Тема доклада: "Система анализа уязвимостей программных продуктов". Докладчик: Александр Белобородов (.Net, Silverlight developer at DCT).
В данном докладе мы поговорим о способах поиска уязвимостей в программных продуктах. Как известно, одним из способов поиска уязвимостей является использование сканеров безопасности, основанных на выполнении так называемых тестов на проникновение. В данном случае потребуется составление специальных тестов либо покупка уже существующих сканеров безопасности. Другим подходом является использование информации из общедоступных баз данных уязвимостей (БДУ). В докладе мы рассмотрим наиболее популярные из них, поговорим о том, как информация может применяться для построения сканеров безопасности на основе информации об уязвимостях из общедоступных источников. Также, в докладе мы коснёмся разработанного инструментального средства для анализа информации из различных БДУ. В данный момент проект разработки сканера уязвимостей является частью исследовательской работы, проводимой студентами и сотрудниками кафедры компьютерных систем и сетей Национального аэрокосмического университета им. Н.Е. Жуковского "ХАИ" (www.khai.edu). Целью доклада является привлечение потенциальных заказчиков и заинтересованных разработчиков-исследователей к созданию данного сканера уязвимостей. Применяться данная система может администраторами компьютерных систем для поиска узвимостей в используемых программных продуктах без запуска тестов на проникновение.
Назначение прототипа ЭС ─ это консультирование по подбору систем очистки воды (на примере: коммерческих систем "ECONOM" "EXTRA" [44].
Сфера применения прототипа экспертной системы (ЭС) ─ это различные муниципальные системы водоподготовки, лаборатории анализа воды.
Цель прототипа ЭС ─ подбор наиболее оптимального варианта системы очистки воды.
Scope of the prototype expert system (ES) ─ this is a different municipal water treatment system, laboratory water analysis.
The purpose of the prototype ES ─ selection of the optimal alternative water purification systems.
С чего начать свой путь этичного хакера? - Вадим ЧакрянHackIT Ukraine
Презентация с форума http://hackit-ukraine.com/
Вадим Чакрян
С чего начать свой путь этичного хакера?
Руководитель проекта Hackup {Learning} Network
О спикере: Руководитель проектов Hackup {Learning} Network, Харьковского OWASP сообщества, ISACA KNURE; Инструктор сетевой академииCisco; независимый тренер-консультант по вопросам информационной безопасности.
Анализ защищенности Web-приложений, выявление уязвимостей в реальных условияхDmitry Evteev
Уязвимости и атаки на Web-приложения, общепринятые классификации уязвимостей. Ошибки, допускаемые разработчиками при создании клиентской и серверной частей Web-приложения, их возможные последствия и методы выявления и устранения. Примеры из практики. Обзор специализированных средств защиты Web-приложений: Web Application Firewall (WAF). Стоит ли полагаться на WAF?
Методология выявления уязвимостей в Web-приложениях, в частности, с использованием различных средств автоматического анализа.
Назначение прототипа ЭС ─ это консультирование по подбору систем очистки воды (на примере: коммерческих систем "ECONOM" "EXTRA" [44].
Сфера применения прототипа экспертной системы (ЭС) ─ это различные муниципальные системы водоподготовки, лаборатории анализа воды.
Цель прототипа ЭС ─ подбор наиболее оптимального варианта системы очистки воды.
Scope of the prototype expert system (ES) ─ this is a different municipal water treatment system, laboratory water analysis.
The purpose of the prototype ES ─ selection of the optimal alternative water purification systems.
С чего начать свой путь этичного хакера? - Вадим ЧакрянHackIT Ukraine
Презентация с форума http://hackit-ukraine.com/
Вадим Чакрян
С чего начать свой путь этичного хакера?
Руководитель проекта Hackup {Learning} Network
О спикере: Руководитель проектов Hackup {Learning} Network, Харьковского OWASP сообщества, ISACA KNURE; Инструктор сетевой академииCisco; независимый тренер-консультант по вопросам информационной безопасности.
Анализ защищенности Web-приложений, выявление уязвимостей в реальных условияхDmitry Evteev
Уязвимости и атаки на Web-приложения, общепринятые классификации уязвимостей. Ошибки, допускаемые разработчиками при создании клиентской и серверной частей Web-приложения, их возможные последствия и методы выявления и устранения. Примеры из практики. Обзор специализированных средств защиты Web-приложений: Web Application Firewall (WAF). Стоит ли полагаться на WAF?
