Исследование безопасности создаваемых информационных систем и разрабатываемых приложений становится распространенной практикой. Безопасники получили наконец заслуженное признание и «включены в цикл» разработки, их вписывают в нормативку, создают базы знаний для хранения результатов исследований. Чего ждут разработчики и владельцы информационных систем от исследователей? Поговорим о задачах, которые предстоит решать, и о качестве исследований, проводимых на регулярной основе.
Исследование безопасности создаваемых информационных систем и разрабатываемых приложений становится распространенной практикой. Безопасники получили наконец заслуженное признание и «включены в цикл» разработки, их вписывают в нормативку, создают базы знаний для хранения результатов исследований. Чего ждут разработчики и владельцы информационных систем от исследователей? Поговорим о задачах, которые предстоит решать, и о качестве исследований, проводимых на регулярной основе.
Внутреннее качество в процедурах информационной безопасностиAlex Babenko
Процедуры информационной безопасности – основные шестерни, приводящие в движение процесса обеспечения информационной безопасности. А корректное выполнение процедур является атрибутов успешности его выполнения. В докладе рассматриваются использование принципа «встроенного качества» при создании и документировании процедур информационной безопасности, построение процессов допускающих только корректное выполнение.
Более подробно - в заметках к слайдам.
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015Maxim Avdyunin
Сертификация приложений по требованиям федеральных и отраслевых регуляторов, требованиям компаний (если они есть) — необходимое условие разработки и поставки коробочного решения. Требования потребителей и пользователей современных технологий по функционалу и удобству развиваются значительно быстрее эволюции ограничений. В результате, исследования практической защищенности, если и рассматриваются, то вне темы сертификации, что порождает двойной объем работ и сложности в управлении проектами.
Презентация, подготовленная сотрудниками компании «Перспективный Мониторинг» для конференции DevCon 2015, содержит информацию о том, какие практики безопасной разработки позволяют удовлетворить как требования сертификации, так и потребности практической безопасности. Рассматриваются тонкие моменты на стыке этих задач, вопросы, в которых можно опереться на мировой опыт, а также планы регуляторов по развитию требований сертификации.
В докладе представлен опыт ЗАО «ПМ» по внедрению безопасной разработки в проекты создания и развития линейки средств защиты информации для сетевого оборудования, мобильных платформ и рабочих станций, подлежащих сертификации по требованиям регуляторов.
Современные российские средства защиты информацииDialogueScience
Обзор российских средств защиты информации с учетом текущей ситуации с импортозамещением.
ПРОГРАММА:
Актуальные вопросы импортозамещения
Обзор некоторых классов современных российских СЗИ
Попытки выполнения импортозамещения
Ответы на вопросы.
Спикер: Сергей Корольков, технический директор АО «ДиалогНаука».
Аудит безопасности программного кода: Подходы, стандарты, технологии выявлени...Andrey Fadin
Семинар ставит целью познакомить технических специалистов как с теоретическими, так и с прикладными вопросами оценки безопасности кода приложений (ПО).
Затрагиваются вопросы нормативной базы, классификации уязвимостей и дефектов ПО, а также стандартизации терминов и методик аудита, рассматриваются различные методы статического и динамического анализа, менеджмент процесса, существующие инструменты в этой области.
Нестандартные сценарии при проведении тестов на проникновение.
Пара не слишком-то и нестандартных случаев из практики. Показательно с точки зрения распространённости таких ошибок.
Спасибо Руслану Сабитову за предоставленную презентацию по аналогичной теме. Иначе было бы сложно сделать её в день доклада =)
Внутреннее качество в процедурах информационной безопасностиAlex Babenko
Процедуры информационной безопасности – основные шестерни, приводящие в движение процесса обеспечения информационной безопасности. А корректное выполнение процедур является атрибутов успешности его выполнения. В докладе рассматриваются использование принципа «встроенного качества» при создании и документировании процедур информационной безопасности, построение процессов допускающих только корректное выполнение.
Более подробно - в заметках к слайдам.
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015Maxim Avdyunin
Сертификация приложений по требованиям федеральных и отраслевых регуляторов, требованиям компаний (если они есть) — необходимое условие разработки и поставки коробочного решения. Требования потребителей и пользователей современных технологий по функционалу и удобству развиваются значительно быстрее эволюции ограничений. В результате, исследования практической защищенности, если и рассматриваются, то вне темы сертификации, что порождает двойной объем работ и сложности в управлении проектами.
Презентация, подготовленная сотрудниками компании «Перспективный Мониторинг» для конференции DevCon 2015, содержит информацию о том, какие практики безопасной разработки позволяют удовлетворить как требования сертификации, так и потребности практической безопасности. Рассматриваются тонкие моменты на стыке этих задач, вопросы, в которых можно опереться на мировой опыт, а также планы регуляторов по развитию требований сертификации.
