SecureVisio to SIRP, czyli rozwiązanie do podnoszenia bezpieczeństwa w firmie. Sam wybierasz ile czasu przeznaczasz na analizę logów, system robi to automatycznie i prosi o reakcję gdy incydent zostanie rozpoznany.
Doskonałe narzędzie do spełnienia wymogów NIS, zbiera informacje o zdarzeniach i incydentach, pozwala automatyzować przekazywanie ich dalej.
Potrzebujesz objąć narzędziem zdolności operacyjne? Chcesz w bezpieczeństwie uwzględnić sytuację biznesową, procesy? Teraz możesz to zrobić.
PL: xBroker Master to oprogramowanie dla brokerów ubezpieczeniowych dowolnej skali działania.
ENG: xBroker Master is insurance broker software for brokers of any scale
Narzędzia do zautomatyzowanego testowania bezpieczeństwa aplikacji WWWLogicaltrust pl
Konferencja TestFest - 20.02.2016 - Wrocław
Prezentacja ma za zadanie przedstawić zestaw narzędzi ułatwiających zautomatyzowane testy bezpieczeństwa aplikacji webowych. Dodatkowo zostaną omówione wady i zalety każdego z rozwiązań.
The document summarizes how World War 2 is remembered and memorialized in Poland through various mediums. It discusses Polish movies, songs, books, memorials, and museums about WWII. It also provides brief details about Władysław Miegoń, a Polish Catholic priest and naval officer who was imprisoned in Dachau concentration camp where he died.
Zapora sieciowa w systemie UTM Cyberoam jest bardzo ważnym elementem wbudowanym w urządzenia UTM. Cały system posiada wiele modułów między innymi VPN router, UTM antywirus, Hardware firewall.
SecureVisio to SIRP, czyli rozwiązanie do podnoszenia bezpieczeństwa w firmie. Sam wybierasz ile czasu przeznaczasz na analizę logów, system robi to automatycznie i prosi o reakcję gdy incydent zostanie rozpoznany.
Doskonałe narzędzie do spełnienia wymogów NIS, zbiera informacje o zdarzeniach i incydentach, pozwala automatyzować przekazywanie ich dalej.
Potrzebujesz objąć narzędziem zdolności operacyjne? Chcesz w bezpieczeństwie uwzględnić sytuację biznesową, procesy? Teraz możesz to zrobić.
PL: xBroker Master to oprogramowanie dla brokerów ubezpieczeniowych dowolnej skali działania.
ENG: xBroker Master is insurance broker software for brokers of any scale
Narzędzia do zautomatyzowanego testowania bezpieczeństwa aplikacji WWWLogicaltrust pl
Konferencja TestFest - 20.02.2016 - Wrocław
Prezentacja ma za zadanie przedstawić zestaw narzędzi ułatwiających zautomatyzowane testy bezpieczeństwa aplikacji webowych. Dodatkowo zostaną omówione wady i zalety każdego z rozwiązań.
The document summarizes how World War 2 is remembered and memorialized in Poland through various mediums. It discusses Polish movies, songs, books, memorials, and museums about WWII. It also provides brief details about Władysław Miegoń, a Polish Catholic priest and naval officer who was imprisoned in Dachau concentration camp where he died.
Zapora sieciowa w systemie UTM Cyberoam jest bardzo ważnym elementem wbudowanym w urządzenia UTM. Cały system posiada wiele modułów między innymi VPN router, UTM antywirus, Hardware firewall.
Sklep.wittchen.com, Eobuwie.pl, Butyjana.pl, Unhuman.pl i Rockmetalshop.pl to pierwsza piątka polecanych przez konsumentów internetowych sklepów odzieżowych — wynika z rankingu Opineo.pl. Klienci dobrze oceniają zakupy w e-butikach modowych, choć, ich zdaniem, wiele kwestii należałoby jeszcze poprawić.
Światowe badanie bezpieczeństwa informacji 2014EYPoland
Światowe badanie bezpieczeństwa informacji przeprowadzono między czerwcem a sierpniem 2014 roku. 1825 respondentów z 60 krajów, pracujących w 25 sektorach, to przede wszystkim członkowie zarządów, CIO oraz dyrektorzy działów IT. Jest to 17. edycja badania.
