Taking AppSec to 11: AppSec Pipeline, DevOps and Making Things BetterMatt Tesauro
Slide deck from AppSec California 2016 + some additional slides.
Abstract:
How many applications are in your company’s portfolio? What’s the headcount for your AppSec team? Whatever your situation is, I am sure the numbers are not in your favor. Its not time to find a new career, it's time to up your game. This talk will cover how to take your small merry band of AppSec professionals and scale it up to a virtual army. By taking the best of DevOps, Agile and CI/CD, you can iteratively up your AppSec game over time and begin your ascent out of the security hole you are in.
The talk covers real world experiences running AppSec groups at two different companies. Rackspace with approximately 4,000+ employees and Pearson with 40,000+. Both have an international presence and far more apps and developers that AppSec staff. The talk covers the key principles to speed and scale up AppSec programs using an AppSec Pipeline as well as practical examples of these practices put into use. Start early and begin to buy down the technical security dept which feels inevitable with more traditional AppSec program thinking.
Identity Governance: Not Just For ComplianceIBM Security
View on-demand presentation: http://securityintelligence.com/events/identity-governance-not-just-for-compliance/
Did you know that proper identity governance will make your organization more secure? Between Separation of Duty violations, entitlement creep and insider threats, user IDs are the doorway to your organization and identity governance can be the deadbolt.
Join this webinar to learn how you can employ identity governance to not only simplify your audit process, but to safeguard your entire organization.
Driving efficiencies in the new month end close - vena solutionsVena Solutions
The month-end close has become more complex since the early 2000’s. Increasing regulatory scrutiny is forcing companies to change the way they measure their success while continuing to generate full-scale, compliant, and timely financial statements every month. This paper examines four ways companies can remedy a dysfunctional month-end close without altering their core business systems or processes.
Top 10 Reasons to Learn Cybersecurity | Why Cybersecurity is Important | EdurekaEdureka!
** Cybersecurity Online Training: https://www.edureka.co/cybersecurity-certification-training**
This Edureka tutorial talks about the Top 10 Reasons to Learn Cybersecurity and what makes the Cybersecurity a lucrative career choice.
Cybersecurity Training Playlist: https://bit.ly/2NqcTQV
Taking AppSec to 11: AppSec Pipeline, DevOps and Making Things BetterMatt Tesauro
Slide deck from AppSec California 2016 + some additional slides.
Abstract:
How many applications are in your company’s portfolio? What’s the headcount for your AppSec team? Whatever your situation is, I am sure the numbers are not in your favor. Its not time to find a new career, it's time to up your game. This talk will cover how to take your small merry band of AppSec professionals and scale it up to a virtual army. By taking the best of DevOps, Agile and CI/CD, you can iteratively up your AppSec game over time and begin your ascent out of the security hole you are in.
The talk covers real world experiences running AppSec groups at two different companies. Rackspace with approximately 4,000+ employees and Pearson with 40,000+. Both have an international presence and far more apps and developers that AppSec staff. The talk covers the key principles to speed and scale up AppSec programs using an AppSec Pipeline as well as practical examples of these practices put into use. Start early and begin to buy down the technical security dept which feels inevitable with more traditional AppSec program thinking.
Identity Governance: Not Just For ComplianceIBM Security
View on-demand presentation: http://securityintelligence.com/events/identity-governance-not-just-for-compliance/
Did you know that proper identity governance will make your organization more secure? Between Separation of Duty violations, entitlement creep and insider threats, user IDs are the doorway to your organization and identity governance can be the deadbolt.
Join this webinar to learn how you can employ identity governance to not only simplify your audit process, but to safeguard your entire organization.
Driving efficiencies in the new month end close - vena solutionsVena Solutions
The month-end close has become more complex since the early 2000’s. Increasing regulatory scrutiny is forcing companies to change the way they measure their success while continuing to generate full-scale, compliant, and timely financial statements every month. This paper examines four ways companies can remedy a dysfunctional month-end close without altering their core business systems or processes.
Top 10 Reasons to Learn Cybersecurity | Why Cybersecurity is Important | EdurekaEdureka!
