VII Уральский форум
Информационная безопасность банков
ТЕМАТИЧЕСКОЕ ЗАСЕДАНИЕ № 4
Обеспечение безопасности банковских приложений
на различных этапах жизненного цикла
Качалин Алексей Игоревич, заместитель генерального директора, ГК «Инфотекс»
Источник: http://ural.ib-bank.ru/materials_2015
Внутреннее качество в процедурах информационной безопасностиAlex Babenko
Процедуры информационной безопасности – основные шестерни, приводящие в движение процесса обеспечения информационной безопасности. А корректное выполнение процедур является атрибутов успешности его выполнения. В докладе рассматриваются использование принципа «встроенного качества» при создании и документировании процедур информационной безопасности, построение процессов допускающих только корректное выполнение.
Более подробно - в заметках к слайдам.
VII Уральский форум
Информационная безопасность банков
ТЕМАТИЧЕСКОЕ ЗАСЕДАНИЕ № 4
Обеспечение безопасности банковских приложений
на различных этапах жизненного цикла
Качалин Алексей Игоревич, заместитель генерального директора, ГК «Инфотекс»
Источник: http://ural.ib-bank.ru/materials_2015
Внутреннее качество в процедурах информационной безопасностиAlex Babenko
Процедуры информационной безопасности – основные шестерни, приводящие в движение процесса обеспечения информационной безопасности. А корректное выполнение процедур является атрибутов успешности его выполнения. В докладе рассматриваются использование принципа «встроенного качества» при создании и документировании процедур информационной безопасности, построение процессов допускающих только корректное выполнение.
Более подробно - в заметках к слайдам.
Лекция по безопасной разработке приложений защиты информации в РФ. Читается на 4 курсе ФРТК МФТИ. Рассмотрен процесс создания криптографических и технических средств защиты информации.
VII Уральский форум
Информационная безопасность банков
ТЕМАТИЧЕСКОЕ ЗАСЕДАНИЕ № 1
Банковский фрод
Шумский Лев Станиславович, начальник Управления информационной безопасности, Связной Банк
Источник: http://ural.ib-bank.ru/materials_2015
Разработка любого софта так или иначе базируется на требованиях. Полный перечень составляют бизнес-цели приложения, различные ограничения и ожидания по качеству (их еще называют NFR). Требования к безопасности ПО относятся к последнему пункту. В ходе доклада будут рассматриваться появление этих требований, управление ими и выбор наиболее важных.
Отдельно будут освещены принципы построения архитектуры приложения, при наличии таких требований и без, и продемонстрировано, как современные (и хорошо известные) подходы к проектированию приложения помогают лучше строить архитектуру приложения для минимизации ландшафта угроз.
VII Уральский форум
Информационная безопасность банков
ТЕМАТИЧЕСКОЕ ЗАСЕДАНИЕ № 4
Обеспечение безопасности банковских приложений
на различных этапах жизненного цикла
Никитин Андрей Владимирович, заместитель директора департамента контроля информации, Банк СИАБ
Источник: http://ural.ib-bank.ru/materials_2015
Целевое управление доступом в сети. Техническое решение для финансовых органи...SelectedPresentations
VII Уральский форум
Информационная безопасность банков
ТЕМАТИЧЕСКОЕ ЗАСЕДАНИЕ № 2
Электронное взаимодействие на финансовых рынках
Кушнарев Александр Николаевич, технический консультант по решениям ИБ, Netwell
Источник: http://ural.ib-bank.ru/materials_2015
Об угрозах информационной безопасности, актуальных для разработчика СЗИSelectedPresentations
Качалин Алексей Игоревич, эксперт МОО «АЗИ»
IV Форум АЗИ
«Актуальные вопросы информационной безопасности России»
г. Москва, Конгресс-Центр МТУСИ, 14 апреля 2015 года
Лекция по безопасной разработке приложений защиты информации в РФ. Читается на 4 курсе ФРТК МФТИ. Рассмотрен процесс создания криптографических и технических средств защиты информации.