Ja, Cyborg. Stosunek ludzi do HET (human enhancement technologies)Natalia Hatalska
Prezentacja z konferencji Cyber 6.0 Redefine. Poświęcona stosunkowi polskich internautów do technologii "ulepszających" ludzi. Na podstawie badań zrealizowanych na potrzeby raportu TrendBook 2016.
W prezentacji zawarto ogólne zagadnienia związane z wykorzystaniem informatyki śledczej w procesie ujawniania, zabezpieczania oraz analizy zawartości cyfrowych nośników informacji dla potrzeb postępowania karnego. Przedstawiono metody oraz narzędzia sprzętowo-programowe wykorzystywane w kryminalistycznych badaniach dowodowych nośników informacji. Zaprezentowano również kilka zagadnień praktycznych (analiza przypadku).
Rafał Szczepański, SmartRecruiters
Mateusz Olejarka, SecuRing
Za starych dobrych czasów, kiedy oprogramowanie robiono w modelu Waterfall wiadomo było, kiedy i jak zająć się tematem bezpieczeństwa aplikacji, a przynajmniej tak się wszystkim wydawało. Ale to już za nami. Teraz oprogramowanie jest wdrażane na produkcję dużo częściej. Czasem nawet kilka razy dziennie pojawia się jego nowa wersja.
Jak w takim środowisku, korzystającym z dobrodziejstw Agile, zapewnić aby aplikacja była odpowiednio zabezpieczona? Jak utrzymać wysoki poziom bezpieczeństwa w środowisku ciągłych zmian funkcjonalnych, architektonicznych i koncepcyjnych w oprogramowaniu?
Na bazie naszych wspólnych doświadczeń pokażemy, jak wspólnie pracowaliśmy, aby bezpieczeństwo dla platformy SmartRecruiters zapewnić i utrzymać.
Z jednej strony Rafał opowie o tym, jakie problemy wystąpiły i jakie zmiany były potrzebne z punktu widzenia organizacji aby móc efektywnie zając się tematem bezpieczeństwa oraz zapewnić aby platforma była bezpieczna nie tylko tuż po testach, ale także w perspektywie długofalowej.
Z drugiej strony Mateusz przedstawi jakie wyzwania i jakie zmiany były potrzebne, aby móc efektywnie testować bezpieczeństwo czy, mówiąc szerzej, pracować nad zapewnieniem bezpieczeństwa platformy, z punktu widzenia konsultanta, który trafia do takiej organizacji.
PLNOG14: Ocena wydajności i bezpieczeństwa infrastruktury operatora telekomu...PROIDEA
Dariusz Zmysłowski - Systemics PAB
Rafał Wiszniewski - Orange Polska
Language: Polish
Istotnym obszarem działalności Systemics-PAB jest współpraca z Orange Polska w zakresie testowania wydajności i bezpieczeństwa systemów sieciowych z wykorzystaniem rozwiązań oferowanych przez Spirent Communications. W trakcie prezentacji zostanie przedstawione praktyczne wykorzystanie produktów Avalanche i Avalanche Next w Orange Polska.
W związku z rosnącą ilością zagrożeń ze strony sieci Internet rośnie liczba urządzeń kierowanych do ochrony użytkowników sieci przed niepowołaną treścią. Aby sprostać wymaganiom stawianym przez największe sieci, producenci wprowadzają na rynek coraz to bardziej zaawansowane rozwiązania, których wydajność wydaje się być wystarczająca, aby chronić sieci z dużą liczbą użytkowników. Co więcej deklarowana wydajność niektórych urządzeń wydaje się być wystarczająca nawet do uruchomienia takowych urządzeń w rdzeniu sieci.
Orange Polska testuje wydajnościowo urządzenia oraz usługi naszych Klientów dostępne w sieci Internet. Poddajemy je szeregowi testów, których celem jest sprawdzenie ich wydajności i funkcjonalności, określenie słabych punktów i wąskich gardeł, przygotowanie scenariuszy awaryjnych czy zaplanowanie modernizacji i rozbudowy.