** Cybersecurity Online Training: https://www.edureka.co/cybersecurity-certification-training**
This Edureka tutorial talks about the Top 10 Reasons to Learn Cybersecurity and what makes the Cybersecurity a lucrative career choice.
Cybersecurity Training Playlist: https://bit.ly/2NqcTQV
Cybersecurity Tools | Popular Tools for Cybersecurity Threats | Cybersecurity...Edureka!
** CyberSecurity Certification Training: https://www.edureka.co/cybersecurity-certification-training **
This Edureka tutorial on "Cybersecurity Tools" gives an introduction to the various tools used in the industry for the purpose of cybersecurity. You get to know different kinds of security tools in today's IT world and how they protect us against cyber threats/attacks. The following tools are discussed in this tutorial:
- BluVector
- Bricata
- Cloud Defender
- Contrast Security
- Digital Guardian
- Intellicta
- Mantix4
- SecBI
Cybersecurity Training Playlist: https://bit.ly/2NqcTQV
Security awareness training - 4 topics that matter mostInfosec
National Cybersecurity Awareness Month (NCSAM) is right around the corner. Now’s the time to level up your security awareness training program — and instill best practices in employees that will help keep them (and your organization) secure year-round.
Join us to learn about the four key employee behaviors for NCSAM 2022. All registrants will receive a free Cybersecurity Awareness Month Toolkit, which includes:
1 training module & assessment
5 posters & infographics
1 employee presentation
4 email templates
And more
The Incident Response Playbook for Android and iOSPriyanka Aash
What is your mobile device incident response plan? If you cannot answer that question, you should attend this session. The session will cover the challenges in mobile, how and why it is different from traditional incident response, and the building blocks you can use to craft your own mobile incident response plan.
(Source: RSA USA 2016-San Francisco)
Escalabilidad “horizontal” en soluciones VoIP basadas en Asterisk / KamailioIrontec
Ponencia de Carlos Cruz y Gorka Gorrotxategi de Irontec en VoIP2DAY: "Escalabilidad “horizontal” en soluciones VoIP basadas en Asterisk / Kamailio". Puesta en común de los desafíos y soluciones para el escalado horizontal en soluciones VozIP basadas en Kamailio / Asterisk con especial atención a las nuevas
posibilidades con PJSIP y siempre desde la perspectiva IP PBX!
This session is for organizational executive managers and security teams who want to know the effectiveness and performance of their organization’s application security initiatives.
Introductory performance KPI metrics covered for:
1. Product Security Quality & Business Financial Risk Exposure
2. SSDLC Maturity Organizational Performance
3. AppSec QA Testing
4. AppSec Consulting
5. AppSec Training
6. DevSecOps
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...Identity Days
Avec l’évolution des usages et la migration vers le cloud, les systèmes d’information des entreprises sont de plus complexes et ouverts, ce qui augmente la surface d’attaque. Dans ce contexte, la gestion des identités et des accès (IAM) est essentielle pour assurer la sécurité et la conformité. En adoptant une approche Zero Trust, centrée sur les utilisateurs, les actifs et les ressources, l’IAM joue un rôle crucial en maîtrisant les identités et les autorisations pour protéger le système d’information. Dans cette présentation nous allons explorer les idées reçues, les pièges à éviter et les bonnes pratiques pour assurer le succès d’un projet IAM.
Università degli Studi di Macerata
Dipartimento di economia e diritto
Corso di laurea in economia, finanza e mercati
INSEGNAMENTO DI INFORMATICA – A.A. 2015-16
MODULO 18 –> Il sistema operativo
Top 50 java ee 7 best practices [con5669]Ryan Cuprak
JavaOne 2016
This session provides 50 best practices for Java EE 7, with examples. The best practices covered focus primarily on JPA, CDI, JAX-WS, and JAX-RS. In addition, topics involving testing and deployment are covered. This presentation points out where best practices have changed, common misconceptions, and antipatterns that should be avoided. This is a fast-paced presentation with many code samples.
The fundamentals of Android and iOS app securityNowSecure
Looking for a high-intensity bootcamp covering the basics of secure mobile development? This slideshare was originally presented by mobile security expert and NowSecure CEO Andrew Hoog for a 60-minute workshop at Security by Design covering the following topics:
+ Introduction to identifying security flaws in mobile apps (and how to avoid them)
+ Examples of secure and insecure mobile apps and how to secure them
+ Overview of secure mobile development based on the NowSecure Secure Mobile Development Best Practices
Cybersecurity Tools | Popular Tools for Cybersecurity Threats | Cybersecurity...Edureka!
