Системы класса SIEM могут быть вполне применимы не только для информационной безопасности, но и ИТ персоналом, разработчиками для своевременного обнаружения и предотвращения инцидентов
Системы класса SIEM могут быть вполне применимы не только для информационной безопасности, но и ИТ персоналом, разработчиками для своевременного обнаружения и предотвращения инцидентов
Cis critical security controls. контроль 3 безопасная конфигурация устройствTeymur Kheirkhabarov
3-ий контроль из набора мер CIS Critical Security Controls 6-ой версии - что это такое, зачем это нужно, как реализовать и контролировать. Пример реализации на базе решений Kaspersky, MaxPatrol и Request Tracker. Пример использования Request Tracker для учёта информационных активов.
Развитие систем анализа защищенности. Взгляд в будущее!Dmitry Evteev
Системы анализа защищенности являются удобным и простым инструментом, помогающим своевременно обнаруживать уязвимости в информационных системах. Они прошли долгий путь от утилит из набора "для хакера" до систем обеспечения информационной безопасности в инфраструктуре любой сложности. Как все было на самом деле, что мы имеем сейчас и что нас ждет в будущем? Именно об этом и пойдет речь в этом выступлении.
Нагрузочное тестирование API. Как летать, а не ползать?IT61
Вячеслав Марков, инженер по автоматизированному тестированию в Distillery, расскажет об особенностях нагрузочного тестирования REST API с помощью JMeter.
Вот что пишет Вячеслав: "Вместе со слушателями постараемся разобраться, каким аспектам нагрузочного тестирования стоит уделить наибольшее внимание. Порассуждаем о том, как составить реалистичный тестовый сценарий и выясним, чем же так хорош JMeter. В заключении уделим немного внимания стресс-тестированию."
Cis critical security controls. контроль 3 безопасная конфигурация устройствTeymur Kheirkhabarov
3-ий контроль из набора мер CIS Critical Security Controls 6-ой версии - что это такое, зачем это нужно, как реализовать и контролировать. Пример реализации на базе решений Kaspersky, MaxPatrol и Request Tracker. Пример использования Request Tracker для учёта информационных активов.
Развитие систем анализа защищенности. Взгляд в будущее!Dmitry Evteev
Системы анализа защищенности являются удобным и простым инструментом, помогающим своевременно обнаруживать уязвимости в информационных системах. Они прошли долгий путь от утилит из набора "для хакера" до систем обеспечения информационной безопасности в инфраструктуре любой сложности. Как все было на самом деле, что мы имеем сейчас и что нас ждет в будущем? Именно об этом и пойдет речь в этом выступлении.
Нагрузочное тестирование API. Как летать, а не ползать?IT61
Вячеслав Марков, инженер по автоматизированному тестированию в Distillery, расскажет об особенностях нагрузочного тестирования REST API с помощью JMeter.
Вот что пишет Вячеслав: "Вместе со слушателями постараемся разобраться, каким аспектам нагрузочного тестирования стоит уделить наибольшее внимание. Порассуждаем о том, как составить реалистичный тестовый сценарий и выясним, чем же так хорош JMeter. В заключении уделим немного внимания стресс-тестированию."
Parcomagic: Security analysis of public terminalsDenis Makrushin
A video game called Watch Dogs offers a realistic view on our near future – our surroundings filled to the brim with digital devices, machines which accept and dispense cash, and a variety of other connected things ridden with all sorts of vulnerabilities, which a hacker can exploit. In the game, the main character successfully compromises a video surveillance system using a smartphone, gaining the ability to conduct surveillance and obtain additional information. The game’s fans are divided: some say this is too ‘dystopian’ – taking a smartphone and hacking into everything around you. Others are somewhat skeptical, saying that things really aren’t that great and the game world is in many ways a reflection of real life. Below, we argue that devices in parks and other public spaces, which we often pass without giving them a second thought, may be vulnerable and therefore dangerous, at least for our personal finances.
ZeroNights 2014 is an international conference dedicated to the practical side of information security.
Any web project has one important efficiency metric: maximum load. This talk will utilize a nontrivial look at stress testing services: we will see how a harmless instrument can be turned into a DDoS tool.
Domnatio ad bestias: Crowd-filter as a panacea for DDoS (PHDays 2014)Denis Makrushin
Crowd-filter is proposed as a solution for distributed denial of service (DDoS) attacks by utilizing a hybrid peer-to-peer network of routing and filtering nodes. The network would filter traffic based on each node's characteristics and optimize content routing. This approach could help address the issue of limited resources being overwhelmed during an attack by distributing the traffic filtering workload across many nodes. The author offers to answer any questions and provides contact information.
The problem of user de-anonymization on the Darknet becomes more and more popular. The report will cover a variety of exploits for vulnerabilities in .onion resources and configuration flaws that can be utilized to obtain information on Tor users.
Рассказав об особенностях, окружении и общих характеристиках ИТ - проектов, докладчик остановился на основе системы мотивации - КСУП. И основе самой мотивации - премировании команды с различными вариантами (непрозрачным и прозрачным). В завершении доклада упомянул о подводных камнях проектного премирования и способах их обхода
Часто о нагрузочном тестировании рассказывают через призму используемого инструментария, хорошо раскрывая слово «нагрузочное» и часто оставляя слово «тестирование» за кадром. Так давайте же попробуем поговорить о месте именно тестирования в нагрузочном тестировании.
