SlideShare a Scribd company logo

Анализ защищенности систем ДБО и интернет-банкинга

Download as PPTX, PDF
Alex Babenko
Alex Babenko
1 of 13
«Информационная безопасность 2011: противодействие внешним и внутренним угрозам» г. Алмата, 18 марта 2011 года, отель Intercontinental Защита ДБО и интернет-банков Бабенко Алексей старший аудитор
Что интересует злоумышленника? По даннымGlobal Security Report 2011, Trustwave
Пути проникновения По данным Global Security Report 2011, Trustwave
Эволюция векторов атаки 1980 физический доступ 1990 сетевой доступ 2000 e-mail, приложения, Wi-Fi 2010 клиентские приложения, мобильные технологии, социальные сети По данным Global Security Report 2011, Trustwave
« Ни у кого не может возникнуть необходимость иметь компьютер в своем доме » Кен Олсон – основатель и президент корпорации DigitalEquipmentCorp., 1977 г
Спрос рождает предложение По данным Annual Security Report 2010, Cisco
Нас это не касается? По данным Global Security Report 2011, Trustwave
Нас это не касается?
Особенности систем ДБО и интернет-банкинга Практически неограниченный доступ к системе из сети Интернет Работа с платежной информацией Большое и динамически меняющиеся количество пользователей Ориентировка на любой уровень ИБ-грамотности пользователя Собственные разработки без учета практик безопасного программирования
Модель нарушителя С правами в системе: клиент системы оператор системы администратор системы С полным отсутствием прав: подготовленный злоумышленник слабо подготовленный злоумышленник злоумышленник, реализующий атаку типа «Отказ в обслуживании». инсайдер провайдера.
Оценка приложения Оценка архитектуры системы, dataflow с позиции безопасности Оценка безопасности конфигурации окружения системы настройки веб-сервера, СУБД и др. Оценка защищённости приложения (black/grey/white box) от наиболее опасных и популярных атак: OWASP Top 10 SANS CWE Top 25 CERT Secure Coding
Работы по анализу защищенности Анализ уровня безопасности системы Формирование плана Контроль исправления найденных уязвимостей Устранение несоответствий — техническая документация, схемы сети — исходные коды — конфигурации системных компонентов — тестовый доступ
Вопросы? Бабенко Алексей старший аудитор a.babenko@infosec.ru +7 (495) 980-23-45 доп.458 www.infosec.ru

Recommended

Современные угрозы
Современные угрозыСовременные угрозы
Современные угрозы
Cisco Russia
 
3 закона робототехники: или безопасность, функциональность и защищенность ПО
3 закона робототехники: или безопасность, функциональность и защищенность ПО3 закона робототехники: или безопасность, функциональность и защищенность ПО
3 закона робототехники: или безопасность, функциональность и защищенность ПО
SQALab
 
Information Security Trends
Information Security TrendsInformation Security Trends
Information Security Trends
Aleksey Lukatskiy
 
Тренды кибербезопасности, угрозы и вызовы в 2018 году
Тренды кибербезопасности, угрозы и вызовы в 2018 годуТренды кибербезопасности, угрозы и вызовы в 2018 году
Тренды кибербезопасности, угрозы и вызовы в 2018 году
Valery Boronin
 
Security day, 24.09.15
Security day, 24.09.15Security day, 24.09.15
Security day, 24.09.15
Marina Kurischenko
 
Новые технологические возможности и безопасность мобильных решений
Новые технологические возможности и безопасность мобильных решенийНовые технологические возможности и безопасность мобильных решений
Новые технологические возможности и безопасность мобильных решений
SelectedPresentations
 
Информационная безопасность: Вводная лекция
Информационная безопасность: Вводная лекцияИнформационная безопасность: Вводная лекция
Информационная безопасность: Вводная лекция
Max Kornev
 
05 сиис кибербезопасность
05 сиис кибербезопасность05 сиис кибербезопасность
05 сиис кибербезопасностьMarina_creautor
 