** CyberSecurity Certification Training: https://www.edureka.co/cybersecurity-certification-training **
This Edureka tutorial on "Cybersecurity Tools" gives an introduction to the various tools used in the industry for the purpose of cybersecurity. You get to know different kinds of security tools in today's IT world and how they protect us against cyber threats/attacks. The following tools are discussed in this tutorial:
- BluVector
- Bricata
- Cloud Defender
- Contrast Security
- Digital Guardian
- Intellicta
- Mantix4
- SecBI
Cybersecurity Training Playlist: https://bit.ly/2NqcTQV
Security awareness training - 4 topics that matter mostInfosec
National Cybersecurity Awareness Month (NCSAM) is right around the corner. Now’s the time to level up your security awareness training program — and instill best practices in employees that will help keep them (and your organization) secure year-round.
Join us to learn about the four key employee behaviors for NCSAM 2022. All registrants will receive a free Cybersecurity Awareness Month Toolkit, which includes:
1 training module & assessment
5 posters & infographics
1 employee presentation
4 email templates
And more
The Incident Response Playbook for Android and iOSPriyanka Aash
What is your mobile device incident response plan? If you cannot answer that question, you should attend this session. The session will cover the challenges in mobile, how and why it is different from traditional incident response, and the building blocks you can use to craft your own mobile incident response plan.
(Source: RSA USA 2016-San Francisco)
Escalabilidad “horizontal” en soluciones VoIP basadas en Asterisk / KamailioIrontec
Ponencia de Carlos Cruz y Gorka Gorrotxategi de Irontec en VoIP2DAY: "Escalabilidad “horizontal” en soluciones VoIP basadas en Asterisk / Kamailio". Puesta en común de los desafíos y soluciones para el escalado horizontal en soluciones VozIP basadas en Kamailio / Asterisk con especial atención a las nuevas
posibilidades con PJSIP y siempre desde la perspectiva IP PBX!
This session is for organizational executive managers and security teams who want to know the effectiveness and performance of their organization’s application security initiatives.
Introductory performance KPI metrics covered for:
1. Product Security Quality & Business Financial Risk Exposure
2. SSDLC Maturity Organizational Performance
3. AppSec QA Testing
4. AppSec Consulting
5. AppSec Training
6. DevSecOps
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...Identity Days
Avec l’évolution des usages et la migration vers le cloud, les systèmes d’information des entreprises sont de plus complexes et ouverts, ce qui augmente la surface d’attaque. Dans ce contexte, la gestion des identités et des accès (IAM) est essentielle pour assurer la sécurité et la conformité. En adoptant une approche Zero Trust, centrée sur les utilisateurs, les actifs et les ressources, l’IAM joue un rôle crucial en maîtrisant les identités et les autorisations pour protéger le système d’information. Dans cette présentation nous allons explorer les idées reçues, les pièges à éviter et les bonnes pratiques pour assurer le succès d’un projet IAM.
Università degli Studi di Macerata
Dipartimento di economia e diritto
Corso di laurea in economia, finanza e mercati
INSEGNAMENTO DI INFORMATICA – A.A. 2015-16
MODULO 18 –> Il sistema operativo
Top 50 java ee 7 best practices [con5669]Ryan Cuprak
JavaOne 2016
This session provides 50 best practices for Java EE 7, with examples. The best practices covered focus primarily on JPA, CDI, JAX-WS, and JAX-RS. In addition, topics involving testing and deployment are covered. This presentation points out where best practices have changed, common misconceptions, and antipatterns that should be avoided. This is a fast-paced presentation with many code samples.
