии обнаружения аномалий в ...UEBA (поведенческая аналитика в части ИБ): технологии обнаружения аномалий в ...
UEBA (поведенческая аналитика в части ИБ): технологии обнаружения аномалий в ...Банковское обозрение
 
Системы предотвращения потери данных
Системы предотвращения потери данныхСистемы предотвращения потери данных
Системы предотвращения потери данныхPete Kuzeev
 
Dmitriy Ponomarev - Thinking outside the box #uisgcon9
Dmitriy Ponomarev - Thinking outside the box #uisgcon9Dmitriy Ponomarev - Thinking outside the box #uisgcon9
Dmitriy Ponomarev - Thinking outside the box #uisgcon9UISGCON
 
Cis critical security controls. контроль 3 безопасная конфигурация устройств
Cis critical security controls. контроль 3 безопасная конфигурация устройствCis critical security controls. контроль 3 безопасная конфигурация устройств
Cis critical security controls. контроль 3 безопасная конфигурация устройствTeymur Kheirkhabarov
 
этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)Teymur Kheirkhabarov
 
penetest VS. APT
penetest VS. APTpenetest VS. APT
penetest VS. APTDmitry Evteev
 
Pt D Do S 20090527
Pt D Do S 20090527Pt D Do S 20090527
Pt D Do S 20090527qqlan
 
Практика использования Solar inCode
Практика использования Solar inCodeПрактика использования Solar inCode
Практика использования Solar inCodeSolar Security
 
Практический опыт мониторинга и анализа компьютерных атак
Практический опыт мониторинга и анализа компьютерных атакПрактический опыт мониторинга и анализа компьютерных атак
Практический опыт мониторинга и анализа компьютерных атакAdvanced monitoring
 
Типовые сценарии атак на современные клиент-серверные приложения
Типовые сценарии атак на современные клиент-серверные приложенияТиповые сценарии атак на современные клиент-серверные приложения
Типовые сценарии атак на современные клиент-серверные приложенияAdvanced monitoring
 

More Related Content

What's hot

Практика проведения DDoS-тестирований
Практика проведения DDoS-тестированийПрактика проведения DDoS-тестирований
Практика проведения DDoS-тестированийDmitry Evteev
 
Мобильный офис глазами пентестера
Мобильный офис глазами пентестераМобильный офис глазами пентестера
Мобильный офис глазами пентестераDmitry Evteev
 
Что такое пентест
Что такое пентестЧто такое пентест
Что такое пентестDmitry Evteev
 
Целевые атаки. Infosecurity Russia 2013
Целевые атаки. Infosecurity Russia 2013Целевые атаки. Infosecurity Russia 2013
Целевые атаки. Infosecurity Russia 2013Denis Bezkorovayny
 
Безопаность SAP-систем
Безопаность SAP-системБезопаность SAP-систем
Безопаность SAP-системAlexey Kachalin
 
Модель нарушителя безопасности информации
Модель нарушителя безопасности информацииМодель нарушителя безопасности информации
Модель нарушителя безопасности информацииSergey Borisov
 
Жизнь богаче схем ( APT Cobalt на кончиках пальцев). Сергей Золотухин, Group-IB
Жизнь богаче схем ( APT Cobalt на кончиках пальцев). Сергей Золотухин, Group-IBЖизнь богаче схем ( APT Cobalt на кончиках пальцев). Сергей Золотухин, Group-IB
Жизнь богаче схем ( APT Cobalt на кончиках пальцев). Сергей Золотухин, Group-IBБанковское обозрение
 
IT-Task. Дмитрий Ильин. "Привилегированные пользователи. Что делать, чтобы о...
IT-Task. Дмитрий Ильин. "Привилегированные пользователи. Что делать, чтобы о...IT-Task. Дмитрий Ильин. "Привилегированные пользователи. Что делать, чтобы о...
IT-Task. Дмитрий Ильин. "Привилегированные пользователи. Что делать, чтобы о...Expolink
 
Построение эффективной защиты от атак АPT на ключевых фронтах. Артем Синицын,...
Построение эффективной защиты от атак АPT на ключевых фронтах. Артем Синицын,...Построение эффективной защиты от атак АPT на ключевых фронтах. Артем Синицын,...
Построение эффективной защиты от атак АPT на ключевых фронтах. Артем Синицын,...Банковское обозрение
 
UEBA (поведенческая аналитика в части ИБ): технологии обнаружения аномалий в ...
UEBA (поведенческая аналитика в части ИБ): технологии обнаружения аномалий в ...UEBA (поведенческая аналитика в части ИБ): технологии обнаружения аномалий в ...
UEBA (поведенческая аналитика в части ИБ): технологии обнаружения аномалий в ...Банковское обозрение
 