VII Уральский форум
Информационная безопасность банков
ТЕМАТИЧЕСКОЕ ЗАСЕДАНИЕ № 1
Банковский фрод
Шумский Лев Станиславович, начальник Управления информационной безопасности, Связной Банк
Источник: http://ural.ib-bank.ru/materials_2015
Разработка любого софта так или иначе базируется на требованиях. Полный перечень составляют бизнес-цели приложения, различные ограничения и ожидания по качеству (их еще называют NFR). Требования к безопасности ПО относятся к последнему пункту. В ходе доклада будут рассматриваться появление этих требований, управление ими и выбор наиболее важных.
Отдельно будут освещены принципы построения архитектуры приложения, при наличии таких требований и без, и продемонстрировано, как современные (и хорошо известные) подходы к проектированию приложения помогают лучше строить архитектуру приложения для минимизации ландшафта угроз.
VII Уральский форум
Информационная безопасность банков
ТЕМАТИЧЕСКОЕ ЗАСЕДАНИЕ № 4
Обеспечение безопасности банковских приложений
на различных этапах жизненного цикла
Никитин Андрей Владимирович, заместитель директора департамента контроля информации, Банк СИАБ
Источник: http://ural.ib-bank.ru/materials_2015
Целевое управление доступом в сети. Техническое решение для финансовых органи...SelectedPresentations
VII Уральский форум
Информационная безопасность банков
ТЕМАТИЧЕСКОЕ ЗАСЕДАНИЕ № 2
Электронное взаимодействие на финансовых рынках
Кушнарев Александр Николаевич, технический консультант по решениям ИБ, Netwell
Источник: http://ural.ib-bank.ru/materials_2015
Об угрозах информационной безопасности, актуальных для разработчика СЗИSelectedPresentations
Качалин Алексей Игоревич, эксперт МОО «АЗИ»
IV Форум АЗИ
«Актуальные вопросы информационной безопасности России»
г. Москва, Конгресс-Центр МТУСИ, 14 апреля 2015 года
Berezha Security was founded in 2014 and provides penetration testing services. Penetration test (pentest) - is a controlled simulation of a real hacker attack which reveals the real state of organization's information security and its ability to withstand an attack with minimal losses.
Berezha Security was established by the most experienced Ukrainian experts in the field of information security. In our work we use only reliable, proven methodologies and tools, some of which we created ourselves. Due to our own developments and vast experience we were able to significantly reduce the cost of our work and offer our customers high quality services for a perfectly balanced price, which is easy to calculate using the price calculator that is publicly available on the Berezha Security website.
Открытая лекция для студентов МГТУ ГА (декабрь 2013)Pavel Melnikov
Презентация с открытая лекция для студентов кафедры Информационная безопасность Московского государственного технического университета гражданской авиации (МГТУ ГА)
Управление идентификационными данными и правамиКРОК
Семинар КРОК 01.10.15 «Системные решения: фундамент ИТ современного предприятия»
Доклад «Управление идентификационными данными и правами»
Павел Маслов, эксперт по инфраструктурным решения
Подробнее: http://www.croc.ru/action/webinars/58210/
Хакеры, скандальные утечки данных, целые отделы, занимающиеся вопросами ИБ в компании - все это больше из области теле-новостей про фирмы-гиганты. Но, "плачут не только богатые". У обычных небольших организаций, и у обычных людей - вопросы ИБ занимают все более важное место.
В докладе будут даны рекомендации по ИБ для самых обычных организаций - небольших фирм от 10 сотрудников. Как хоть немного защититься в этом сложном информационном мире. Поговорим об ИБ - без фанатизма, без сертификации ИСО 27001 и без консультантов от "большой четверки".