The fundamentals of Android and iOS app securityNowSecure
Looking for a high-intensity bootcamp covering the basics of secure mobile development? This slideshare was originally presented by mobile security expert and NowSecure CEO Andrew Hoog for a 60-minute workshop at Security by Design covering the following topics:
+ Introduction to identifying security flaws in mobile apps (and how to avoid them)
+ Examples of secure and insecure mobile apps and how to secure them
+ Overview of secure mobile development based on the NowSecure Secure Mobile Development Best Practices
Większość banków stosuje w swoich systemach bankowości internetowej i mobilnej metody autoryzacji transakcji (np. hasła SMS, "podpis elektroniczny", tokeny OTP, tokeny challenge-response). Stosowanie tego typu metod nie jest ograniczone tylko do systemów finansowych, są np. szeroko stosowane do autoryzowania operacji odzyskiwania hasła w różnego rodzaju aplikacjach.
Autoryzacja transakcji ma ograniczać skutki wynikające z działania wrogiego oprogramowania na stacji użytkownika, przechwytywania sesji oraz zgadywania czy kradzieży haseł.
W ostatnich latach widzimy jednak, że strategie działania grup przestępczych dostosowują się do tych zabezpieczeń i niejednokrotnie skutecznie je omijają. Prezentacja ma na celu skonfrontowanie obecnych metod autoryzacji operacji ze współczesnymi scenariuszami ataku przy użyciu malware oraz wskazanie typowych błędów w implementacji, które mogą przyczynić się do możliwości obejścia tych zabezpieczeń.
Agenda (draft):
- Krótka prezentacja metod autoryzacji transakcji.
- Kilka "case study" - jak malware obchodzi autoryzacje transakcji (w tym własne doświadczenia zdobyte podczas analizy przypadków ataków w bankach).
- Jak wybrać skuteczną metodę autoryzacji transakcji?
- Na co uważać? Typowe błędy implementacji, które mogą przyczynić się do osłabienia mechanizmu autoryzacji transakcji.
Jaka jest świadomość przedsiębiorców w kwestii bezpieczeństwa firmy? Co to są testy penetracyjne i komu je zlecać? Ważne praktyki które uczynią Twój biznes bardziej bezpiecznym.
13 najpopularniejszych sieciowych ataków na Twój komputer. Wykrywanie, usuwan...Wydawnictwo Helion
Naucz się rozpoznawać zagrożenia i zadbaj o bezpieczeństwo Twojego komputera!
* Jak rozpoznać atak na Twój komputer?
* Jak wykryć złośliwe oprogramowanie?
* Jak zabezpieczyć się przed podsłuchem sieciowym?
Pewnie myślisz, że Twojemu komputerowi nic nie grozi, bo nie przechowujesz na nim żadnych wartościowych danych. Albo wręcz przeciwnie — panicznie boisz się wirusów, niemal jak ognia piekielnego, ale w ogóle nie potrafisz ich rozpoznać. A może jesteś jedną z tych osób, które nigdy się nad tym nie zastanawiają? Pewnie nie zdajesz sobie sprawy, że przez nieprzemyślane działania możesz sam sobie (i swojemu komputerowi) bardzo zaszkodzić. Nadeszła zatem pora, aby podjąć radykalne kroki w celu zmiany tego stanu rzeczy — czas zrozumieć, na czym polega atak, i zabezpieczyć się przed nim. A oto Twój najwierniejszy sprzymierzeniec w tej walce a ta książka to właśnie Twój najwierniejszy sprzymierzeniec w tej walce!
Książka „13 najpopularniejszych sieciowych ataków na Twój komputer.
Wykrywanie, usuwanie skutków i zapobieganie” pokaże Ci, jak wytropić wirusy, przechytrzyć złośliwe oprogramowanie, rozpoznać podsłuch sieciowy. Dowiesz się, jak szybko i skutecznie pozbyć się różnych rodzajów sieciowego oszustwa, takich jak DNS-spoofing, MITM, phishing i pharming. Nauczysz się zabezpieczać komputer przed wszelkimi próbami wtargnięcia na jego teren i pozbywać się infekcji z sieci komputerowej, pendrive’a czy telefonu komórkowego. Ten podręcznik poprowadzi Cię prosto do zwycięstwa w walce z sieciowym zagrożeniem.
* Wykrywanie podsłuchu sieciowego
* Sieci zbudowane w oparciu o przełączniki
* Sieci bezprzewodowe
* Zabezpieczenia przed podsłuchem sieciowym
* Złośliwe oprogramowanie
* Podszywanie się i oszustwa: DNS-spoofing, MITM, phishing i pharming
* Prawna ochrona bezpieczeństwa informacji
* Podstawy komunikacji sieciowej
Rozpoznaj, usuń, ochroń!