Systemics – PAB specjalizuje się pomiarach jakości usług telekomunikacyjnych, usługach i dostarczaniu rozwiązań z obszaru optymalizacji, inżynierii systemów telekomunikacyjnych, bezpieczeństwa i wydajności środowisk sieciowych.
Zarejestruj się na kolejną edycję PLNOG już dzisiaj: krakow.plnog.pl
PLNOG 13: Krystian Baniak: Value Added Services PlatformPROIDEA
Krystian Baniak is a Senior Security Consultant with over 14 years of industry experience from both telco and enterprise domains. Having started his professional career as a software developer, he continued as network engineer, penetration testing specialist and security auditor. Today he is a senior consultant and security solutions architect. Krystian Baniak professional experience has been acquired on numerous international engagements.
From educational standpoint, Krystian Baniak has a PhD in telecommunication, MSc in information system security and received certifications from ISC2, F5 and Cisco.
Topic of Presentation: Value Added Services Platform
Language: Polish
Abstract: Value Added Platform as a tool for service provider’s infrastructure monetization. Practical presentation of Infradata VAS platform solution architecture with a demo of the Content Injection and Parental Control services.
SQL Day 2018 Building efficient and reliable Enterprise Reporting Platform wi...radekle
Building efficient and reliable Enterprise Reporting Platform with Microsoft Power BI (SQL Day 2018 conference)
How to build serious, secure, and scalable reporting solutions with Power BI ?
Presentation covers the common patterns for Power BI usage, performance implications and best practices in deployment, monitoring, reports publishing and security aspects.
You will find many useful examples from large Power BI enterprise deployments.
PLNOG 17 - Maciej Flak - Cisco Cloud Networking - czyli kompletna infrastrukt...PROIDEA
W trakcie sesji zostanie omówiony nowy zyskujący coraz większe uznanie model zarządzania i provisioningu sieci LAN, WAN, WIFI z chmury. Pokazane zostanie w jaki sposób operatorzy telekomunikacyjni przy pomocy platformy Cisco Cloud Networking mogą budować i dostarczać własne usługi zarządzane Klientom (manager LAN, WAN i WIFI).
Docker, Jenkins, network topology, system configuration and software delivery management - all of these are the bread and butter of each DevOps team, but can be also a recipe for a disaster. Walk through the most devastating security failures in DevOps environments I've seen in real life, including network architecture, security controls design and implementation.
The document summarizes the transformation of the internet from a decentralized network of individual websites and blogs to a centralized platform optimized for profit through targeted advertising. It discusses how user privacy has been compromised as centralized platforms aggregate user data and sell access to user profiles in real-time bidding. The document provides recommendations for protecting privacy, including using privacy-focused browsers and apps, blocking trackers and ads, and exploring alternatives to centralized social networks like Secure Scuttlebutt that focus on decentralized protocols.
- Modern web application frameworks have powerful security features built-in like template escaping, database abstraction, session management, and authentication that help prevent vulnerabilities like XSS and SQL injection. These features are standard, well-tested, and usually more robust than custom code.
- Libraries and dependencies make up a large portion of modern applications. It is important to keep dependencies up-to-date with security patches and be careful about dependencies from untrusted sources like some examples on StackOverflow.
- Different security scanners like SAST, DAST, and IAST scan applications in different ways and at different stages, but an important factor is how well they understand the specific programming languages, frameworks, and technologies used in the application being
This document discusses input validation of free-form Unicode text in web applications. It begins with an introduction to Unicode and some of the challenges with representing different languages and characters. It then discusses strategies for validating Unicode text, such as enforcing Unicode character categories, scripts, text direction and normalization. The document emphasizes thinking of text as composed of characters rather than bytes and having clear policies around what constitutes valid text for an application's user base.
Get rid of TLS certificates - using IPSec for large scale cloud protectionPawel Krawczyk
This document summarizes transport layer security (TLS) and internet protocol security (IPSec) options for securing communications in Linux. It describes various user-mode and kernel-mode TLS and IPSec implementations like SSH, OpenVPN, WireGuard etc. The document then focuses on IPSec, explaining its architecture, configuration using setkey and racoon, and troubleshooting IPSec issues. It concludes by introducing an Ansible role for automating and simplifying IPSec configuration.