Системы предотвращения потери данных
Системы предотвращения потери данныхСистемы предотвращения потери данных
Системы предотвращения потери данныхPete Kuzeev
 
Dmitriy Ponomarev - Thinking outside the box #uisgcon9
Dmitriy Ponomarev - Thinking outside the box #uisgcon9Dmitriy Ponomarev - Thinking outside the box #uisgcon9
Dmitriy Ponomarev - Thinking outside the box #uisgcon9UISGCON
 
Cis critical security controls. контроль 3 безопасная конфигурация устройств
Cis critical security controls. контроль 3 безопасная конфигурация устройствCis critical security controls. контроль 3 безопасная конфигурация устройств
Cis critical security controls. контроль 3 безопасная конфигурация устройствTeymur Kheirkhabarov
 
этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)Teymur Kheirkhabarov
 
Pt D Do S 20090527
Pt D Do S 20090527Pt D Do S 20090527
Pt D Do S 20090527qqlan
 
Практика использования Solar inCode
Практика использования Solar inCodeПрактика использования Solar inCode
Практика использования Solar inCodeSolar Security
 

What's hot (20)

Практика проведения DDoS-тестирований
Практика проведения DDoS-тестированийПрактика проведения DDoS-тестирований
Практика проведения DDoS-тестирований
 
Мобильный офис глазами пентестера
Мобильный офис глазами пентестераМобильный офис глазами пентестера
Мобильный офис глазами пентестера
 
Что такое пентест
Что такое пентестЧто такое пентест
Что такое пентест
 
Целевые атаки. Infosecurity Russia 2013
Целевые атаки. Infosecurity Russia 2013Целевые атаки. Infosecurity Russia 2013
Целевые атаки. Infosecurity Russia 2013
 
Безопаность SAP-систем
Безопаность SAP-системБезопаность SAP-систем
Безопаность SAP-систем
 
Модель нарушителя безопасности информации
Модель нарушителя безопасности информацииМодель нарушителя безопасности информации
Модель нарушителя безопасности информации
 
Жизнь богаче схем ( APT Cobalt на кончиках пальцев). Сергей Золотухин, Group-IB
Жизнь богаче схем ( APT Cobalt на кончиках пальцев). Сергей Золотухин, Group-IBЖизнь богаче схем ( APT Cobalt на кончиках пальцев). Сергей Золотухин, Group-IB
Жизнь богаче схем ( APT Cobalt на кончиках пальцев). Сергей Золотухин, Group-IB
 
IT-Task. Дмитрий Ильин. "Привилегированные пользователи. Что делать, чтобы о...
IT-Task. Дмитрий Ильин. "Привилегированные пользователи. Что делать, чтобы о...IT-Task. Дмитрий Ильин. "Привилегированные пользователи. Что делать, чтобы о...
IT-Task. Дмитрий Ильин. "Привилегированные пользователи. Что делать, чтобы о...
 
пр нужны ли Dlp системы для защиты пдн (прозоров)
пр нужны ли Dlp системы для защиты пдн (прозоров)пр нужны ли Dlp системы для защиты пдн (прозоров)
пр нужны ли Dlp системы для защиты пдн (прозоров)
 
Nexthop lab-v4
Nexthop lab-v4Nexthop lab-v4
Nexthop lab-v4
 
Построение эффективной защиты от атак АPT на ключевых фронтах. Артем Синицын,...
Построение эффективной защиты от атак АPT на ключевых фронтах. Артем Синицын,...Построение эффективной защиты от атак АPT на ключевых фронтах. Артем Синицын,...
Построение эффективной защиты от атак АPT на ключевых фронтах. Артем Синицын,...
 
пр 10 ошибок сотрудников для bisa 2013 02-13
пр 10 ошибок сотрудников для bisa 2013 02-13пр 10 ошибок сотрудников для bisa 2013 02-13
пр 10 ошибок сотрудников для bisa 2013 02-13
 
UEBA (поведенческая аналитика в части ИБ): технологии обнаружения аномалий в ...
UEBA (поведенческая аналитика в части ИБ): технологии обнаружения аномалий в ...UEBA (поведенческая аналитика в части ИБ): технологии обнаружения аномалий в ...
UEBA (поведенческая аналитика в части ИБ): технологии обнаружения аномалий в ...
 