Recommended

Современные угрозы
Современные угрозыСовременные угрозы
Современные угрозы
Cisco Russia
 
3 закона робототехники: или безопасность, функциональность и защищенность ПО
3 закона робототехники: или безопасность, функциональность и защищенность ПО3 закона робототехники: или безопасность, функциональность и защищенность ПО
3 закона робототехники: или безопасность, функциональность и защищенность ПО
SQALab
 
Information Security Trends
Information Security TrendsInformation Security Trends
Information Security Trends
Aleksey Lukatskiy
 
Тренды кибербезопасности, угрозы и вызовы в 2018 году
Тренды кибербезопасности, угрозы и вызовы в 2018 годуТренды кибербезопасности, угрозы и вызовы в 2018 году
Тренды кибербезопасности, угрозы и вызовы в 2018 году
Valery Boronin
 
Security day, 24.09.15
Security day, 24.09.15Security day, 24.09.15
Security day, 24.09.15
Marina Kurischenko
 
Новые технологические возможности и безопасность мобильных решений
Новые технологические возможности и безопасность мобильных решенийНовые технологические возможности и безопасность мобильных решений
Новые технологические возможности и безопасность мобильных решений
SelectedPresentations
 
Информационная безопасность: Вводная лекция
Информационная безопасность: Вводная лекцияИнформационная безопасность: Вводная лекция
Информационная безопасность: Вводная лекция
Max Kornev
 
05 сиис кибербезопасность
05 сиис кибербезопасность05 сиис кибербезопасность
05 сиис кибербезопасностьMarina_creautor
 
Информационная безопасность. Лекция 2.
Информационная безопасность. Лекция 2.Информационная безопасность. Лекция 2.
Информационная безопасность. Лекция 2.
Александр Лысяк
 
Presentation
PresentationPresentation
PresentationE-Journal ICT4D
 
Современные технологии контроля и защиты мобильных устройств, тенденции рынка...
Современные технологии контроля и защиты мобильных устройств, тенденции рынка...Современные технологии контроля и защиты мобильных устройств, тенденции рынка...
Современные технологии контроля и защиты мобильных устройств, тенденции рынка...
SelectedPresentations
 
Тенденции российского рынка ИБ
Тенденции российского рынка ИБТенденции российского рынка ИБ
Тенденции российского рынка ИБAleksey Lukatskiy
 
Сisсo: Прогнозы и тенденции современного рынка ИБ.
Сisсo: Прогнозы и тенденции современного рынка ИБ.Сisсo: Прогнозы и тенденции современного рынка ИБ.
Сisсo: Прогнозы и тенденции современного рынка ИБ.Expolink
 
Информационная безопасность: Комплексный подход и человеческий фактор
Информационная безопасность: Комплексный подход и человеческий факторИнформационная безопасность: Комплексный подход и человеческий фактор
Информационная безопасность: Комплексный подход и человеческий фактор
Max Kornev
 
информационная безопасность
информационная безопасностьинформационная безопасность
информационная безопасность
Andrey Dolinin
 
Stb p inf_tech
Stb p inf_techStb p inf_tech
Stb p inf_tech
Jefferson Witt
 
Kaspersky Security для мобильных устройств. Почему это необходимо
Kaspersky Security для мобильных устройств. Почему это необходимоKaspersky Security для мобильных устройств. Почему это необходимо
Kaspersky Security для мобильных устройств. Почему это необходимоСОФТКОМ
 
Тенденции развития информационной безопасности в бибилотеках
Тенденции развития информационной безопасности в бибилотекахТенденции развития информационной безопасности в бибилотеках
Тенденции развития информационной безопасности в бибилотеках
smart-soft
 
Удобные и доступные решения строгой аутентификации HID Activid
Удобные и доступные решения строгой аутентификации HID ActividУдобные и доступные решения строгой аутентификации HID Activid
Удобные и доступные решения строгой аутентификации HID Activid
journalrubezh
 
