Рассказ о новых API безопасности появившихся в Windows 10. Подробное описание как интегрировать в ваши приложениях Microsoft passport, Windows Hello, Virtual smartcard и другие технологии безопасности. Как сделать ваши приложения удобнее и безопаснее.
Ежегодный отчет Cisco по информационной безопасности 2015Cisco Russia
Мы представляем ежегодный отчет Cisco по информационной безопасности, в котором рассмотрены в контексте ИБ 3 ключевые направления:
- злоумышленники и угрозы
- защитники
- геополитика
Консалтинг и аудит информационной безопасностиКРОК
Недостаточность и плохая проработка вопросов обеспечения информационной безопасности (ИБ) компании, ее методических и концептуальных основ может пагубно влиять на ее бизнес-процессы, затрудняя их выполнение и снижая эффективность.
Подробнее на http://www.croc.ru/solution/services/consulting/it-safety/
Ежегодный отчет Cisco по информационной безопасности 2015Cisco Russia
Мы представляем ежегодный отчет Cisco по информационной безопасности, в котором рассмотрены в контексте ИБ 3 ключевые направления:
- злоумышленники и угрозы
- защитники
- геополитика
Консалтинг и аудит информационной безопасностиКРОК
Недостаточность и плохая проработка вопросов обеспечения информационной безопасности (ИБ) компании, ее методических и концептуальных основ может пагубно влиять на ее бизнес-процессы, затрудняя их выполнение и снижая эффективность.
Подробнее на http://www.croc.ru/solution/services/consulting/it-safety/
О том, как время влияет на информационную безопасность - с точки зрения производителей средств защиты информации, с точки зрения злоумышленников и с точки зрения специалистов по ИБ потребителей.
Алексей Лукацкий. Основные сценарии реализации угроз на АСУ ТП и их преломле...Kaspersky
В феврале этого года ФСТЭК утвердила методику оценки угроз, которая подразумевает формирование перечня актуальных сценариев реализации угроз ИБ, в том числе и на АСУ ТП. Перечень тактик и техник из методики ФСТЭК очень похож по своей идеологии на матрицу MITRE ATT&CK, но при этом они не синхронизированы, так как Россия не ищет легких путей и всегда идет своим маршрутом, что создает определенные сложности для владельцев АСУ ТП, которые вынуждены практически с нуля писать модель угроз по требованиям ФСТЭК, не имея возможность использовать имеющиеся по MITRE ATT&CK наработки. И так как составить перечень всех сценариев реализации угроз невозможно (хотя пока это и требуется по методике), необходимо приоритизировать возможные последовательности действий злоумышленников, опираясь на известные инциденты, которые уже происходили в АСУ ТП. Алексей Лукацкий, Бизнес-консультант по безопасности в Cisco, в своем докладе приводит типовые сценарии реализации угроз на АСУ ТП и их соответствие матрице MITRE ATT&CK. Ввиду несоответствия матрицы ATT&CK и перечня техник и тактик ФСТЭК в докладе соотносятся сценарии по ATT&CK и по ФСТЭК. В заключение спикер приводит примеры ключевых параметров модели угроз, которые должны присутствовать в ней согласно обязательной к применению методики оценки угроз ФСТЭК.
Подробнее о конференции: https://kas.pr/kicsconf2021
Jelastic PaaS for DevOps: Hybrid Cloud based on Microsoft AzureDmitry Lazarenko
Гибридное облако PaaS на базе Jelastic и Microsoft Azure. Jelastic позволяет создать гибридное облако с возможностью живой миграции приложений между частным облаком и Microsoft Azure, AWS, SoftLayer
О том, как время влияет на информационную безопасность - с точки зрения производителей средств защиты информации, с точки зрения злоумышленников и с точки зрения специалистов по ИБ потребителей.