Системы предотвращения потери данных
Системы предотвращения потери данныхСистемы предотвращения потери данных
Системы предотвращения потери данных
 
Dmitriy Ponomarev - Thinking outside the box #uisgcon9
Dmitriy Ponomarev - Thinking outside the box #uisgcon9Dmitriy Ponomarev - Thinking outside the box #uisgcon9
Dmitriy Ponomarev - Thinking outside the box #uisgcon9
 
Cis critical security controls. контроль 3 безопасная конфигурация устройств
Cis critical security controls. контроль 3 безопасная конфигурация устройствCis critical security controls. контроль 3 безопасная конфигурация устройств
Cis critical security controls. контроль 3 безопасная конфигурация устройств
 
этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)
 
penetest VS. APT
penetest VS. APTpenetest VS. APT
penetest VS. APT
 
Pt D Do S 20090527
Pt D Do S 20090527Pt D Do S 20090527
Pt D Do S 20090527
 
Практика использования Solar inCode
Практика использования Solar inCodeПрактика использования Solar inCode
Практика использования Solar inCode
 

Viewers also liked

Практический опыт мониторинга и анализа компьютерных атак
Практический опыт мониторинга и анализа компьютерных атакПрактический опыт мониторинга и анализа компьютерных атак
Практический опыт мониторинга и анализа компьютерных атакAdvanced monitoring
 
Типовые сценарии атак на современные клиент-серверные приложения
Типовые сценарии атак на современные клиент-серверные приложенияТиповые сценарии атак на современные клиент-серверные приложения
Типовые сценарии атак на современные клиент-серверные приложенияAdvanced monitoring
 
Кто и как атаковал российские организации в 2016-ом. Статистика и тенденции.
Кто и как атаковал российские организации в 2016-ом. Статистика и тенденции.Кто и как атаковал российские организации в 2016-ом. Статистика и тенденции.
Кто и как атаковал российские организации в 2016-ом. Статистика и тенденции.Advanced monitoring
 
Анализ защиты мобильных приложений Facebook, Instagram, LinkedIn, Вконтакте и...
Анализ защиты мобильных приложений Facebook, Instagram, LinkedIn, Вконтакте и...Анализ защиты мобильных приложений Facebook, Instagram, LinkedIn, Вконтакте и...
Анализ защиты мобильных приложений Facebook, Instagram, LinkedIn, Вконтакте и...Advanced monitoring
 
Юрий Чемёркин (Yury Chemerkin) Owasp russia 2016
Юрий Чемёркин (Yury Chemerkin) Owasp russia 2016Юрий Чемёркин (Yury Chemerkin) Owasp russia 2016
Юрий Чемёркин (Yury Chemerkin) Owasp russia 2016Advanced monitoring
 
Расследование инцидентов ИБ с помощью открытых интернет-источников
Расследование инцидентов ИБ с помощью открытых интернет-источниковРасследование инцидентов ИБ с помощью открытых интернет-источников
Расследование инцидентов ИБ с помощью открытых интернет-источниковAdvanced monitoring
 
Threat Intelligence вам поможет, если его правильно приготовить…
Threat Intelligence вам поможет, если его правильно приготовить…Threat Intelligence вам поможет, если его правильно приготовить…
Threat Intelligence вам поможет, если его правильно приготовить…Advanced monitoring
 
Игнорируем уязвимости сегодня? Расплачиваемся завтра!
Игнорируем уязвимости сегодня? Расплачиваемся завтра!Игнорируем уязвимости сегодня? Расплачиваемся завтра!
Игнорируем уязвимости сегодня? Расплачиваемся завтра!Advanced monitoring
 
Vulnerability Prevention. Управляем уязвимостями – предупреждаем атаки
Vulnerability Prevention. Управляем уязвимостями – предупреждаем атакиVulnerability Prevention. Управляем уязвимостями – предупреждаем атаки
Vulnerability Prevention. Управляем уязвимостями – предупреждаем атакиAdvanced monitoring
 
Российская криптография: блочные шифры и их режимы шифрования (Russian crypto...
Российская криптография: блочные шифры и их режимы шифрования (Russian crypto...Российская криптография: блочные шифры и их режимы шифрования (Russian crypto...
Российская криптография: блочные шифры и их режимы шифрования (Russian crypto...Advanced monitoring
 
Болевые точки корпоративной сети: взгляд не со стороны службы ИБ
Болевые точки корпоративной сети: взгляд не со стороны службы ИББолевые точки корпоративной сети: взгляд не со стороны службы ИБ
Болевые точки корпоративной сети: взгляд не со стороны службы ИБAleksey Lukatskiy
 