IoT from Intersog #iotconfua
IoT from Intersog #iotconfuaIoT from Intersog #iotconfua
IoT from Intersog #iotconfua
Andy Shutka
 
Bitdefender io t_pta_2017
Bitdefender io t_pta_2017Bitdefender io t_pta_2017
Bitdefender io t_pta_2017
Пиняев Андрей
 
Особенности разработки для подключенных устройств
Особенности разработки для подключенных устройствОсобенности разработки для подключенных устройств
Особенности разработки для подключенных устройств
CEE-SEC(R)
 
Gayazov
GayazovGayazov
Gayazov
Ekaterina Chernyak
 
Anti-Malware. Илья Шабанов. "Глобальные тенденции рынка ИБ"
Anti-Malware. Илья Шабанов. "Глобальные тенденции рынка ИБ"Anti-Malware. Илья Шабанов. "Глобальные тенденции рынка ИБ"
Anti-Malware. Илья Шабанов. "Глобальные тенденции рынка ИБ"
Expolink
 
Маркетинговые исследования Smart Home рынка
Маркетинговые исследования Smart Home рынкаМаркетинговые исследования Smart Home рынка
Маркетинговые исследования Smart Home рынка
Azat Tukaev
 
Облачное видеонаблюдение: тенденции, тренды, направления развития
Облачное видеонаблюдение: тенденции, тренды, направления развитияОблачное видеонаблюдение: тенденции, тренды, направления развития
Облачное видеонаблюдение: тенденции, тренды, направления развития
Ivideon
 
Информационная безопасность в финансовом секторе: тренды 2015
Информационная безопасность в финансовом секторе: тренды 2015Информационная безопасность в финансовом секторе: тренды 2015
Информационная безопасность в финансовом секторе: тренды 2015
Michael Kozloff
 
Russian CSO Summit 2011 - 1 - RUSSIAN
Russian CSO Summit 2011 - 1 - RUSSIANRussian CSO Summit 2011 - 1 - RUSSIAN
Russian CSO Summit 2011 - 1 - RUSSIANKirill Kertsenbaum
 
Startups in cybersecurity - CISO Forum, April 18, 2016
Startups in cybersecurity - CISO Forum, April 18, 2016Startups in cybersecurity - CISO Forum, April 18, 2016
Startups in cybersecurity - CISO Forum, April 18, 2016
Sergey Khodakov
 
Тенденции российского рынка информационной безопасности
Тенденции российского рынка информационной безопасностиТенденции российского рынка информационной безопасности
Тенденции российского рынка информационной безопасности
Security Code Ltd.
 

More Related Content

What's hot

Информационная безопасность. Лекция 2.
Информационная безопасность. Лекция 2.Информационная безопасность. Лекция 2.
Информационная безопасность. Лекция 2.
Александр Лысяк
 
Современные технологии контроля и защиты мобильных устройств, тенденции рынка...
Современные технологии контроля и защиты мобильных устройств, тенденции рынка...Современные технологии контроля и защиты мобильных устройств, тенденции рынка...
Современные технологии контроля и защиты мобильных устройств, тенденции рынка...
SelectedPresentations
 
Тенденции российского рынка ИБ
Тенденции российского рынка ИБТенденции российского рынка ИБ
Тенденции российского рынка ИБAleksey Lukatskiy
 
Сisсo: Прогнозы и тенденции современного рынка ИБ.
Сisсo: Прогнозы и тенденции современного рынка ИБ.Сisсo: Прогнозы и тенденции современного рынка ИБ.
Сisсo: Прогнозы и тенденции современного рынка ИБ.Expolink
 
Информационная безопасность: Комплексный подход и человеческий фактор
Информационная безопасность: Комплексный подход и человеческий факторИнформационная безопасность: Комплексный подход и человеческий фактор
Информационная безопасность: Комплексный подход и человеческий фактор
Max Kornev
 
информационная безопасность
информационная безопасностьинформационная безопасность
информационная безопасность
Andrey Dolinin
 