Алексей Лукацкий. Основные сценарии реализации угроз на АСУ ТП и их преломле...Kaspersky
В феврале этого года ФСТЭК утвердила методику оценки угроз, которая подразумевает формирование перечня актуальных сценариев реализации угроз ИБ, в том числе и на АСУ ТП. Перечень тактик и техник из методики ФСТЭК очень похож по своей идеологии на матрицу MITRE ATT&CK, но при этом они не синхронизированы, так как Россия не ищет легких путей и всегда идет своим маршрутом, что создает определенные сложности для владельцев АСУ ТП, которые вынуждены практически с нуля писать модель угроз по требованиям ФСТЭК, не имея возможность использовать имеющиеся по MITRE ATT&CK наработки. И так как составить перечень всех сценариев реализации угроз невозможно (хотя пока это и требуется по методике), необходимо приоритизировать возможные последовательности действий злоумышленников, опираясь на известные инциденты, которые уже происходили в АСУ ТП. Алексей Лукацкий, Бизнес-консультант по безопасности в Cisco, в своем докладе приводит типовые сценарии реализации угроз на АСУ ТП и их соответствие матрице MITRE ATT&CK. Ввиду несоответствия матрицы ATT&CK и перечня техник и тактик ФСТЭК в докладе соотносятся сценарии по ATT&CK и по ФСТЭК. В заключение спикер приводит примеры ключевых параметров модели угроз, которые должны присутствовать в ней согласно обязательной к применению методики оценки угроз ФСТЭК.
Подробнее о конференции: https://kas.pr/kicsconf2021
Jelastic PaaS for DevOps: Hybrid Cloud based on Microsoft AzureDmitry Lazarenko
Гибридное облако PaaS на базе Jelastic и Microsoft Azure. Jelastic позволяет создать гибридное облако с возможностью живой миграции приложений между частным облаком и Microsoft Azure, AWS, SoftLayer
Softline – единая точка входа для решения всех IT- задач:
от лицензирования ПО до внедрения сложных комплексных IT-решений, от обучения IT-специалистов до технического сопровождения IT-системы заказчика.
Аудит (обследование) IT-инфраструктуры Заказчика;
Портфель решений по построению ИТ-инфраструктуры (объединенные коммуникации, аппаратные решения, ДОЦы, системы резервного копирования, частные и гибридные облака);
Публичные облака на различных платформах и готовые облачные сервисы;
Информационная безопасность (экспертные услуги, внедрение мер обеспечения безопасности, обеспечение соответствия требованиям, сервисные услуги);
Бизнес-аналитика (BI);
Системы электронного документооборота;
САПР и ГИС;
Техническая поддержка, аутсорсинг, аутстаффинг;
Учебный центр.
Система управления учетными записями (IDM). Информационная безопасность. Softline
Информационная безопасность. Система управления учетными записями.
IDM – ЕДИНЫЙ ЦЕНТР КОМПЕТЕНЦИЙ В ЧАСТИ
ПРЕДОСТАВЛЕНИЯ ДОСТУПА К РЕСУРСАМ
И СИСТЕМАМ.
Услуги и решения Softline в области информационной безопасности. Прикладные и инфраструктурные решения. Соответствие требованиям (compliance). Сетевая безопасность. Аудит информационной безопасности.
Google Developer Group DevFest Minsk 2015 - Всеобъемлющий взгляд на Интернет ...Microsoft
Google Developer Group DevFest Minsk 2015 - Всеобъемлющий взгляд на Интернет вещей - про Windows 10 IoT, Microsoft Azure, Android, AllJoyn и многое другое.
Similar to Как разработчику обеспечить безопасность пользователей и данных в мобильном мире (20)
Windows 8 и Windows server 2012. Что нового с точки зрения безопасности?Andrey Beshkov
Встроенная функциональность Windows 8 и Windows Server 2012 поможет вам существенно улучшить безопасность вашей инфраструктуры. В этом докладе мы обсудим наиболее интересные из новых функций и ключевых сценариев. Мы поговорим про Trusted Boot, Measured Boot, Remote Attestation, Virtual Smartcards, SmartScreen, Dynamic Access Control и множество других нововведений.
Слепая вера в безопасность или инженерная практика?Andrey Beshkov
Помогает ли доступ к исходному коду повышению безопасности продуктов? Жаркая дискуссия об этом развернулась на конференции Zeronights. Смотрите презентацию и делайте выводы сами. :)
Ежедневно мы получаем огромное количество информации. Нас атакует реклама, сообщения электронной почты и телефонные звонки. Как прорваться через этот гвалт? Как донести свою идею до тех кто может помочь в её осуществлении?
Несколько лет я использовал эту презентацию обучая ораторов Microsoft и других компаний искусству публичных выступлений. Надеюсь и просмотрев её и вы сможете сделать свои выступления лучше и станете добиваться своих целей чаще.