Модель зрелости процесса (мониторинг и оценка ИБ)
Модель зрелости процесса (мониторинг и оценка ИБ) Модель зрелости процесса (мониторинг и оценка ИБ)
Модель зрелости процесса (мониторинг и оценка ИБ) Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Разработка средств защиты в России и на Западе: разность подходов
Разработка средств защиты в России и на Западе: разность подходовРазработка средств защиты в России и на Западе: разность подходов
Разработка средств защиты в России и на Западе: разность подходовAleksey Lukatskiy
 
Стратегия Cisco по информационной безопасности
Стратегия Cisco по информационной безопасностиСтратегия Cisco по информационной безопасности
Стратегия Cisco по информационной безопасностиCisco Russia
 
Cisco ACI - обзор преимуществ для бизнеса
Cisco ACI - обзор преимуществ для бизнесаCisco ACI - обзор преимуществ для бизнеса
Cisco ACI - обзор преимуществ для бизнесаCisco Russia
 

Viewers also liked (20)

Практический опыт мониторинга и анализа компьютерных атак
Практический опыт мониторинга и анализа компьютерных атакПрактический опыт мониторинга и анализа компьютерных атак
Практический опыт мониторинга и анализа компьютерных атак
 
Типовые сценарии атак на современные клиент-серверные приложения
Типовые сценарии атак на современные клиент-серверные приложенияТиповые сценарии атак на современные клиент-серверные приложения
Типовые сценарии атак на современные клиент-серверные приложения
 
Кто и как атаковал российские организации в 2016-ом. Статистика и тенденции.
Кто и как атаковал российские организации в 2016-ом. Статистика и тенденции.Кто и как атаковал российские организации в 2016-ом. Статистика и тенденции.
Кто и как атаковал российские организации в 2016-ом. Статистика и тенденции.
 
Анализ защиты мобильных приложений Facebook, Instagram, LinkedIn, Вконтакте и...
Анализ защиты мобильных приложений Facebook, Instagram, LinkedIn, Вконтакте и...Анализ защиты мобильных приложений Facebook, Instagram, LinkedIn, Вконтакте и...
Анализ защиты мобильных приложений Facebook, Instagram, LinkedIn, Вконтакте и...
 
Юрий Чемёркин (Yury Chemerkin) Owasp russia 2016
Юрий Чемёркин (Yury Chemerkin) Owasp russia 2016Юрий Чемёркин (Yury Chemerkin) Owasp russia 2016
Юрий Чемёркин (Yury Chemerkin) Owasp russia 2016
 
Расследование инцидентов ИБ с помощью открытых интернет-источников
Расследование инцидентов ИБ с помощью открытых интернет-источниковРасследование инцидентов ИБ с помощью открытых интернет-источников
Расследование инцидентов ИБ с помощью открытых интернет-источников
 
Threat Intelligence вам поможет, если его правильно приготовить…
Threat Intelligence вам поможет, если его правильно приготовить…Threat Intelligence вам поможет, если его правильно приготовить…
Threat Intelligence вам поможет, если его правильно приготовить…
 
Игнорируем уязвимости сегодня? Расплачиваемся завтра!
Игнорируем уязвимости сегодня? Расплачиваемся завтра!Игнорируем уязвимости сегодня? Расплачиваемся завтра!
Игнорируем уязвимости сегодня? Расплачиваемся завтра!
 
Vulnerability Prevention. Управляем уязвимостями – предупреждаем атаки
Vulnerability Prevention. Управляем уязвимостями – предупреждаем атакиVulnerability Prevention. Управляем уязвимостями – предупреждаем атаки
Vulnerability Prevention. Управляем уязвимостями – предупреждаем атаки
 
Российская криптография: блочные шифры и их режимы шифрования (Russian crypto...
Российская криптография: блочные шифры и их режимы шифрования (Russian crypto...Российская криптография: блочные шифры и их режимы шифрования (Russian crypto...
Российская криптография: блочные шифры и их режимы шифрования (Russian crypto...
 
пр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБпр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБ
 
пр Модель зрелости Dlp
пр Модель зрелости Dlpпр Модель зрелости Dlp
пр Модель зрелости Dlp
 
Болевые точки корпоративной сети: взгляд не со стороны службы ИБ
Болевые точки корпоративной сети: взгляд не со стороны службы ИББолевые точки корпоративной сети: взгляд не со стороны службы ИБ
Болевые точки корпоративной сети: взгляд не со стороны службы ИБ
 
Модель зрелости процесса (мониторинг и оценка ИБ)
Модель зрелости процесса (мониторинг и оценка ИБ) Модель зрелости процесса (мониторинг и оценка ИБ)
Модель зрелости процесса (мониторинг и оценка ИБ)
 
пр про SOC для ФСТЭК
пр про SOC для ФСТЭКпр про SOC для ФСТЭК
пр про SOC для ФСТЭК
 
пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)
 
Forensic imaging tools
Forensic imaging tools Forensic imaging tools
Forensic imaging tools
 
Разработка средств защиты в России и на Западе: разность подходов
Разработка средств защиты в России и на Западе: разность подходовРазработка средств защиты в России и на Западе: разность подходов
Разработка средств защиты в России и на Западе: разность подходов
 
Стратегия Cisco по информационной безопасности
Стратегия Cisco по информационной безопасностиСтратегия Cisco по информационной безопасности
Стратегия Cisco по информационной безопасности
 
Cisco ACI - обзор преимуществ для бизнеса
Cisco ACI - обзор преимуществ для бизнесаCisco ACI - обзор преимуществ для бизнеса
Cisco ACI - обзор преимуществ для бизнеса
 

Similar to Анализ защищенности ПО и инфраструктур – подходы и результаты

Борьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегииБорьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегииAleksey Lukatskiy
 
Архитектура защищенного периметра
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметраCisco Russia
 
Positive technologies а.гончаров
Positive technologies а.гончаровPositive technologies а.гончаров
Positive technologies а.гончаровDenial Solopov
 
Угрозы ИБ - retail edition (2016)
Угрозы ИБ - retail edition (2016)Угрозы ИБ - retail edition (2016)
Угрозы ИБ - retail edition (2016)Alexey Kachalin
 
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)Alexey Kachalin
 
Обзор портфолио экспертных сервисов.pdf
Обзор портфолио экспертных сервисов.pdfОбзор портфолио экспертных сервисов.pdf
Обзор портфолио экспертных сервисов.pdftrenders
 
Penetration testing (AS IS)
Penetration testing (AS IS)Penetration testing (AS IS)
Penetration testing (AS IS)Dmitry Evteev
 
Архитектура защищенного периметра
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметраCisco Russia
 
Найти и обезвредить
Найти и обезвредитьНайти и обезвредить
Найти и обезвредитьCisco Russia
 
безопасность веб проектов сергей рыжиков
безопасность веб проектов сергей рыжиковбезопасность веб проектов сергей рыжиков
безопасность веб проектов сергей рыжиковMedia Gorod
 
Комплексное решение задач ИБ
Комплексное решение задач ИБКомплексное решение задач ИБ
Комплексное решение задач ИБAlexey Kachalin
 
2016 10 pt kz качалин
2016 10 pt kz качалин2016 10 pt kz качалин
2016 10 pt kz качалинDiana Frolova
 
Сканер-ВС: швейцарский нож администратора безопасности
Сканер-ВС: швейцарский нож администратора безопасностиСканер-ВС: швейцарский нож администратора безопасности
Сканер-ВС: швейцарский нож администратора безопасностиУчебный центр "Эшелон"
 
ITSF 2014 ICS Security
ITSF 2014 ICS SecurityITSF 2014 ICS Security
ITSF 2014 ICS SecurityIlya Karpov
 
Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...
Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...
Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...Expolink
 
Тимур кабатаев (ARinteg) - Средства защиты от нестандартных целенаправленных ...
Тимур кабатаев (ARinteg) - Средства защиты от нестандартных целенаправленных ...Тимур кабатаев (ARinteg) - Средства защиты от нестандартных целенаправленных ...
Тимур кабатаев (ARinteg) - Средства защиты от нестандартных целенаправленных ...Expolink
 
Семинар ИБ ФНС-2013
Семинар ИБ ФНС-2013Семинар ИБ ФНС-2013
Семинар ИБ ФНС-2013Alexey Kachalin
 
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...ebuc
 

Similar to Анализ защищенности ПО и инфраструктур – подходы и результаты (20)

Борьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегииБорьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегии
 
Архитектура защищенного периметра
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметра
 
Positive technologies а.гончаров
Positive technologies а.гончаровPositive technologies а.гончаров
Positive technologies а.гончаров
 
IBM Proventia IPS
IBM Proventia IPSIBM Proventia IPS
IBM Proventia IPS
 
Угрозы ИБ - retail edition (2016)
Угрозы ИБ - retail edition (2016)Угрозы ИБ - retail edition (2016)
Угрозы ИБ - retail edition (2016)
 
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
 
Обзор портфолио экспертных сервисов.pdf
Обзор портфолио экспертных сервисов.pdfОбзор портфолио экспертных сервисов.pdf
Обзор портфолио экспертных сервисов.pdf
 
Penetration testing (AS IS)
Penetration testing (AS IS)Penetration testing (AS IS)
Penetration testing (AS IS)
 
Архитектура защищенного периметра
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметра
 