Михаил Лукьянов, Дмитрий Шайхатаров, Agile среди водопадов. Использование SCR...ScrumTrek
Трудно представить возможность применения Agile в компаниях с большим количеством зарегламентированных процессов, которые, к тому же, ориентированны на водопадную модель разработки ПО. На примере разработки системы управления рисками на Финансовых рынках мы поделимся своим опытом как можно построить полноценный Agile процесс исключительно с использованием стандартного SCRUM framework. Мы расскажем об бизнес процессе, решенных проблемах и инженерных практиках, которые позволили обеспечить высокую скорость delivery в рамках данной системы.
Краткое, но при этом талантливое :-) изложение ключевых идей, мыслей, новостей и фактов с Уральского форума по информационной безопасности финансовых организаций (2020).
Автоматизация работы с клиентами с помощью CRM-системыSergey Emelyanov
В презентации описан опыт Центра информационных технологий в части автоматизации предприятий малого и среднего бизнеса по работе с клиентами. Описаны кейсы по внедрению CRM систем и IP-телефонии, системы автоматизированного маркетинга
Константин Пацера, директор Analytical Boutique, открывает Круглый Стол ВАКЦ на тему "Big Data" 7 сентября 2016 года. Зачем контактнтым центрам работать с Большими Данными, и какие возможности для бизнеса октрывает data science?
Exhibit your support to the Cyber Security community
Grow your employer brand at a high demand job market Increase user base of your professional products and services Extend your professional social network
Meet new partners and old friends
Find new business opportunities
Increase your brand visibility
Showcase your expertise
Share your experience
Help Ukraine’s Cyber Security industry grow and prosper!
Contact us to know more: sponsors@nonamecon.org
Cybersecurity Framework 021214 Final UAVlad Styran
Методика з підвищення рівня інформаційної безпеки критично важливих об'єктів інфраструктури.
Переклад NIST Framework for Improving Critical Infrastructure Cybersecurity.
Перекладено та social thanks to: Cisco Ukraine.
Fantastic Beasts and where to hide from themVlad Styran
My presentation at IT Weekend Lviv 2017. Overview of modern cyber threat agents and their modus operandi. Practical recommendations on how to be a less likely cyber threat.
Центр оперативного управления информационной безопасностью
Наступательная безопасность: шпаргалка заказчика тестов на проникновение
1. Атакующий маркетинг:
как заставить клиента заплатить за то,
что ему не нужно
Василий Пупкин
вице-президент по развитию бизнеса
ООО «Ройсь-копайсь»
2. Содержание
• Кто мы такие
• Страшилки-пугалки
• Какие мы умные и красивые
• Еще страшилки
• Как вы без нас раньше жили?
• Еще пугалки
• Деньги оставлять вот здесь
25.03.2015 Berezha Security 2
4. О чем поговорим
• Продукт
• Процесс
• Сложности
• Критерии отбора
25.03.2015 Berezha Security 4
5. Продукт
A penetration test, or the short form
pentest, is an attack on a computer
system with the intention of finding
security weaknesses, potentially
gaining access to it, its functionality
and data.
-Wikipedia
Обычные характеристики
- Сроки
- Цель
- Модель угроз
- Доступность информации
www.spiguard.com
25.03.2015 Berezha Security 5
6. Процесс привычный
• RFI
– Сбор информации о компетенциях участников рынка
• RFP
– Формальный или не очень запрос предложений
• «Тендер», конкурс или редукцион
– Широкое разнообразие видов хаотической
деятельности
• Проект
– Консалтинговый проект со всеми характерными
горестями и невзгодами
• Follow-up
– Опциональная проверка результатов исправления
25.03.2015 Berezha Security 6
7. Процесс грамотный
1. Осведомленность
– Домашняя работа заказчика
2. Исследование
– А вот теперь RFI
3. Обоснованный выбор
– RFP отобранным поставщикам
4. Покупка, повторная покупка, референс
25.03.2015 Berezha Security 7
8. О чем
• Продукт
• Процесс
• Сложности
• Критерии отбора
25.03.2015 Berezha Security 8
10. «Лимонный рынок» ИБ
• Условия:
– Высокий и низкий уровень качества услуг
– Асимметричность информации
• Действия:
– Продавцы «лимонов» завышают качество с
сохранением цены
– Продавцы «слив» не получают адекватную цену
• Итог:
– Средняя цена на рынке стремится вниз
– Качество выравнивается по уровню цены
25.03.2015 Berezha Security 10
11. Непонимание целей и результатов
• Содержание отчета
– Резюме
– Ход тестирования
– Уязвимости
– Рекомендации
– Доказательства
25.03.2015 Berezha Security 11
18. Критерии отбора
• Цена
– Нередко решающий фактор
• Шаблоны
– Зачастую их просто нет, из наличия – выбираем
• Методологии
– Кто больше впишет в КП
• Инструменты
– Кто больше, кто дороже
• Сертификаты
– Без углубления в то, что они означают
25.03.2015 Berezha Security 18
22. Шаблоны
• Должны быть наготове
• EL || GTFO
• «Обезличивание»
отчетов работает
• Структура и метод
оценки риска в отчете
• NDA? Следующий!