Stb p inf_tech
Stb p inf_techStb p inf_tech
Stb p inf_tech
Jefferson Witt
 
Kaspersky Security для мобильных устройств. Почему это необходимо
Kaspersky Security для мобильных устройств. Почему это необходимоKaspersky Security для мобильных устройств. Почему это необходимо
Kaspersky Security для мобильных устройств. Почему это необходимоСОФТКОМ
 
Тенденции развития информационной безопасности в бибилотеках
Тенденции развития информационной безопасности в бибилотекахТенденции развития информационной безопасности в бибилотеках
Тенденции развития информационной безопасности в бибилотеках
smart-soft
 
Удобные и доступные решения строгой аутентификации HID Activid
Удобные и доступные решения строгой аутентификации HID ActividУдобные и доступные решения строгой аутентификации HID Activid
Удобные и доступные решения строгой аутентификации HID Activid
journalrubezh
 
IoT from Intersog #iotconfua
IoT from Intersog #iotconfuaIoT from Intersog #iotconfua
IoT from Intersog #iotconfua
Andy Shutka
 
Bitdefender io t_pta_2017
Bitdefender io t_pta_2017Bitdefender io t_pta_2017
Bitdefender io t_pta_2017
Пиняев Андрей
 
Особенности разработки для подключенных устройств
Особенности разработки для подключенных устройствОсобенности разработки для подключенных устройств
Особенности разработки для подключенных устройств
CEE-SEC(R)
 
Gayazov
GayazovGayazov
Gayazov
Ekaterina Chernyak
 

What's hot (15)

Информационная безопасность. Лекция 2.
Информационная безопасность. Лекция 2.Информационная безопасность. Лекция 2.
Информационная безопасность. Лекция 2.
 
Presentation
PresentationPresentation
Presentation
 
Современные технологии контроля и защиты мобильных устройств, тенденции рынка...
Современные технологии контроля и защиты мобильных устройств, тенденции рынка...Современные технологии контроля и защиты мобильных устройств, тенденции рынка...
Современные технологии контроля и защиты мобильных устройств, тенденции рынка...
 
Тенденции российского рынка ИБ
Тенденции российского рынка ИБТенденции российского рынка ИБ
Тенденции российского рынка ИБ
 
Сisсo: Прогнозы и тенденции современного рынка ИБ.
Сisсo: Прогнозы и тенденции современного рынка ИБ.Сisсo: Прогнозы и тенденции современного рынка ИБ.
Сisсo: Прогнозы и тенденции современного рынка ИБ.
 
Информационная безопасность: Комплексный подход и человеческий фактор
Информационная безопасность: Комплексный подход и человеческий факторИнформационная безопасность: Комплексный подход и человеческий фактор
Информационная безопасность: Комплексный подход и человеческий фактор
 
информационная безопасность
информационная безопасностьинформационная безопасность
информационная безопасность
 
Stb p inf_tech
Stb p inf_techStb p inf_tech
Stb p inf_tech
 
Kaspersky Security для мобильных устройств. Почему это необходимо
Kaspersky Security для мобильных устройств. Почему это необходимоKaspersky Security для мобильных устройств. Почему это необходимо
Kaspersky Security для мобильных устройств. Почему это необходимо
 
Тенденции развития информационной безопасности в бибилотеках
Тенденции развития информационной безопасности в бибилотекахТенденции развития информационной безопасности в бибилотеках
Тенденции развития информационной безопасности в бибилотеках
 
Удобные и доступные решения строгой аутентификации HID Activid
Удобные и доступные решения строгой аутентификации HID ActividУдобные и доступные решения строгой аутентификации HID Activid
Удобные и доступные решения строгой аутентификации HID Activid
 
IoT from Intersog #iotconfua
IoT from Intersog #iotconfuaIoT from Intersog #iotconfua
IoT from Intersog #iotconfua
 
Bitdefender io t_pta_2017
Bitdefender io t_pta_2017Bitdefender io t_pta_2017
Bitdefender io t_pta_2017
 