Безопасность
БезопасностьБезопасность
Безопасность
 
Найти и обезвредить
Найти и обезвредитьНайти и обезвредить
Найти и обезвредить
 
безопасность веб проектов сергей рыжиков
безопасность веб проектов сергей рыжиковбезопасность веб проектов сергей рыжиков
безопасность веб проектов сергей рыжиков
 
Комплексное решение задач ИБ
Комплексное решение задач ИБКомплексное решение задач ИБ
Комплексное решение задач ИБ
 
2016 10 pt kz качалин
2016 10 pt kz качалин2016 10 pt kz качалин
2016 10 pt kz качалин
 
Сканер-ВС: швейцарский нож администратора безопасности
Сканер-ВС: швейцарский нож администратора безопасностиСканер-ВС: швейцарский нож администратора безопасности
Сканер-ВС: швейцарский нож администратора безопасности
 
ITSF 2014 ICS Security
ITSF 2014 ICS SecurityITSF 2014 ICS Security
ITSF 2014 ICS Security
 
Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...
Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...
Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...
 
Тимур кабатаев (ARinteg) - Средства защиты от нестандартных целенаправленных ...
Тимур кабатаев (ARinteg) - Средства защиты от нестандартных целенаправленных ...Тимур кабатаев (ARinteg) - Средства защиты от нестандартных целенаправленных ...
Тимур кабатаев (ARinteg) - Средства защиты от нестандартных целенаправленных ...
 
Семинар ИБ ФНС-2013
Семинар ИБ ФНС-2013Семинар ИБ ФНС-2013
Семинар ИБ ФНС-2013
 
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...
 

Анализ защищенности ПО и инфраструктур – подходы и результаты

  • 1. Анализ защищенности ПО и инфраструктур – подходы и результаты Михаил Богатырев Руководитель направления по работе с клиентами ЗАО «ПМ»
  • 2. О нас Дочерняя компания ИнфоТеКС создана в 2007 г. Анализ защищенности ПО и ИС. Центр мониторинга.
  • 3. Основные типы компьютерных атак Многопрофильная компания Офис в Москве 3 офиса в России ~700 рабочих мест События 2016 Сканирования 480,838 Другие 313,773 Вредоносное ПО 113,239 Попытки вызова отказа в обслуживании 24,380 Попытки перебора паролей 17,059 Попытки эксплуатации известных уязвимостей 3,036 Сканирования 480,838 Другие 313,773 Вредоносное ПО 113,239 Попытки вызова отказа в обслуживании 24,380 Попытки перебора паролей 17,059 Попытки эксплуатации известных уязвимостей 3,036
  • 4. Причины возникновения уязвимостей ПО и систем защиты Уязвимости на стадии разработки ПО и СЗИ Ошибки разработчиков кода. Уязвимости сторонних компонентов, системного ПО, платформы. Уязвимости, внесенные в код злоумышленником. Уязвимости на стадии эксплуатации Изменения настроек. Смена режима эксплуатации. Изменения в процессах. Изменения в персонале.
  • 5. Примеры выявленных уязвимостей в ПО, сторонних компонентах и платформе Модификация клиентского приложения, в результате которой был получен доступ ко всем записям базы данных серверной части. Уязвимость в web-приложении позволила провести инъекцию исполняемого файла на сервер, с помощью которого был получен доступ к операционной системе. Используя уязвимость драйвера ядра удалось повысить привилегии и проникнуть в локальную сеть.
  • 6. Примеры выявленных уязвимостей в ПО, сторонних компонентах и платформе Перехват ключевой информации из оперативной памяти клиентского приложения, который позволил осуществить доступ к данным клиента и организовать несколько фиктивных клиентских рабочих мест. Отправка запросов на аутентификацию от имени разных клиентских приложений, привела к множественным блокировкам клиентских учетных данных.
  • 7. Примеры выявленных уязвимостей в инфраструктуре Подключенная к локальной сети wi-fi точка сотрудника позволила получить доступ к инфраструктуре из соседних офисов. Добавленный администратором для своего удобства сетевой адаптер позволил проникнуть из открытого сегмента в защищенный через его рабочее место.
  • 8. Примеры выявленных уязвимостей в инфраструктуре Испорченные файлы архивов не позволили провести восстановление после сбоя. «Зомби-аккаунт» позволил уволенному сотруднику несколько лет получать доступ к данным. IDS не обнаруживал сетевые атаки из-за потерь трафика при копировании после подключения новых мощностей.
  • 9. Методы выявления уязвимостей в ПО Анализ исходных кодов (статический анализ). Тестирование на проникновение и устойчивость к воздействиям (динамический анализ): декомпиляция; отладка; фаззинг; попытки НСД к данным HDD, RAM, трафик. Анализ настроек вспомогательного и системного ПО.
  • 10. Методы выявления уязвимостей в ПО Мониторинг публикаций об уязвимостях сторонних компонентов, системного ПО, платформ. Количество уязвимостей в CVE Аудит инфраструктуры и системы обновлений разработчика. Комплексный аудит защищенности Анализ методов защиты обновлений
  • 11. Снижение количества уязвимостей на стадии разработки Аудит требований. Анализ архитектуры. Анализ разработанного кода. Мониторинг публикаций об уязвимостях сторонних компонентов. Анализ безопасности конечного решения. Анализ безопасности системы обновлений. Цикл безопасной разработки ПО
  • 13. Комплексный аудит ИБ: тестирование на проникновение; анализ конфигураций СЗИ; аудит процессов управления ИБ; тестирование персонала. Методы выявления уязвимостей в инфраструктуре
  • 14. Отслеживание изменений настроек Отслеживание событий ИБ Методы выявления уязвимостей в инфраструктуре Центр мониторинга
  • 15. Спасибо за внимание? Михаил Богатырев Руководитель направления по работе с клиентами ЗАО «ПМ»