Sklep.wittchen.com, Eobuwie.pl, Butyjana.pl, Unhuman.pl i Rockmetalshop.pl to pierwsza piątka polecanych przez konsumentów internetowych sklepów odzieżowych — wynika z rankingu Opineo.pl. Klienci dobrze oceniają zakupy w e-butikach modowych, choć, ich zdaniem, wiele kwestii należałoby jeszcze poprawić.
Światowe badanie bezpieczeństwa informacji 2014EYPoland
Światowe badanie bezpieczeństwa informacji przeprowadzono między czerwcem a sierpniem 2014 roku. 1825 respondentów z 60 krajów, pracujących w 25 sektorach, to przede wszystkim członkowie zarządów, CIO oraz dyrektorzy działów IT. Jest to 17. edycja badania.
Ja, Cyborg. Stosunek ludzi do HET (human enhancement technologies)Natalia Hatalska
Prezentacja z konferencji Cyber 6.0 Redefine. Poświęcona stosunkowi polskich internautów do technologii "ulepszających" ludzi. Na podstawie badań zrealizowanych na potrzeby raportu TrendBook 2016.
W prezentacji zawarto ogólne zagadnienia związane z wykorzystaniem informatyki śledczej w procesie ujawniania, zabezpieczania oraz analizy zawartości cyfrowych nośników informacji dla potrzeb postępowania karnego. Przedstawiono metody oraz narzędzia sprzętowo-programowe wykorzystywane w kryminalistycznych badaniach dowodowych nośników informacji. Zaprezentowano również kilka zagadnień praktycznych (analiza przypadku).
Rafał Szczepański, SmartRecruiters
Mateusz Olejarka, SecuRing
Za starych dobrych czasów, kiedy oprogramowanie robiono w modelu Waterfall wiadomo było, kiedy i jak zająć się tematem bezpieczeństwa aplikacji, a przynajmniej tak się wszystkim wydawało. Ale to już za nami. Teraz oprogramowanie jest wdrażane na produkcję dużo częściej. Czasem nawet kilka razy dziennie pojawia się jego nowa wersja.
Jak w takim środowisku, korzystającym z dobrodziejstw Agile, zapewnić aby aplikacja była odpowiednio zabezpieczona? Jak utrzymać wysoki poziom bezpieczeństwa w środowisku ciągłych zmian funkcjonalnych, architektonicznych i koncepcyjnych w oprogramowaniu?
Na bazie naszych wspólnych doświadczeń pokażemy, jak wspólnie pracowaliśmy, aby bezpieczeństwo dla platformy SmartRecruiters zapewnić i utrzymać.
Z jednej strony Rafał opowie o tym, jakie problemy wystąpiły i jakie zmiany były potrzebne z punktu widzenia organizacji aby móc efektywnie zając się tematem bezpieczeństwa oraz zapewnić aby platforma była bezpieczna nie tylko tuż po testach, ale także w perspektywie długofalowej.
Z drugiej strony Mateusz przedstawi jakie wyzwania i jakie zmiany były potrzebne, aby móc efektywnie testować bezpieczeństwo czy, mówiąc szerzej, pracować nad zapewnieniem bezpieczeństwa platformy, z punktu widzenia konsultanta, który trafia do takiej organizacji.
PLNOG14: Ocena wydajności i bezpieczeństwa infrastruktury operatora telekomu...PROIDEA
Dariusz Zmysłowski - Systemics PAB
Rafał Wiszniewski - Orange Polska
Language: Polish
Istotnym obszarem działalności Systemics-PAB jest współpraca z Orange Polska w zakresie testowania wydajności i bezpieczeństwa systemów sieciowych z wykorzystaniem rozwiązań oferowanych przez Spirent Communications. W trakcie prezentacji zostanie przedstawione praktyczne wykorzystanie produktów Avalanche i Avalanche Next w Orange Polska.
W związku z rosnącą ilością zagrożeń ze strony sieci Internet rośnie liczba urządzeń kierowanych do ochrony użytkowników sieci przed niepowołaną treścią. Aby sprostać wymaganiom stawianym przez największe sieci, producenci wprowadzają na rynek coraz to bardziej zaawansowane rozwiązania, których wydajność wydaje się być wystarczająca, aby chronić sieci z dużą liczbą użytkowników. Co więcej deklarowana wydajność niektórych urządzeń wydaje się być wystarczająca nawet do uruchomienia takowych urządzeń w rdzeniu sieci.