Особенности разработки для подключенных устройств
Особенности разработки для подключенных устройствОсобенности разработки для подключенных устройств
Особенности разработки для подключенных устройств
 
Gayazov
GayazovGayazov
Gayazov
 

Similar to Анализ защищенности систем ДБО и интернет-банкинга

Anti-Malware. Илья Шабанов. "Глобальные тенденции рынка ИБ"
Anti-Malware. Илья Шабанов. "Глобальные тенденции рынка ИБ"Anti-Malware. Илья Шабанов. "Глобальные тенденции рынка ИБ"
Anti-Malware. Илья Шабанов. "Глобальные тенденции рынка ИБ"
Expolink
 
Маркетинговые исследования Smart Home рынка
Маркетинговые исследования Smart Home рынкаМаркетинговые исследования Smart Home рынка
Маркетинговые исследования Smart Home рынка
Azat Tukaev
 
Облачное видеонаблюдение: тенденции, тренды, направления развития
Облачное видеонаблюдение: тенденции, тренды, направления развитияОблачное видеонаблюдение: тенденции, тренды, направления развития
Облачное видеонаблюдение: тенденции, тренды, направления развития
Ivideon
 
Информационная безопасность в финансовом секторе: тренды 2015
Информационная безопасность в финансовом секторе: тренды 2015Информационная безопасность в финансовом секторе: тренды 2015
Информационная безопасность в финансовом секторе: тренды 2015
Michael Kozloff
 
Russian CSO Summit 2011 - 1 - RUSSIAN
Russian CSO Summit 2011 - 1 - RUSSIANRussian CSO Summit 2011 - 1 - RUSSIAN
Russian CSO Summit 2011 - 1 - RUSSIANKirill Kertsenbaum
 
Startups in cybersecurity - CISO Forum, April 18, 2016
Startups in cybersecurity - CISO Forum, April 18, 2016Startups in cybersecurity - CISO Forum, April 18, 2016
Startups in cybersecurity - CISO Forum, April 18, 2016
Sergey Khodakov
 
Тенденции российского рынка информационной безопасности
Тенденции российского рынка информационной безопасностиТенденции российского рынка информационной безопасности
Тенденции российского рынка информационной безопасности
Security Code Ltd.
 
Cisco Social Network Security
Cisco Social Network SecurityCisco Social Network Security
Cisco Social Network Security
Cisco Russia
 
мобильный банкинг
мобильный банкингмобильный банкинг
мобильный банкингDavid Saatchyan
 
Cisco strategy and vision of security 24 04_2014
Cisco strategy and vision of security 24 04_2014Cisco strategy and vision of security 24 04_2014
Cisco strategy and vision of security 24 04_2014
Tim Parson
 
Стратегия Москвы в области информационной безопасности
Стратегия Москвы в области информационной безопасностиСтратегия Москвы в области информационной безопасности
Стратегия Москвы в области информационной безопасности
Moscow IT Department
 
Инновации в сфере безопасности. Владимир Елисеев
Инновации в сфере безопасности. Владимир ЕлисеевИнновации в сфере безопасности. Владимир Елисеев
Инновации в сфере безопасности. Владимир Елисеев
InfoTeCS
 
Infosecurity russia 2015
Infosecurity russia 2015Infosecurity russia 2015
Infosecurity russia 2015
Sergey Khodakov
 
Uisg itgov 7_top10
Uisg itgov 7_top10Uisg itgov 7_top10
Uisg itgov 7_top10uisgslide
 
Uisg itgov 7_top10
Uisg itgov 7_top10Uisg itgov 7_top10
Uisg itgov 7_top10uisgslide
 
Кибериммунитет к угрозам.pdf
Кибериммунитет к угрозам.pdfКибериммунитет к угрозам.pdf
Кибериммунитет к угрозам.pdf
trenders
 
Дарья Налетова, BIFIT - Комплексная безопасность ДБО
Дарья Налетова, BIFIT - Комплексная безопасность ДБОДарья Налетова, BIFIT - Комплексная безопасность ДБО
Дарья Налетова, BIFIT - Комплексная безопасность ДБО
Expolink
 