В докладе представлен опыт ЗАО «ПМ» по внедрению безопасной разработки в проекты создания и развития линейки средств защиты информации для сетевого оборудования, мобильных платформ и рабочих станций, подлежащих сертификации по требованиям регуляторов.
Современные российские средства защиты информацииDialogueScience
Обзор российских средств защиты информации с учетом текущей ситуации с импортозамещением.
ПРОГРАММА:
Актуальные вопросы импортозамещения
Обзор некоторых классов современных российских СЗИ
Попытки выполнения импортозамещения
Ответы на вопросы.
Спикер: Сергей Корольков, технический директор АО «ДиалогНаука».
Аудит безопасности программного кода: Подходы, стандарты, технологии выявлени...Andrey Fadin
Семинар ставит целью познакомить технических специалистов как с теоретическими, так и с прикладными вопросами оценки безопасности кода приложений (ПО).
Затрагиваются вопросы нормативной базы, классификации уязвимостей и дефектов ПО, а также стандартизации терминов и методик аудита, рассматриваются различные методы статического и динамического анализа, менеджмент процесса, существующие инструменты в этой области.
Нестандартные сценарии при проведении тестов на проникновение.
Пара не слишком-то и нестандартных случаев из практики. Показательно с точки зрения распространённости таких ошибок.
Спасибо Руслану Сабитову за предоставленную презентацию по аналогичной теме. Иначе было бы сложно сделать её в день доклада =)
Презентация с вебинара "Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого было спросить"
Ссылка на страницу вебинара (и запись) - http://solarsecurity.ru/analytics/webinars/665/
В данной своей лекции я рассказываю об основе основ: базовых принципах защиты информации, которые нужно соблюдать всем, а именно принципы:
* Минимальных привиллегий.
* Прозрачности решений.
* Превентивности защиты.
* Системного подхода.
* Непрерывности защиты.
* Доказательности.
* Унификации решений.
Все описанные принципы подробно разбираются на примерах, и мы постепенно приходим к понятию оптимальной защиты. Также в презентации описываются различные уровни зрелости информационной безопасности на предприятии.
Конечно же, в конце, как и следует из названия, приведено описание так называемых метрик информационной безопасности: их виды, способы измерения и примеры.
Подробнее читайте на моём блоке inforsec.ru
Обзор текущей ситуации в области импортозамещения СЗИDialogueScience
В рамках презентации автор даст описание текущей ситуации в области импортозамещения. Будут затронуты вопросы применения нормативной базы, рассмотрены классы средств защиты информации. Также будет приведен обзор современных российских средств защиты информации и даны рекомендации по их применению.
Спикер: Сергей Корольков, технический директор АО «ДиалогНаука»
Решение Tufin Orchestratiorn Suite представляет собой одну из ведущих в мире систем класса Unified Firewalls Management и позволяет управлять процессами предоставления сетевого доступа в организациях.
В данной сессии мы подробно рассмотрим архитектурные принципы построения защищённого корпоративного периметра, с разбором решения некоторых частных задач, характерных для периметра: контроль доступа пользователей в сеть Интернет, борьба с целенаправленными (APT) угрозами, защита web и email-трафика, средства объективного контроля сетевых процессов.
УБРиР. Михаил Цыкарев. "Корпоративная культура. Lifestyle поколения Z."
Методические рекомендации по техническому анализу. О. Макарова.
1. Методические рекомендации
по проведению анализа
защищённости систем ДБО
Ольга Макарова
Руководитель направления ИБ в УрФО
Департамента информационной
безопасности
2. Анализ защищенности «в законе»
Постановление № 1119:
«проверка кода системного и (или) прикладного
программного обеспечения на отсутствие
недекларированных возможностей с использованием
автоматизированных средств;
проверка кода системного и (или) прикладного
программного обеспечения на отсутствие
недекларированных возможностей без использования
автоматизированных средств;
тестирование информационной системы на
проникновения»
Проект Приказа №21 ФСТЭК:
«Выявление, анализ и устранение уязвимостей и иных
недостатков в программном обеспечении»
3. Анализ защищенности «в законе»
СТО БР ИББС 1.0 от 2010:
«7.3.5 ….. документация на
разрабатываемые АБС или
приобретаемые готовые АБС и их
компоненты должна содержать
описание реализованных защитных
мер, предпринятых разработчиком
относительно безопасности
разработки и безопасности поставки»;
PCI DSS разделы 6.3, 6.5 и 6.6;
PA DSS
5. Методика тестирования
Формальных методов не существует!