Orange Polska testuje wydajnościowo urządzenia oraz usługi naszych Klientów dostępne w sieci Internet. Poddajemy je szeregowi testów, których celem jest sprawdzenie ich wydajności i funkcjonalności, określenie słabych punktów i wąskich gardeł, przygotowanie scenariuszy awaryjnych czy zaplanowanie modernizacji i rozbudowy.
Systemics – PAB specjalizuje się pomiarach jakości usług telekomunikacyjnych, usługach i dostarczaniu rozwiązań z obszaru optymalizacji, inżynierii systemów telekomunikacyjnych, bezpieczeństwa i wydajności środowisk sieciowych.
Zarejestruj się na kolejną edycję PLNOG już dzisiaj: krakow.plnog.pl
PLNOG 13: Krystian Baniak: Value Added Services PlatformPROIDEA
Krystian Baniak is a Senior Security Consultant with over 14 years of industry experience from both telco and enterprise domains. Having started his professional career as a software developer, he continued as network engineer, penetration testing specialist and security auditor. Today he is a senior consultant and security solutions architect. Krystian Baniak professional experience has been acquired on numerous international engagements.
From educational standpoint, Krystian Baniak has a PhD in telecommunication, MSc in information system security and received certifications from ISC2, F5 and Cisco.
Topic of Presentation: Value Added Services Platform
Language: Polish
Abstract: Value Added Platform as a tool for service provider’s infrastructure monetization. Practical presentation of Infradata VAS platform solution architecture with a demo of the Content Injection and Parental Control services.
SQL Day 2018 Building efficient and reliable Enterprise Reporting Platform wi...radekle
Building efficient and reliable Enterprise Reporting Platform with Microsoft Power BI (SQL Day 2018 conference)
How to build serious, secure, and scalable reporting solutions with Power BI ?
Presentation covers the common patterns for Power BI usage, performance implications and best practices in deployment, monitoring, reports publishing and security aspects.
You will find many useful examples from large Power BI enterprise deployments.
PLNOG 17 - Maciej Flak - Cisco Cloud Networking - czyli kompletna infrastrukt...PROIDEA
W trakcie sesji zostanie omówiony nowy zyskujący coraz większe uznanie model zarządzania i provisioningu sieci LAN, WAN, WIFI z chmury. Pokazane zostanie w jaki sposób operatorzy telekomunikacyjni przy pomocy platformy Cisco Cloud Networking mogą budować i dostarczać własne usługi zarządzane Klientom (manager LAN, WAN i WIFI).
Docker, Jenkins, network topology, system configuration and software delivery management - all of these are the bread and butter of each DevOps team, but can be also a recipe for a disaster. Walk through the most devastating security failures in DevOps environments I've seen in real life, including network architecture, security controls design and implementation.
The document summarizes the transformation of the internet from a decentralized network of individual websites and blogs to a centralized platform optimized for profit through targeted advertising. It discusses how user privacy has been compromised as centralized platforms aggregate user data and sell access to user profiles in real-time bidding. The document provides recommendations for protecting privacy, including using privacy-focused browsers and apps, blocking trackers and ads, and exploring alternatives to centralized social networks like Secure Scuttlebutt that focus on decentralized protocols.
- Modern web application frameworks have powerful security features built-in like template escaping, database abstraction, session management, and authentication that help prevent vulnerabilities like XSS and SQL injection. These features are standard, well-tested, and usually more robust than custom code.
- Libraries and dependencies make up a large portion of modern applications. It is important to keep dependencies up-to-date with security patches and be careful about dependencies from untrusted sources like some examples on StackOverflow.
- Different security scanners like SAST, DAST, and IAST scan applications in different ways and at different stages, but an important factor is how well they understand the specific programming languages, frameworks, and technologies used in the application being
This document discusses input validation of free-form Unicode text in web applications. It begins with an introduction to Unicode and some of the challenges with representing different languages and characters. It then discusses strategies for validating Unicode text, such as enforcing Unicode character categories, scripts, text direction and normalization. The document emphasizes thinking of text as composed of characters rather than bytes and having clear policies around what constitutes valid text for an application's user base.