пр Прогнозы и перспективы развития ИТ и ИБ 2013 02-10
пр Прогнозы и перспективы развития ИТ и ИБ 2013 02-10пр Прогнозы и перспективы развития ИТ и ИБ 2013 02-10
пр Прогнозы и перспективы развития ИТ и ИБ 2013 02-10
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Fortinet. Алексей Андрияшин. "Построение эффективных систем защиты информации"
Fortinet. Алексей Андрияшин. "Построение эффективных систем защиты информации"Fortinet. Алексей Андрияшин. "Построение эффективных систем защиты информации"
Fortinet. Алексей Андрияшин. "Построение эффективных систем защиты информации"
Expolink
 
бешков андрей. сравнение безопасности мобильных платформ
бешков андрей. сравнение безопасности мобильных платформбешков андрей. сравнение безопасности мобильных платформ
бешков андрей. сравнение безопасности мобильных платформ
elenae00
 

Similar to Анализ защищенности систем ДБО и интернет-банкинга (20)

Anti-Malware. Илья Шабанов. "Глобальные тенденции рынка ИБ"
Anti-Malware. Илья Шабанов. "Глобальные тенденции рынка ИБ"Anti-Malware. Илья Шабанов. "Глобальные тенденции рынка ИБ"
Anti-Malware. Илья Шабанов. "Глобальные тенденции рынка ИБ"
 
Маркетинговые исследования Smart Home рынка
Маркетинговые исследования Smart Home рынкаМаркетинговые исследования Smart Home рынка
Маркетинговые исследования Smart Home рынка
 
Облачное видеонаблюдение: тенденции, тренды, направления развития
Облачное видеонаблюдение: тенденции, тренды, направления развитияОблачное видеонаблюдение: тенденции, тренды, направления развития
Облачное видеонаблюдение: тенденции, тренды, направления развития
 
Информационная безопасность в финансовом секторе: тренды 2015
Информационная безопасность в финансовом секторе: тренды 2015Информационная безопасность в финансовом секторе: тренды 2015
Информационная безопасность в финансовом секторе: тренды 2015
 
Russian CSO Summit 2011 - 1 - RUSSIAN
Russian CSO Summit 2011 - 1 - RUSSIANRussian CSO Summit 2011 - 1 - RUSSIAN
Russian CSO Summit 2011 - 1 - RUSSIAN
 
Startups in cybersecurity - CISO Forum, April 18, 2016
Startups in cybersecurity - CISO Forum, April 18, 2016Startups in cybersecurity - CISO Forum, April 18, 2016
Startups in cybersecurity - CISO Forum, April 18, 2016
 
Тенденции российского рынка информационной безопасности
Тенденции российского рынка информационной безопасностиТенденции российского рынка информационной безопасности
Тенденции российского рынка информационной безопасности
 
Cisco Social Network Security
Cisco Social Network SecurityCisco Social Network Security
Cisco Social Network Security
 
мобильный банкинг
мобильный банкингмобильный банкинг
мобильный банкинг
 
Cisco strategy and vision of security 24 04_2014
Cisco strategy and vision of security 24 04_2014Cisco strategy and vision of security 24 04_2014
Cisco strategy and vision of security 24 04_2014
 
Стратегия Москвы в области информационной безопасности
Стратегия Москвы в области информационной безопасностиСтратегия Москвы в области информационной безопасности
Стратегия Москвы в области информационной безопасности
 
Инновации в сфере безопасности. Владимир Елисеев
Инновации в сфере безопасности. Владимир ЕлисеевИнновации в сфере безопасности. Владимир Елисеев
Инновации в сфере безопасности. Владимир Елисеев
 
Infosecurity russia 2015
Infosecurity russia 2015Infosecurity russia 2015
Infosecurity russia 2015
 