Методология выявления уязвимостей в Web-приложениях, в частности, с использованием различных средств автоматического анализа.
VII Уральский форум
Информационная безопасность банков
Пленарное заседание. Часть I
Открытие Форума. Приветственные выступления
организаторов и представителей государственных структур-регуляторов.
Лютиков Виталий Сергеевич, начальник управления ФСТЭК России
Источник: http://ural.ib-bank.ru/materials_2015
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.Вячеслав Аксёнов
Курс: Создание автоматизированных систем в защищенном исполнении.
Курс предназначен для руководителей и специалистов подразделений ответственных за создание автоматизированных (информационных) систем в защищенном исполнении. В курсе подробно рассматривается содержание и порядок выполнения работ на стадиях и этапах создания автоматизированных (информационных) систем (в том числе в защищенном исполнении) с учетом требований нормативных правовых актов Республики Беларусь об информации, информатизации и защите информации, положений отечественных и международных стандартов в области информационной безопасности. В рамках курса основное внимание уделяется практическим вопросам разработки документации на автоматизированную (информационную) систему на стадиях жизненного цикла.
Исследование безопасности создаваемых информационных систем и разрабатываемых приложений становится распространенной практикой. Безопасники получили наконец заслуженное признание и «включены в цикл» разработки, их вписывают в нормативку, создают базы знаний для хранения результатов исследований. Чего ждут разработчики и владельцы информационных систем от исследователей? Поговорим о задачах, которые предстоит решать, и о качестве исследований, проводимых на регулярной основе.
Ключевые риски и лучшие практики информационной безопасности при переходе в о...Michael Kozloff
Облака снижают затраты на информационные технологии и дают эластичную масштабируемость
Утечка данных через администраторов – самый дорогой вид угроз нарушения ИБ
Облакам нужны крепкие засовы в виде лучших практик ИБ
VII Уральский форум
Информационная безопасность банков
Пленарное заседание. Часть I
Открытие Форума. Приветственные выступления
организаторов и представителей государственных структур-регуляторов.
Лютиков Виталий Сергеевич, начальник управления ФСТЭК России
Источник: http://ural.ib-bank.ru/materials_2015
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.Вячеслав Аксёнов
Курс: Создание автоматизированных систем в защищенном исполнении.
Курс предназначен для руководителей и специалистов подразделений ответственных за создание автоматизированных (информационных) систем в защищенном исполнении. В курсе подробно рассматривается содержание и порядок выполнения работ на стадиях и этапах создания автоматизированных (информационных) систем (в том числе в защищенном исполнении) с учетом требований нормативных правовых актов Республики Беларусь об информации, информатизации и защите информации, положений отечественных и международных стандартов в области информационной безопасности. В рамках курса основное внимание уделяется практическим вопросам разработки документации на автоматизированную (информационную) систему на стадиях жизненного цикла.
Исследование безопасности создаваемых информационных систем и разрабатываемых приложений становится распространенной практикой. Безопасники получили наконец заслуженное признание и «включены в цикл» разработки, их вписывают в нормативку, создают базы знаний для хранения результатов исследований. Чего ждут разработчики и владельцы информационных систем от исследователей? Поговорим о задачах, которые предстоит решать, и о качестве исследований, проводимых на регулярной основе.
Ключевые риски и лучшие практики информационной безопасности при переходе в о...Michael Kozloff
Облака снижают затраты на информационные технологии и дают эластичную масштабируемость
Утечка данных через администраторов – самый дорогой вид угроз нарушения ИБ
Облакам нужны крепкие засовы в виде лучших практик ИБ
Similar to Система анализа уязвимостей программных продуктов (20)
Высокопроизводительные приложения на базе Windows Azure. Пример реального про...UNETA
Презентация к докладу: «Высокопроизводительные приложения на базе Windows Azure. Пример реального проекта». Докладчик: Александр Фещенко – MVP (SQL Azure), .Net Team Lead в DCT.
В докладе будут рассмотрены методики поиска узких мест в веб-приложениях, их устранения, а также способы повышения производительности при помощи облачной инфраструктуры Windows Azure.
SQL Rally 2012 - масштабируемость SQL Server и SQL AzureUNETA
Презентация к докладу Резника Дениса (MVP (SQL Server), руководитель департамента веб-разработки в DCT).
В докладе будут рассмотрены основные принципы и техники масштабирования баз данных и возможности SQL Server и SQL Azure, которые упрощают этот процесс.