Ta książka to więcej niż polisa ubezpieczeniowa!
Similar to 2.prezentacja jak ochronić komputer (20)
13 najpopularniejszych sieciowych ataków na Twój komputer. Wykrywanie, usuwan...
2.prezentacja jak ochronić komputer
1. JAK CHRONIĆ SWÓJ KOMPUTER
Czysto informacyjne i rozrywkowe
wykorzystanie Internetu to już przeszłość.
Dziś za pomocą sieci dokonuje się
skomplikowanych transakcji finansowych,
kupuje w wirtualnych sklepach i obsługuje
konta bankowe. Niestety, zawsze tam, gdzie
są pieniądze, są i oszuści. Dlatego policja
radzi jak zabezpieczyć swój komputer, by
korzystanie z Internetu było możliwie jak
najbezpieczniejsze.
Źródło:policja.pl
2. Surfując po Internecie zachowujmy daleko
posuniętą czujność i ostrożność. Na
niektórych stronach, zwłaszcza
pornograficznych i hakerskich, bardzo często
znajdują się złośliwe programy, które możemy
nieświadomie zainstalować na komputerze.
Mogą one sparaliżować jego pracę bądź
wyciągając z niego poufne dane.
3. Korzystajmy z legalnego systemu operacyjnego.
Pirackie oprogramowania są nie tylko nielegalne,
ale mogą zawierać też programy szpiegujące,
które bez naszej wiedzy zainstalują się w
komputerze. Będą podglądały wszystko, co
wpisujemy na klawiaturze i przekazywały tę
wiedzę niepożądanym osobom. W ten sposób
możemy utracić kody dostępu do naszych kont
internetowych, poczty i autoryzowanych stron.
4. Zainstalujmy program antywirusowy i
antyszpiegowski - darmowe wersje takich
programów można znaleźć w Internecie i
legalnie je ściągnąć. Programy te uchronią
nasz komputer przed wirusami i programami
hakerskimi.
5. Warto też zaopatrzyć się w tzw. firewall (dosł.
ścianę ogniową), która zablokuje próby
włamania się z sieci do naszego komputera. Z
internetu możemy pobrać darmowe
oprogramowanie tego typu.
6. Regularnie aktualizujmy: system operacyjny,
oprogramowanie antywirusowe i
antyszpiegowskie i inne programy, których
używamy podczas łączenia się Internetem.
Luki w oprogramowaniu mogą posłużyć do
włamania się do komputera.
7. Dokładnie przyglądajmy się stronom banków, z
których korzystamy za pośrednictwem
Internetu. Oszuści często podszywają się pod
pracowników banku i proszą nas o podawanie
numerów kart płatniczych oraz kodów PIN. Nie
odpowiadajmy na takie prośby, ale zgłośmy to
obsłudze naszego banku. Można także
zainstalować tzw. oprogramowanie
antyphishingowe, które wychwytuje takie
fałszywe strony.
8. Korzystając z konta internetowego wpisujmy
sami adres strony, nie posiłkujmy się linkami
rozsyłanymi przez kogokolwiek. Mogą one
kierować do "fałszywej strony banku", której
autorami są oszuści.
9. Nie otwierajmy maili od nieznanych adresatów i
nie używajmy linków rozsyłanych w niechcianej
poczcie (tzw. spamie) oraz przez
komunikatory. Mogą prowadzić do
niebezpiecznych stron lub programów. Użycie
oprogramowania antyspamowego znacznie
ogranicza ilość niechcianej poczty.
10. Komunikatory internetowe (np. Tlen, Gadu-
Gadu) są bezpieczne pod warunkiem, że
rozmawiamy tylko ze znanymi nam osobami i
nie korzystamy z linków oraz plików
przesyłanych przez niewiadomych nadawców.
11. W przeglądarkach internetowych można ustawić
opcję filtru rodzinnego lub zainstalować na
komputerze oprogramowanie, które
uniemożliwi młodszym członkom rodziny
korzystanie z niepożądanych stron.
źródło:policja.pl