Uisg itgov 7_top10
Uisg itgov 7_top10Uisg itgov 7_top10
Uisg itgov 7_top10
 
Uisg itgov 7_top10
Uisg itgov 7_top10Uisg itgov 7_top10
Uisg itgov 7_top10
 
Кибериммунитет к угрозам.pdf
Кибериммунитет к угрозам.pdfКибериммунитет к угрозам.pdf
Кибериммунитет к угрозам.pdf
 
Дарья Налетова, BIFIT - Комплексная безопасность ДБО
Дарья Налетова, BIFIT - Комплексная безопасность ДБОДарья Налетова, BIFIT - Комплексная безопасность ДБО
Дарья Налетова, BIFIT - Комплексная безопасность ДБО
 
пр Прогнозы и перспективы развития ИТ и ИБ 2013 02-10
пр Прогнозы и перспективы развития ИТ и ИБ 2013 02-10пр Прогнозы и перспективы развития ИТ и ИБ 2013 02-10
пр Прогнозы и перспективы развития ИТ и ИБ 2013 02-10
 
Fortinet. Алексей Андрияшин. "Построение эффективных систем защиты информации"
Fortinet. Алексей Андрияшин. "Построение эффективных систем защиты информации"Fortinet. Алексей Андрияшин. "Построение эффективных систем защиты информации"
Fortinet. Алексей Андрияшин. "Построение эффективных систем защиты информации"
 
бешков андрей. сравнение безопасности мобильных платформ
бешков андрей. сравнение безопасности мобильных платформбешков андрей. сравнение безопасности мобильных платформ
бешков андрей. сравнение безопасности мобильных платформ
 

More from Alex Babenko

Антифрод на полную мощность
Антифрод на полную мощностьАнтифрод на полную мощность
Антифрод на полную мощность
Alex Babenko
 
Антифрод в ДБО
Антифрод в ДБОАнтифрод в ДБО
Антифрод в ДБО
Alex Babenko
 
Цикл безопасной разработки SDL
Цикл безопасной разработки SDLЦикл безопасной разработки SDL
Цикл безопасной разработки SDL
Alex Babenko
 
Социальная инженерия
Социальная инженерияСоциальная инженерия
Социальная инженерия
Alex Babenko
 
Разработка ПО в рамках PCI DSS
Разработка ПО в рамках PCI DSSРазработка ПО в рамках PCI DSS
Разработка ПО в рамках PCI DSSAlex Babenko
 
Внутреннее качество в процедурах информационной безопасности
Внутреннее качество в процедурах информационной безопасностиВнутреннее качество в процедурах информационной безопасности
Внутреннее качество в процедурах информационной безопасности
Alex Babenko
 
Программа для банков-эквайеров по приведению мерчантов к PCI DSS
Программа для банков-эквайеров по приведению мерчантов к PCI DSSПрограмма для банков-эквайеров по приведению мерчантов к PCI DSS
Программа для банков-эквайеров по приведению мерчантов к PCI DSSAlex Babenko
 
О PCI P2PE в общих чертах
О PCI P2PE в общих чертахО PCI P2PE в общих чертах
О PCI P2PE в общих чертахAlex Babenko
 
Безопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОБезопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОAlex Babenko
 
PCI DSS: поддержание соответствия
PCI DSS: поддержание соответствияPCI DSS: поддержание соответствия
PCI DSS: поддержание соответствия
Alex Babenko
 
PCI DSS: введение, состав и достижение
PCI DSS: введение, состав и достижениеPCI DSS: введение, состав и достижение
PCI DSS: введение, состав и достижение
Alex Babenko
 
СТО БР ИББС
СТО БР ИББССТО БР ИББС
СТО БР ИББСAlex Babenko
 

More from Alex Babenko (12)

Антифрод на полную мощность
Антифрод на полную мощностьАнтифрод на полную мощность
Антифрод на полную мощность
 
Антифрод в ДБО
Антифрод в ДБОАнтифрод в ДБО
Антифрод в ДБО
 
Цикл безопасной разработки SDL
Цикл безопасной разработки SDLЦикл безопасной разработки SDL
Цикл безопасной разработки SDL
 