Но существуют рекомендации
Обычно включает в себя 7 этапов
Определение границ тестирования
Сбор информации
Обнаружение уязвимостей
Анализ найденного и планирование ПОВТОР
Проведение атак
Анализ результатов и отчёты
«Уборка»
6. Мифы и реальность
Автоматические сканеры безопасности
помогут определить реальный уровень
защищенности…
Пример - сканеры
Web-приложений
Общего назначения:
W3AF, Skipfish, Grendel-
Scan, Arachni, Wapiti,
Secubat
Специализированные:
sqlMap, hexjector, SQLiX
Коммерческие: IBM
AppScan, Acunetix, HP
WebInspect
7. Реальность*
Лишь 29% уязвимостей
XSS и 46% уязвимостей
SQLi были обнаружены
автоматическими
сканерами
Из 615 обнаруженных
уязвимостей контроля
доступа (insufficient
authorization) при
автоматическом
сканировании
обнаружено всего 14,
т.е. около 3%
* По статистике Web Application Security Consortium за 2008 год
(самая последняя доступная редакция)
8. Accorute – автоматическое обнаружение
уязвимостей авторизации
Разработка команды
SolidLab
На вход: роли и их
привилегии
На выходе: перечень
возможных
неавторизованных действий
между ролями
С помощью Accorute автоматически найдены ранее неизвестные
уязвимости в WordPress, Easy JSP Forum, PyForum
9. Уровни защиты клиентов
Security Level Описание
клиента
Уровень 0. Незащищенный Незащищенный
Уровень 1. Защита от Система защищена от простых
ненаправленных атак ненаправленных атак. Угрозы, как правило,
исходят от вирусов, червей и хакеров-
любителей.
Уровень 2. Защита от Система защищена от направленных атак.
направленных атак. Угрозы, как правило, исходят от
квалифицированных хакеров, которые
имеют определенную мотивацию для атаки
на конкретную систему.
Уровень 3. Защита от Система защищена от направленных атак +
направленных атак + социальной инженерии.
социальной инженерии.
10. Наша модель сервисов
Сервис Security Level Описание сервиса
клиента
SL Security Уровень 0 Цель: определить security baseline
Baseline Уровень 1 (базовый уровень ИБ). Сканирование с
помощью инструментов, ручной анализ
результатов.
SL Security Уровни 2,3 Цель: найти как можно больше уязвимостей.
Assessment Анализ исходного кода/анализ методом
«черного ящика», комплексный технический
аудит, эксплуатация уязвимостей и т.п.
SL Penetration Уровни 2,3 Цель: достижение поставленной задачи.
testing Проект заканчивается как только поставленная
задача будет достигнута (например, получение
административных прав или нарушение
работоспособности сервиса).
SL Code Для всех Цель: поиск уязвимостей в исходном коде.
уровней
Analysis
SL Для всех Цель: выполнение требований какого-либо
уровней стандарта (например, PCI DSS).
Compliance
11. Место проекта по анализу
защищенности в программе
обеспечения ИБ
Вот получен отчет. А дальше что?
Ключевой вопрос: как в экосистему критичного
приложения были привнесены эти уязвимости?
Варианты обратной связи на процессы:
инициация/корректировка SDLC
пересмотр подхода к аутсорсу ПО
пересмотр подхода к аутсорсу
обслуживания
пересмотр внутренних регламентов
инициация/корректировка
инфраструктурных решений
(WAF/протоколирование/анализ
событий)
11 из 14
12. Выбор исполнителя
Какая методика будет использована в проекте?
Есть ли обоснование того, что данная методика позволит
решить задачи проекта?
Какое место в этой методике занимают инструменты и
какие?
Наличие каких классов недостатков будет
устанавливаться при анализе?
Как будут обнаруживаться логические ошибки (в т.ч.
уязвимости авторизации)?
Какие классы недостатков, открытых в последнее время,
будут исследоваться в рамках проекта и каким образом?
Как будет оцениваться критичность найденных
недостатков?
12 из 14
13. Типичные ошибки
Критичное приложение рассматривается отдельно
от экосистемы
Тестирование рассматривается как проект, а не
элемент процесса
Постановка цели и задач проекта по анализу
защищенности происходит в отрыве от модели
угроз и профилей нарушителя
При выборе подрядчика на проведение анализа не
оценивается методика проведения работ
13 из 14
14. Тест-драйв тестирования на проникновение
Этапы:
Первый этап. SL Penetration testing или Baseline.
При достижении цели, переходим ко второму
этапу.
Второй этап. SL Security Assessment.
15. Спасибо за внимание!
Вопросы, пожалуйста ;)
Ольга Макарова
Руководитель направления ИБ
Департамента информационной
безопасности
Olga.Makarova@softline.ru