25.03.2015 Berezha Security 22
29. Бинарный анализ рисков
• Инструмент нахождения
консенсуса
• Отлично подходит для
результатов пентестов
• Очень прост в применении
• Основан на известном
проекте Binary Risk
Assessment
• Доступен на украинском
25.03.2015 Berezha Security 29
Освежим, что из себя представляет продукт.
Обозначим процесс выбора поставщика и выполнения проекта.
Укажем на наиболее важные типичные сложности.
Подумаем над тем, какие критерии отбора помогут нам с ними справиться.
Можно воспринимать как практический интерактивный аудит защищенности ИТ-систем и персонала путем прямого участия исполнителя в процессах безопасности заказчика.
Сроки проведения редко связываются с объективными факторами, но обычно «как можно быстрее».
Цель может быть банальной как комплаянс или сложной как решение провести пентест после инцидента. Очень редко цель ставится четко и ее достижение приносит пользу.
Модель угроз описывает мотивы, ресурсы и цели потенциального злоумышленника, а также его расположение относительно объекта тестирования и методы их взаимодействия. Отсюда термины «вектор» и «канал» тестирования.
Доступность информации обычно связывают с разнообразными цветами ящиков. Cnhfyyjзанятие.
Лимоны = качественные подержанные машины
Сливы = некачественные
Есть два уровня качества услуг: высокий и низкий. Асимметричность информации создает условия, в которых продавец обладает знанием о качестве, а покупатель – нет. Как следствие, продавцы качественных услуг не могут получить адекватную цену, потому что продавцы некачественных услуг завышают свое качество (например, позиционируя услугу как «эксклюзивную») и занижают цену.
То есть, неосведомленность заказчика наиболее рискованна в части определения уровня качества и адекватного ценообразования.
Лимонный рынок с ассиметричной информацией является прямым следствием неосведомленности заказчика.
Вопрос в аудиторию: какая самая непонятная часть отчета?
Уязвимости, потому что они содержат информацию о рисках, полученную «свыше», без обсуждения с клиентом. Да и вообще риски это слабое место любых коммуникаций между бизнесом, ИТ и ИБ. Поэтому мы обращаем ваше внимание на отличный проект БРА, результаты которого мы перевели на украинский и вы можете найти его в материалах участника. Там все просто, но я немного подробнее расскажу о том, как этим пользоваться, в конце выступления.
Непонимание результатов пентеста приводит к тому, что приоритеты по исправлению находок определяются неверно. Как следствие это приводит к неприятным последствиям.
Пентесты может делать кто угодно. Я встречал случаи когда в команду пентестеров предлагали перевести операторов техподдержки или инженеров внедрения. В больших бухгалтерских фирамах, которые почему-то занимаются ИБ и в частности пентестами, на такие позиции часто определяют ИТ-аудиторов, которые иногда являются совсем недавними фин. аудиторами.