Социальная инженерия
Социальная инженерияСоциальная инженерия
Социальная инженерия
 
Разработка ПО в рамках PCI DSS
Разработка ПО в рамках PCI DSSРазработка ПО в рамках PCI DSS
Разработка ПО в рамках PCI DSS
 
Внутреннее качество в процедурах информационной безопасности
Внутреннее качество в процедурах информационной безопасностиВнутреннее качество в процедурах информационной безопасности
Внутреннее качество в процедурах информационной безопасности
 
Программа для банков-эквайеров по приведению мерчантов к PCI DSS
Программа для банков-эквайеров по приведению мерчантов к PCI DSSПрограмма для банков-эквайеров по приведению мерчантов к PCI DSS
Программа для банков-эквайеров по приведению мерчантов к PCI DSS
 
О PCI P2PE в общих чертах
О PCI P2PE в общих чертахО PCI P2PE в общих чертах
О PCI P2PE в общих чертах
 
Безопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОБезопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПО
 
PCI DSS: поддержание соответствия
PCI DSS: поддержание соответствияPCI DSS: поддержание соответствия
PCI DSS: поддержание соответствия
 
PCI DSS: введение, состав и достижение
PCI DSS: введение, состав и достижениеPCI DSS: введение, состав и достижение
PCI DSS: введение, состав и достижение
 
СТО БР ИББС
СТО БР ИББССТО БР ИББС
СТО БР ИББС
 

Анализ защищенности систем ДБО и интернет-банкинга

  • 1. «Информационная безопасность 2011: противодействие внешним и внутренним угрозам» г. Алмата, 18 марта 2011 года, отель Intercontinental Защита ДБО и интернет-банков Бабенко Алексей старший аудитор
  • 2. Что интересует злоумышленника? По даннымGlobal Security Report 2011, Trustwave
  • 3. Пути проникновения По данным Global Security Report 2011, Trustwave
  • 4. Эволюция векторов атаки 1980 физический доступ 1990 сетевой доступ 2000 e-mail, приложения, Wi-Fi 2010 клиентские приложения, мобильные технологии, социальные сети По данным Global Security Report 2011, Trustwave
  • 5. « Ни у кого не может возникнуть необходимость иметь компьютер в своем доме » Кен Олсон – основатель и президент корпорации DigitalEquipmentCorp., 1977 г
  • 6. Спрос рождает предложение По данным Annual Security Report 2010, Cisco
  • 7. Нас это не касается? По данным Global Security Report 2011, Trustwave
  • 8. Нас это не касается?
  • 9. Особенности систем ДБО и интернет-банкинга Практически неограниченный доступ к системе из сети Интернет Работа с платежной информацией Большое и динамически меняющиеся количество пользователей Ориентировка на любой уровень ИБ-грамотности пользователя Собственные разработки без учета практик безопасного программирования
  • 10. Модель нарушителя С правами в системе: клиент системы оператор системы администратор системы С полным отсутствием прав: подготовленный злоумышленник слабо подготовленный злоумышленник злоумышленник, реализующий атаку типа «Отказ в обслуживании». инсайдер провайдера.
  • 11. Оценка приложения Оценка архитектуры системы, dataflow с позиции безопасности Оценка безопасности конфигурации окружения системы настройки веб-сервера, СУБД и др. Оценка защищённости приложения (black/grey/white box) от наиболее опасных и популярных атак: OWASP Top 10 SANS CWE Top 25 CERT Secure Coding
  • 12. Работы по анализу защищенности Анализ уровня безопасности системы Формирование плана Контроль исправления найденных уязвимостей Устранение несоответствий — техническая документация, схемы сети — исходные коды — конфигурации системных компонентов — тестовый доступ
  • 13. Вопросы? Бабенко Алексей старший аудитор a.babenko@infosec.ru +7 (495) 980-23-45 доп.458 www.infosec.ru