Преимущества NoSQL баз данных на примере MongoDBUNETA
Докладчик: Винников Олег – .NET Developer in Digital Cloud Technologies (https://twitter.com/#!/VinnikovOleg)
Тема доклада: «Преимущества NoSQL баз данных на примере MongoDB».
Доклад посвящен альтернативе реляционных СУБД - классу концепций NoSQL. Вы узнаете о основных видах NoSQL баз данных, их отличие и преимущества перед реляционными базами данных. Как основное преимущество, в докладе будет рассмотренно масштабирование NoSQL баз данных на примере MongoDB. Ключевые вопросы, которые будут рассмотрены в докладе:
- Почему NoSql;
- Краткий обзор видов NoSql баз данных;
- Масштабирование NoSql баз данных;
- Шардинг и репликация на примере MongoDB;
http://uneta.ua/community/events/9
2. СОДЕРЖАНИЕ
Информационные вторжения
Источники информации об уязвимостях
Обзор разрабатываемого ресурса
VulnerabilityWebMonitor
Демонстрация утилиты VulnerabilityTracker
Применение
21.08.2012
3. 80%
70% 67.10%
60%
•Злонамеренное заражение (67,1%)
•Отказ в обслуживании (17%)
•Искажение веб-сайта (7%)
50%
40%
•Злоумышленное использование
30%
профилей пользователей
социальных сетей (5%)
20%
17.00%
•Проникновение в систему третьих
11.00%
10%
лиц (11%) 7.00%
5.00%
0%
21.08.2012
11. ПОЛЯ, ОПИСЫВАЮЩИЕ УЯЗВИМОСТЬ
Уникальный CVE-идентификатор
Даты
CVSS метрика
Уязвимые продукты
CWE-угроза
Краткое описание
Дополнительные ссылки
Другие сведения
21.08.2012
12. ДЕМО
АНАЛИЗАТОР БАЗ ДАННЫХ УЯЗВИМОСТЕЙ
Загрузка БДУ в
память
Сравнение
данных
Пользователь Фильтрация
данных
Просмотр
статистики
21.08.2012
13. ЖИЗНЕННЫЙ ЦИКЛ УЯЗВИМОСТИ
1. Открытие
2. Раскрытие
3. Подтверждение
4. Устранение
5. Применение
Время активных атак (дни
риска) и выход эксплоита
21.08.2012
14. СРЕДНЕЕ КОЛИЧЕСТВО ДНЕЙ РИСКА ДЛЯ
РАЗЛИЧНЫХ ОПЕРАЦИОННЫХ СИСТЕМ
Microsoft Windows 28,9 дней;
Novel Linux 73,89 дней;
Red Hat Linux 106,83 дней;
Apple Macintosh OS 46,12 дней;
Sun Solaris 167,72 дня.
21.08.2012
15. Anatoliy Gorbenko, Vyacheslav Kharchenko, Olga Tarasyuk, Alexander
Romanovsky.Intrusion-Avoiding Architecture Making Use of Diversity in the Cloud-
Based Deployment Environment
21.08.2012
17. ИСТОЧНИКИ ИНФОРМАЦИИ ОБ УЯЗВИМОСТЯХ
Доступ к
Источник информации Ссылка на сайт
данным
National Vulnerability Database www.nvd.nist.gov/ HTML, XML
Common Vulnerabilities and Exposures www.cve.mitre.org/ HTML, XML
Open Source Vulnerability Database www.osvdb.org/ HTML, XML, SQL
Dump
Open Vulnerability and Assessment www.oval.mitre.org HTML
Language /
Computer Emergency Response Team www.www.cert.org/ HTML
Secunia www.secunia.com/ HTML
21.08.2012
18. ПОЛЕЗНЫЕ ССЫЛКИ
Computer Security Institute
http://gocsi.com/members/reports
Сравнительный анализ сканеров безопасности
http://www.itsecurity.ru/news/reliase/2008/12_22_08.htm
Jones, Days-of-risk in 2006: Linux, Mac OS X, Solaris and
Windows
http://blogs.csoonline.com/days_of_risk_in_2006
SecurityLab
http://www.securitylab.ru/vulnerability/
Вебинары Positive Technologies: образовательная
программа "Практическая безопасность“
http://www.ptsecurity.ru/lab/webinars/
21.08.2012
19. 1. Май 2012. WorkShop на конференции DESSERT’2012
http://www.stc-dessert.com/conf2012/
2. Ноябрь 2012. Семинар КРИКТЕХС
по облачным технологиям
http://www.stc-dessert.com/seminars.php
21.08.2012