Вы уверены что инфраструктура ваших филиальных офисов безопасна? Защищен ли контролер домена в этих офисах? Можно ли сделать так чтобы атаки на филиальную инфраструктуру не повлияли на безопасность головного офиса?
Как применить методологию и инструменты Microsoft SDL для того чтобы в ваших веб приложения было меньше уязвимостей. В свою очередь это позволит тратить меньше сил и средств на обслуживание вашего веб приложения.
В докладе будет рассказано о том как возникают ботнеты. Свойственно ли это Windows или есть ботнеты на основе других ОС. Для чего могут использоваться ботнеты в криминальной деятельности. Как Microsoft борется с ботнетами.
За кулисами Windows Update. От уязвимости к обновлению.Andrey Beshkov
В этом докладе будет рассказано о том, как работают разные программы внутри Microsoft, направленные на взаимодействие с исследователями безопасности и брокерами уязвимостей. Как принимаются и обрабатываются данные об уязвимостях. Как происходит проверка уязвимости, поиск вариативности в уязвимостях, классификация и принятие решения о том, что дальше делать с этой уязвимостью. Так же будут освещены вопросы тестирования выпускаемых патчей. Вы узнаете, почему патчи выходят раз в месяц. Затем поговорим про обеспечение стабильного обновления более чем миллиарда систем на планете. Будут показаны наиболее частые пути появления эксплоитов в первые 30 дней после выхода патча. И рассказано о том, как MS обменивается данными с партнерами по безопасности, чтобы они могли с помощью обновлений к IDS/IPS и антивирусам защищать тех клиентов, которые не успевают обновиться за первый месяц. Также будет рассказано о влиянии 0-day уязвимостей на общий ландшафт безопасности продуктов Microsoft. Все данные, приводимые в докладе, собраны с 600 млн ПК в 117 странах мира.
Сравнение TCP/IP стека Windows Vista / Server 2008 и Windows XP / Server 2003Andrey Beshkov
В данном докладе мы посмотрим какие новые возможности появились в стеке TCP/IP нового поколения ОС Windows Server 2008 и Windows Vista. Так же мы сравним новый стек TCP/IP со старым стеком ОС Windows XP/ Windows Server 2003.
Защита данных с помощью System Center Data Protection Manager 2007Andrey Beshkov
Доклад содержит краткий обзор функциональности DPM, его установки, защиты и восстановления данных. Также в докладе освещены вопросы защиты данных и резервного копирования таких приложений как Exchange Server, SharePoint Server, SQL Server.
Управление гетерогенной инфраструктурой с помощью System Center Operations Ma...Andrey Beshkov
Ни для кого не секрет, что у большинства из нас используются продукты нескольких поставщиков инфраструктурных решений. Как управлять всем этим разношерстным хозяйством, состоящим из Windows-, Linux- и Unix-систем, с помощью единой системы? Как Cross Platform Extensions для System Center Operations Manager поможет нам справиться с такой задачей?
DirectAccess - безопасный и прозрачный доступ к корпоративной сетиAndrey Beshkov
Сложности в настройке и поддержке VPN-клиентов для безопасного удаленного доступа были всегда. С помощью DirectAccess возможно избежать большинство проблем, а также значительно снизить нагрузку на службы ИТ-поддержи и упростить доступ к локальным ресурсам для самих мобильных сотрудников
Реализации политик здоровья и защиты доступа в гетерогенной среде с помощью ...Andrey Beshkov
В данной сессии мы рассмотрим, как работает NAP в гетерогенной среде. Как обеспечить интеграцию NAP с ForeFront Client Security и антивирусными продуктами третьих сторон? Также будет демонстрироваться подход, позволяющий контролировать политики здоровья для систем на основе Linux.
Новые возможности Windows Server 2008 R2 SP1Andrey Beshkov
Service Pack 1 для Windows Server 2008 R2 содержит два новых механизма, расширяющих возможности стека виртуализации серверной операционной системы: Dynamic Memory и RemoteFX. В докладе подробно рассматриваются оба механизма, их архитектура, преимущества и особенности использования.
Защита инфраструктуры предприятия с помощью Forefront Endpoint Protection и S...