Editor's Notes

  1. В случае ИБ, как и в медицине системы защиты функционируют во враждебной среде. На слайде показана реальная статистика систем обнаружения вторжений на сети средних размеров компании. Всегда остается надежда, что неприятности случатся с кем-то другим, но не с нами. В ИБ, как и в медицине всем известно, что профилактика требует меньше затрат, чем ликвидация уже случившейся проблемы.
  2. Даже если ваша информационная система не содержала уязвимостей ПО, СЗИ, была правильно спроектирована и внедрена, то со временем ее защитные функции будут ослабевать. Источники уязвимостей закладываются уже на стадии разработки. Кроме ошибок самих разработчиков, выявляются новые уязвимости вспомогательного, системного ПО, аппаратных платформ. Отдельная область в поверхности атак – использование обновлений прикладного ПО для внедрения в вашу информационную систему. Злоумышленник может модифицировать обновления, получив доступ к сети разработчика. (Такие факты мы фиксировали в реальности). Кроме уязвимостей самого ПО, в ходе эксплуатации изменяются настройки СЗИ и оборудования, меняются режимы эксплуатации СЗИ в связи с развитием информационной системы, меняется состав рабочих групп и отделов, что отражается на эффективности работы системы защиты, процессов обработки инцидентов, и т.п.
  3. Приведу несколько примеров уязвимостей ПО, выявленных нами в ходе многочисленных тестирований на проникновение. Все примеры относятся к клиент-серверная архитектуре. Первый пример – система оформления заказов. Клиентские приложения распространяются для заказчиков. Серьезная, продуманная система защиты. Одна уязвимость в клиентском приложении позволила сквозь все системы защиты получить прямой доступ к общему хранилищу данных. Следующий пример показывает, как злоумышленник может использовать многоходовые комбинации, используя уязвимости разного типа. Через уязвимость прикладного ПО он загрузил исполняемый файл на сервер, с помощью него получил удаленный доступ. Используя уязвимость драйвера (это уже уровень системного ПО) он повысил свои привилегии, с помощью которых у него появилась возможность скрыть следы взлома и развивать атаку дальше в локальную сеть. Еще один пример показывает, как недостаточная защита данных в оперативной памяти может быть использована. Злоумышленник легально приобрел один экземпляр клиентского ПО. Из оперативной памяти ему удалось добыть ключевую информацию, используя которую он смог клонировать клиента и создать несколько десятков рабочих мест. Следующий пример – атака на всю систему, с использованием уязвимости в логике ее работы. Серверная часть разрывает клиентскую сессию при получении от его имени запроса на аутентификацию с другого адреса. Злоумышленник осуществил «веерное отключение» клиентов, отправляя запросы от их имени со своего клиента. Имена клиентов совпадали с названиями компаний-клиентов. Перечень компаний-клиентов был получен злоумышленником из архива базы данных, обнаруженных в одном из каталогов.
  4. Еще один пример показывает, как недостаточная защита данных в оперативной памяти может быть использована. Злоумышленник легально приобрел один экземпляр клиентского ПО. Из оперативной памяти ему удалось добыть ключевую информацию, используя которую он смог клонировать клиента и создать несколько десятков рабочих мест. Следующий пример – атака на всю систему, с использованием уязвимости в логике ее работы. Серверная часть разрывает клиентскую сессию при получении от его имени запроса на аутентификацию с другого адреса. Злоумышленник осуществил «веерное отключение» клиентов, отправляя запросы от их имени со своего клиента. Имена клиентов совпадали с названиями компаний-клиентов. Перечень компаний-клиентов был получен злоумышленником из архива базы данных, обнаруженных в одном из каталогов.