Gave a talk at StartCon about the future of Growth. I touch on viral marketing / referral marketing, fake news and social media, and marketplaces. Finally, the slides go through future technology platforms and how things might evolve there.
32 Ways a Digital Marketing Consultant Can Help Grow Your BusinessBarry Feldman
How can a digital marketing consultant help your business? In this resource we'll count the ways. 24 additional marketing resources are bundled for free.
Тесты на проникновение как основа реальной оценки состояния ИБ в организацииLETA IT-company
Презентация Ивушкина Андрея, заместителя руководителя направления систем менеджмента компании LETA, проведенная в рамках конференции «Грани ИБ Законодательство, процессы, технологии» 13-15 октября 2011 г. в «Атлас Парк-Отель»
"Опыт создания системы управления сборкой и тестированием" (полная)SPB SQA Group
Доклад посвящен вопросам создания и использования собственной системы управления процессами сборки и тестирования ПО. Описываются ключевые моменты построения таких систем, в частности: вопросы интерфейсов, быстродействия, качества и интеграции в общую инфраструктуру. Затрагиваются концепции встраивания качества в код, сбора и использования метрик ПО, неотделимости сборки от тестирования, автоматизированного ведения базы знаний об ошибках и другие.
Организация нагрузочного тестирования — Алексей ЛавренюкYandex
Алексей Лавренюк расскажет об организации процесса нагрузочного тестирования: зачем нужно нагрузочное тестирование, на какие вопросы оно даст ответ, как снизить затраты временных и человеческих ресурсов на нагрузочное тестирование. Еще он коснется возможностей open-source инструмента Яндекс.Танк и его места в процессе нагрузочного тестирования.
"Опыт создания системы управления сборкой и тестированием" (слайдкаст)SPB SQA Group
Доклад посвящен вопросам создания и использования собственной системы управления процессами сборки и тестирования ПО. Описываются ключевые моменты построения таких систем, в частности: вопросы интерфейсов, быстродействия, качества и интеграции в общую инфраструктуру. Затрагиваются концепции встраивания качества в код, сбора и использования метрик ПО, неотделимости сборки от тестирования, автоматизированного ведения базы знаний об ошибках и другие.
Автоматизация нагрузочного тестирования в связке JMeter + TeamСity + Grafana ...Positive Hack Days
1. Описание старого процесса сбора данных о тестах: как было до, что хорошего, что плохого
2. Influxdb, как хранилище time-series данных,
3. Zabbix - мониторинг нагрузочных стендов: windows и linux агенты, активный сбор данных, autodiscovery виртуальных машин в esx
4. Grafana, как способ превратить графики и дашборды в конфетку
5. Автоматизация нагрузки от пользователей через web-UI при помощи Jmeter, отображение статистики в реальном времени, CI в Teamcity
4. Зачем грузить?
Определение пиковой нагрузки для внешних ИТ-
ресурсов
Оценка эффективности существующих средств
защиты
Повышение устойчивости внешних ИТ-ресурсов к
DDoS-атакам
Повышение эффективности мер противодействия
данному типу угроз и осведомленности
сотрудников в части взаимодействия в ходе
атаки
4
5. Нагрузочное тестирование = DDoS?
тестирование реальной инфраструктуры,
находящейся в процессе функционирования;
сценарии проведения тестов включают в себя
нагрузку, которая имитирует действия
злоумышленников;
использование системы нагрузочного
тестирования;
планирование и учет аспектов проведения
процедуры тестирования с владельцем
целевой инфраструктуры:
• «Только не урони» - определение порогового значения
нагрузки на реально функционирующей ИС (прогноз);
• «Ломай меня полностью!» - определение порогового
значения ИС или тестового стенда.
5
6. Объекты тестирования
Уровень приложений
• Веб-приложения или любой из их компонентов (СУБД,
сервер аутентификации);
• Сервисы, обеспечивающие работы прикладного
уровня инфраструктуры (например, DNS);
• Приложения, обеспечивающие бизнес-процессы.
Сетевой и транспортный уровни
• IP;
• ICMP;
• TCP;
• UDP.
6
7. Нагрузочное тестирование
• Выбор базового значения нагрузки
(probe)
Увеличение
нагрузки
• Выбор текущего значения
нагрузки относительно базового
Прогноз
• Анализ состояния системы
при probe-нагрузке
Анализ реакции
Фиксирование
целевой
результатов инфраструктуры
• Анализ состояния системы
при текущей нагрузке
7
8. Система нагрузочного тестирования
реализация DDoS/DoS-атак (наличие базы
знаний);
обеспечение функционирования в реальном
времени распределенных компонентов системы
(распределенная архитектура);
наличие механизмов мониторинга состояния ИС
и предотвращения ее выхода за пределы
пиковой нагрузки;
формирование статистической информации в
процессе нагрузочного тестирования (исходные
данные для прогнозирования);
8
12. Прогнозирование отказа в обслуживании
Цель: оценка возможных путей развития
нагрузки на информационную инфраструктуру
и последствий тех или иных сценариев
развития нагрузочного тестирования.
Этапы:
1. сбор и подготовка статистических данных;
2. получение функциональной (однофакторной)
зависимости (МНК);
3. экстраполяция.
12
13. Нет ботнета? Не вопрос: найди багу, устрой DoS!
Предварительное сканирование
инфраструктуры на уязвимости
Определение уязвимостей, результат
эксплуатации которых производит
манипуляции с ресурсами ИС
Множественная эксплуатация уязвимостей
13