Как разработчику обеспечить безопасность пользователей и данных в мобильном мире
1. Windows Camp Андрей Бешков
Менеджер программ информационной безопасности, Microsoft
abeshkov@Microsoft.com
Как разработчику обеспечить
безопасность пользователей
и данных в мобильном мире
2. • Как дела с безопасностью
приложений и данных в
мире?
• Дивный новый мир
мобильности
• Новые механизмы защиты
Windows 10
12. Пароли и логины в Интернет
Пользователь
Везде один
пароль
Слабое место
сайт
Злоумышленник
1
Social
.com
Bank
.com
Network
.com
LOL
.com
Obscure
.com
1
2
15. Для чего могут пригодиться?
• Удаленный доступ VPN или DirectAccess
• BYOD (Bring Your Own Device)
• Вход в устройство
• SSL аутентификация клиента
• Безопасная почта
• Защита документов (подпись, шифрование)
• Шифрование томов с помощью BitLocker
16. • Управление виртуальной и физической смарт-
картой
• Политики для PIN кода
• Создание и удаление сертификатов
• Крипто операции с сертификатами
Building Apps That Leverage Virtual Smart Cards
Что позволяет API смарт-карт в Windows 8.1
17. MICROSOFT PASSPORT
Ваше устройство один
из факторов
аутентификации
ЗАЩИЩАЕТСЯ
АППАРАТНО
Удостоверение
пользователя
Пара ассиметричных ключей
Создается PKI или локально
Windows 10
19. Microsoft
"Passport"
Использование
Ключи генерируются и хранятся в идеале в
(TPM) чипе, или в ПО если нет другого
варианта
Ключи могут использоваться для входа в
систему или подтверждения действия в
приложении
Поддержка с помощью JS/Webcrypto api
чтобы создавать и использовать пароли
для посетителей вебсайтов
21. Microsoft Passport: Создание
Двухфакторная
аутентификация
Создать Microsoft Passport
Зарегистрировать
публичный ключ на сервере
• KeyCredentialRetrievalResult kcResult = await
• KeyCredentialManager.RequestCreateAsync(accountID
, KeyCredentialCreationOption.FailIfExists);
22. Microsoft Passport: Использование
Открыть
Microsoft Passport
Подписать запрос от сервера
с помощью Microsoft Passport
Отправить подписаное на
сервер
• KeyCredentialOperationResult kcOpResult =
await
kcResult.Credential.RequestSignAsync(serverCha
llenge);
23. Microsoft Passport: Удаление
Открыть
Microsoft Passport
Удалить Passport
Удалить публичный
ключ на сервере
• KeyCredentialRetrievalResult kcResult = await
KeyCredentialManager.OpenAsync(accountID);
Подробнее про работу с Microsoft Passport
24. PIN
Простой вариант
Не требует доп. оборудования
Знаком пользователю
Windows Hello
Улучшенная безопасность
Простота использования
Невозможно забыть и потерять
Доступ пользователя в систему и к ключам MS
Passport
Sample design, UI not final
26. Биометрическая аутентификация Windows 10
Windows 10 эволюционировала чтобы избавиться от паролей с помощью
Microsoft Passport и биометрии……
Windows Hello фреймворк биометрической аутентификации с помощью
лица, зрачка, отпечатков
Удобный вход в систему и надежная аутентификация пользователя для
доступа к критичным для бизнеса ресурсам
Опирается на инфраструктуру безопасности Microsoft Passport
30. • более 4,3 миллиона комбинаций
• Базируется на машинном обучении
Большой набор тестовых данных
• Более 13000 уникальных лиц (Цель 30000)
• Набор разных рас, роста, веса, цвета кожи, очков, и.т.д.
• Вариации угла обзора и освещения
Аутентификация с помощью лица
34. Threat Modeling
(Microsoft Professional)
by Frank Swiderski,
Window Snyder
Writing Secure Code,
Second Edition
by Michael Howard,
David C. LeBlanc
The Art of Software
Security Assessment:
Identifying and
Preventing Software
Vulnerabilities
By Mark Dowd, John
McDonald, Justin Schuh
Software Security:
Building Security
By Gary McGraw
35. Virtual smart card white paper
Документация MSDN по WinRT APIs
Примеры кода
Microsoft Passport APIs
Microsoft SDL
Доклады про SDL на techdays
Building Apps That Leverage Virtual Smart Cards
Подробнее про работу с Microsoft Passport
Ресурсы