Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Анализ уязвимостей ПО

3,815 views

Published on

Презентация для небольшого доклада на KubanCTF по поводу восстребованности навыков анализа уязвимостей программного обеспечения

Published in: Education
  • Be the first to comment

  • Be the first to like this

Анализ уязвимостей ПО

  1. 1. Анализ уязвимостей информационных систем
  2. 2. Докладчик Сергей Борисов Заместитель генерального директора по ИБ, ООО Информационные системы и аутсорсинг ГК РосИнтеграци http://isoit.ru/ http://docshell.ru/ s.borisov@krasnodar.pro Анализ уязвимостей
  3. 3. Статистика публичных уязвимостей. NIST CVE Анализ уязвимостей
  4. 4. Статистика публичных уязвимостей. VULNERS Анализ уязвимостей
  5. 5. Статистика публичных уязвимостей. PT TOP 10 2011-2015 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 2011 2012 2013 2014 2015 №1, Cross-Site Scripting №2, Fingerprinting №3, Brute Force №4, Information Leakage №5, SQL Injection №6, Cross-Site Request Forgery №7, Server Misconfiguration №8, Credential/Session Prediction №9, URL Redirector Abuse №10, Path Traversal Анализ уязвимостей
  6. 6. Что делали до недавнего времени • Автоматическое сканирование - часто • Пентест / аудит – редко • BugBounty - еденицы Анализ уязвимостей
  7. 7. Ситуация постепенно меняется • Анализ уязвимостей в НПА регуляторов • Появляется больше продуктов в области защиты приложений • Спрос со стороны владельцев и операторов ИС Анализ уязвимостей
  8. 8. РС БР ИББС-2.6-2014 Обеспечение ИБ на стадиях ж.ц. АБС Анализ уязвимостей
  9. 9. ГОСТ Р 56939-2016 Разработка безопасного ПО Анализ уязвимостей
  10. 10. Приказ ФСТЭК России №17 Анализ уязвимостей
  11. 11. Приказ ФСТЭК России №17 Анализ уязвимостей
  12. 12. Приказ ФСТЭК России №17 Анализ уязвимостей
  13. 13. Приказ ФСТЭК России №17 Анализ уязвимостей
  14. 14. Приказ ФСТЭК России №17 Анализ уязвимостей
  15. 15. Проект Положения ЦБ РФ №382-П Защита платежной информации Анализ уязвимостей
  16. 16. За рамками данного доклада • ГОСТ Р 56545-2015 Уязвимости информационных систем. Правила описания уязвимостей • ГОСТ Р 56546-2015 Уязвимости информационных систем. Классификация уязвимостей информационных систем • Планируемый Методический документ ФСТЭК России по анализу уязвимостей и отсутствию НДВ в ПО • Методический документ ФСТЭК России «Меры защиты информации в ГИС» • Требования к регулярному анализу и устранению уязвимостей, заложенные во все последние профили защиты СЗИ • и другие Анализ уязвимостей
  17. 17. Востребованность анализа уязвимостей на практике Оператор или владелец ИС: анализ уязвимостей ИС при создании, экспертиза кода ПО внешнего разработчика, регулярный анализ защищенности Разработчик: первоначальный и регулярный анализ исходного кода, анализ известных уязвимостей, динамический анализ Орган по аттестации: анализ известных уязвимостей, анализ конфигурации СЗИ Орган по сертификации: анализ исходного кода, анализ известных уязвимостей Анализ уязвимостей

×