  5. Теперь посмотрим, что вносится в информационную систему в процессе ее эксплуатации: Во время нескольких!!! Пентестов нам удавалось обнаружить беспроводные точки, нелегально подключенные к локальной сети (чтобы подключать свои планшеты и смартфоны). Т.к. настраивались они не системными администраторами компании, то и уровень их защищенности позволял использовать их для проникновения в сеть с улицы, из помещения этажом ниже. Еще один пример из жизни, как человеческий фактор влияет на защищенность. У системного администратора было 2 АРМ: первое рабочее место в открытом офисном сегменте с почтой, интернетом и т.п., второе рабочее место подключено к изолированному защищенному сегменту. Ему показалось неудобным переключаться с одного на другое рабочее место и он добавил себе еще один Ethernet-адаптер. В результате его АРМ оказалось подключенным к двум сегментам одновременно. Теперь дело за малым – получить доступ к его АРМ, а для этого есть множество способов (в нашем случае сработал трюк с перехватом пароля администратора из оперативной памяти, когда он удаленно подключался к АРМ другого пользователя).
  6. Еще один пример – несоблюдение регламентов: когда грянула беда, вышло из строя хранилище, то восстановить данные из резервных копий не удалость, т.к. одна из копий была испорчена и более поздние архивы без нее были бесполезны. Причина – отсутствие регулярных проверок целостности архивов. Следующий пример – не сработали коммуникации между службами: при увольнении сотрудника положено блокировать все его аккаунты, но одного сотрудника «проморгали», он после увольнения несколько лет подключался удаленно к VPN, использовал данные компании для своей новой работы. В завершение пример изменений в режимах работы: в компании организовывались новые рабочие места, появились резервные каналы связи, началось активное использование видеоконференций, в результате трафик, который копировался для анализа на IDS стал столь объемным, что начались потери пакетов на сетевом оборудовании, и информация о событиях уже не доходила до IDS. Выявить это удалось только во время тестирования.
  7. Для тщательного выявления уязвимостей необходимо анализировать исходные коды ПО. Но коды не всегда доступны, и кроме того, анализ кодов не позволяет ответить на все вопросы. Для того, чтобы оценить простоту эксплуатации уязвимостей, устойчивость к внешним воздействиям, мы проводим тестирование на проникновение конкретной реализация системы, анализируем настройки систем защиты, инфраструктуры. Мы проверяем, что сможет получить атакующий, если будет использовать отладчик или декомпилятор, проверяем, насколько устойчиво решение в ситуации, когда оно получает на вход заведомо некорректные запросы.
  8. Чтобы понять возможности злоумышленника вставить свое вредоносное ПО в пакеты обновлений, или использовать для атаки инфраструктуру разработчика и каналы доставки, мы проводим комплексный анализ защищенности обновлений. Иногда проводим анализ защищенности инфраструктуры разработчика ПО. Для управления уязвимостями сторонних компонентов ПО, вспомогательных сервисов и служб, уязвимостями операционных систем, прошивок и аппаратных платформ мы мониторим публикации об обнаруженных уязвимостях как в открытых, так и в закрытых источниках.
  9. Всем известно, что устранять уязвимости в продукте в 30 раз дороже, чем выявить ее на стадии производства. Для снижения затрат и повышения качества своих продуктов, разработчики ПО внедряют у себя цикл безопасной разработки, который предполагает проверки безопасности на всех этапах производства. Здесь мы можем заметить некоторые уже знакомые нам термины. Отличие заключается в том, что на производстве все проверки максимально автоматизированы для регулярных многократных итераций, и внедрены в производственные процессы.
  10. На слайде мы видим цикл безопасной разработки в нотации HP. Разработчики прибегают к помощи экспертных организации, таких, как наша, для проведения финальных проверок, разработки инструментария, и тест-кейсов, внедрения процессов и практик, коучинга.
  11. Для выявления уязвимостей, появляющихся в инфраструктуре и процессах, необходимо проводить внешний комплексный аудит информационной безопасности который должен быть регулярным (это важно!). В процессе аудита проверяется, насколько изменилась защищенность вашей инфраструктуры, какова эффективность процессов и средств управления ИБ, насколько готов персонал противодействовать компьютерным атакам.
  12. Для поддержания уровня защищенности необходимо обеспечить внедрение нескольких важных процессов: Управление изменениями всего: средств защиты, ОС, сетевых устройств, пользователей и пр. Управление инцидентами ИБ.