Get rid of TLS certificates - using IPSec for large scale cloud protectionPawel Krawczyk
This document summarizes transport layer security (TLS) and internet protocol security (IPSec) options for securing communications in Linux. It describes various user-mode and kernel-mode TLS and IPSec implementations like SSH, OpenVPN, WireGuard etc. The document then focuses on IPSec, explaining its architecture, configuration using setkey and racoon, and troubleshooting IPSec issues. It concludes by introducing an Ansible role for automating and simplifying IPSec configuration.
Łukasz Lenart "How secure your web framework is? Based on Apache Struts 2"Pawel Krawczyk
This document discusses security vulnerabilities in the Apache Struts 2 framework and recommendations for mitigating them. It describes several vulnerabilities, including S2-006 (client-side code injection), S2-008 (remote command execution), and S2-009 (another RCE issue). For each, it provides details on how the vulnerability can be exploited as well as recommendations such as disabling dynamic method invocation, upgrading versions, and adding filters. It also discusses using Struts 2 responsibly by checking frameworks for vulnerabilities and reporting any issues found.
Are electronic signature assumptions realisticPawel Krawczyk
A retrospective analysis of basic legal and technical assumptions that were laid at base of EU Directive 1999/93/EC on electronic signatures and subsequent technical standards (CWA). See http://ipsec.pl/ for more details.
Pragmatic view on Electronic Signature directive 1999 93Pawel Krawczyk
Discussion of legal and technical issues with EU Directive 1999/93/EC that prevented it from being adopted by European market. See http://ipsec.pl/ for more details.
This is a security awareness presentation on impact of developing and using insecure applications in organisations. Number of case studies of data leaks, defacements and regulatory fines are presented as example.
The document discusses real-world information security challenges and lessons learned from various organizations. It emphasizes performing risk analysis and balancing security controls with business needs. Key points include avoiding a "one-size-fits-all" approach, controlling costs, learning from past incidents, and ensuring security controls help rather than hinder business processes.
2. Otoczenie prawno-organizacyjne
• GDS (Government Digital Services)
• GOV.UK, Government Gateway, IDA, PSN
• Akty prawne, standardy, rekomendacje, interpretacje
• CESG (Communications-Electronics Security Group)
• GPG 43 – Requirements of Secure Delivery of Online Public Services
• GPG dotyczące uwierzytelniania, zarządzania tożsamością itd.
• Zarządzanie bezpieczeństwem oparte na ocenie ryzyka
• Podejście IDA(BC) Authentication Policy
• G-Cloud (IaaS, PaaS, SaaS, SCS, 1200 dostawców, 80% MŚP)
• ISO 27001, Cyber Essentials
• Obowiązkowa akredytacja systemów
• Szeroki zakres, podejście procesowe
3. Przygotowanie projektu
• Analiza potrzeb klienta
• Analizy ryzyka, metody uwierzytelniania, poziomy zabezpieczeń, klasyfikacja
danych
• Architektura aplikacji
• Logiczna separacja danych, metody uwierzytelniania
• Szkolenia dla architektów i programistów
• Przygotowane pod kątem konkretnej platformy
5. Testy bezpieczeństwa
• Testy bezpieczeństwa
• Wewnętrzne, zewnętrzne (CREST)
• Definicja zakresu testu (OWASP Top 10, OWASP ASVS, patrz też https://goo.gl/JgXgyn)
• Ręczne, automatyczne (skany podatności)
• BurpSuite
• Współpraca z działem bezpieczeństwa klienta
• Ocena ryzyka podatności, zwłaszcza z testów zewnętrznych
• Planowanie działań naprawczych
6. Agile
• Współpraca przy tworzeniu “user stories”
• Specjalne “user stories” związane z bezpieczeńtwem
• Testowanie ręczne co najmniej w każdym sprincie
• Continuous Integration
• OWASP ZAProxy, w3af, Dependency Check, Retire.js, Seccubus, GAUNTLT
• PMD, Yasca, Brakeman, OWASP Lapse+, FindBugs