На самом деле пенетстер может получиться из кого угодно, главное желание и практика. Но до момента, когда мне нестрашно будет подпустить его к клиенту, пройдет очень немало времени.
Непонимание целей и результатов пентеста,
Непонимание значений уровня риска,
Невозможность выбрать компетентного исполнителя
– все это является следствием отсутствия предварительного исследования предметной области.
Без подготовки невозможно сделать осознанный выбор. Соответственно, в ход идет главный объективный критерий.
Предлагается составить список критериев отбора, которые помогут нам справиться с задачей правильного выбора поставщика услуг по пентестам.
Лучший отбор, конечно же, естественный. Можно просто сесть и подождать, пока на рынке не останутся только конкурентоспособные поставщики.
Однако, как мы знаем из теории асимметричности информации, в нашем случае это может не сработать.
Плюс, вы можете быть ограничены во времени.
Какие критерии отбора существуют в настоящее время.
Бюджеты не имеют отношения к реальности.
Шаблоны редко готовятся, еще реже предоставляются быстро.
Методологии пишутся в КП с потолка или по принципу «когда-то читал».
Инструменты обычно просто добавляют для количества.
Сертификаты это отдельная, очень больная тема в отрасли ИБ.
На самом деле, чтобы не выдумывать ничего нового, можно взять все эти критерии и немного их изменить.
Показывать клиенту рейты это нормально.
Оптимальный вариант выбора поставщика на основании стоимости услуг: выбрать бюджет и огласить его всем участников торгов. Пусть посоревнуются в том, какой объем работы они предоставят в рамках этого бюджета.
Бонусная система у нас не очень популярна, но все более распространена на Западе. Вы договариваетесь с поставщиком о стоимости «зеленого» отчета, то есть о цене пентеста, в котором он потенциально ничего не найдет. Эта цена максимально приближена к себестоимости проекта с наименьшими сроками и усилиями. Но: в случае обнаружения серьезных рисков и успешной их эксплуатации исполнитель получает бонус – заранее оговоренную сумму, отражающую нанесенную вам непоправимую пользу. Чем больше бонус, тем больше у вас шансов получить эффект от пентеста.
И еще, как следствие выбора таких ценовых стратегий вы получите в разы больше участников конкурса.
Black box, white box, pink box, blue box…
Есть целая куча методологий, которые пентестеры с удовольствием используют в своей работе. Но не стоит спрашивать, какие из них они используют конкретно. Плохие поставщики ответят «любые» или «какие пожелаете». Хорошие обычно используют некий гибрид, разработанный на основании предыдущего опыта, но без привязки к конкретной методике или стандарту.
Методика нужна вам для того, чтобы провести максимально объективный пентест в случае, если вы решите сделать это самостоятельно. Хорошему поставщику услуг строгая привязка к методике только мешает.
Лучше попросите поставщика описать его обычные действия в ходе пентеста. И опишите цели, которые вы перед ним ставите. Это поможет подобрать методы и средства автоматизации наилучшим образом и гарантирует вам оптимальный результат.
Инструменты в пентесте не главное. Главное в пентесте это пентестеры. Если вам нужен инструмент, лучше купите себе или возьмите в аренду.
Инструменты нужны для того, чтобы автоматизировать рутину и выдать вам лучший продукт за меньшее время и соответственно деньги. К сожалению, в реальности все немного иначе: покупка инструментов залатывает дыры в навыках пентестеров и увеличивает себестоимость проекта.
Не забывайте, что есть такие монстры, как CORE Impact, Immunity Canvas, Rapid7 Metasploit Pro etc.
Мало кто из заказчиков может адекватно оценить ценность того или иного сертификата и его влияние на уровень качества пентеста.
Существует немало сертификатов, которые типа подтверждают знания по ИБ. Некоторые из них утверждают, что это знания, достаточные для проведения пентестов. К сожалению, это не так.
Очень интересно знать, помогли ли Вам наши советы. Пожалуйста, не стесняйтесь обращаться за советом.