Sergey Borisov, profile picture
Uploaded bySergey Borisov
PDF, PPTX4,115 views

Анализ уязвимостей ПО

Доклад Сергея Борисова посвящен анализу уязвимостей информационных систем, включая статистику публичных уязвимостей и методы их обнаружения, такие как автоматическое сканирование и пентесты. Он подчеркивает растущий спрос на анализ уязвимостей со стороны владельцев и операторов информационных систем и обсуждает регулирования ФСТЭК России в этой области. Также рассмотрены перспективы увеличения практического применения анализа уязвимостей в условиях повышения угроз безопасности.

Embed presentation

Download as PDF, PPTX
Анализ уязвимостей информационных систем
Докладчик Сергей Борисов Заместитель генерального директора по ИБ, ООО Информационные системы и аутсорсинг ГК РосИнтеграци http://isoit.ru/ http://docshell.ru/ s.borisov@krasnodar.pro Анализ уязвимостей
Статистика публичных уязвимостей. NIST CVE Анализ уязвимостей
Статистика публичных уязвимостей. VULNERS Анализ уязвимостей
Статистика публичных уязвимостей. PT TOP 10 2011-2015 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 2011 2012 2013 2014 2015 №1, Cross-Site Scripting №2, Fingerprinting №3, Brute Force №4, Information Leakage №5, SQL Injection №6, Cross-Site Request Forgery №7, Server Misconfiguration №8, Credential/Session Prediction №9, URL Redirector Abuse №10, Path Traversal Анализ уязвимостей
Что делали до недавнего времени • Автоматическое сканирование - часто • Пентест / аудит – редко • BugBounty - еденицы Анализ уязвимостей
Ситуация постепенно меняется • Анализ уязвимостей в НПА регуляторов • Появляется больше продуктов в области защиты приложений • Спрос со стороны владельцев и операторов ИС Анализ уязвимостей
РС БР ИББС-2.6-2014 Обеспечение ИБ на стадиях ж.ц. АБС Анализ уязвимостей
ГОСТ Р 56939-2016 Разработка безопасного ПО Анализ уязвимостей
Приказ ФСТЭК России №17 Анализ уязвимостей
Приказ ФСТЭК России №17 Анализ уязвимостей
Приказ ФСТЭК России №17 Анализ уязвимостей
Приказ ФСТЭК России №17 Анализ уязвимостей
Приказ ФСТЭК России №17 Анализ уязвимостей
Проект Положения ЦБ РФ №382-П Защита платежной информации Анализ уязвимостей
За рамками данного доклада • ГОСТ Р 56545-2015 Уязвимости информационных систем. Правила описания уязвимостей • ГОСТ Р 56546-2015 Уязвимости информационных систем. Классификация уязвимостей информационных систем • Планируемый Методический документ ФСТЭК России по анализу уязвимостей и отсутствию НДВ в ПО • Методический документ ФСТЭК России «Меры защиты информации в ГИС» • Требования к регулярному анализу и устранению уязвимостей, заложенные во все последние профили защиты СЗИ • и другие Анализ уязвимостей
Востребованность анализа уязвимостей на практике Оператор или владелец ИС: анализ уязвимостей ИС при создании, экспертиза кода ПО внешнего разработчика, регулярный анализ защищенности Разработчик: первоначальный и регулярный анализ исходного кода, анализ известных уязвимостей, динамический анализ Орган по аттестации: анализ известных уязвимостей, анализ конфигурации СЗИ Орган по сертификации: анализ исходного кода, анализ известных уязвимостей Анализ уязвимостей

More Related Content

PDF
Вирусы-шифровальщики и фишинг
bySergey Borisov
 
PDF
Модель нарушителя безопасности информации
bySergey Borisov
 
PDF
Трудовые будни охотника на угрозы
bySergey Soldatov
 
PDF
10 лучших практик иб для гос
bySergey Borisov
 
PPT
Реальные опасности виртуального мира.
byDmitry Evteev
 
PPTX
Статистика по результатам тестирований на проникновение и анализа защищенност...
byDmitry Evteev
 
PDF
пр нужны ли Dlp системы для защиты пдн (прозоров)
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
пр 10 ошибок сотрудников для bisa 2013 02-13
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Вирусы-шифровальщики и фишинг
bySergey Borisov
 
Модель нарушителя безопасности информации
bySergey Borisov
 
Трудовые будни охотника на угрозы
bySergey Soldatov
 
10 лучших практик иб для гос
bySergey Borisov
 
Реальные опасности виртуального мира.
byDmitry Evteev
 
Статистика по результатам тестирований на проникновение и анализа защищенност...
byDmitry Evteev
 
пр нужны ли Dlp системы для защиты пдн (прозоров)
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр 10 ошибок сотрудников для bisa 2013 02-13
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 

What's hot

PDF
Практика обнаружения атак, использующих легальные инструменты
bySergey Soldatov
 
PPTX
пр защита от инсайдеров это не только Dlp (прозоров)
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PPTX
Уязвимости систем ДБО в 2011-2012 гг.
byDmitry Evteev
 
PPTX
penetest VS. APT
byDmitry Evteev
 
PPTX
Типовые проблемы безопасности банковских систем
byDmitry Evteev
 
PDF
Целевые атаки. Infosecurity Russia 2013
byDenis Bezkorovayny
 
PDF
Anti-Malware. Илья Шабанов. "Обзор рынка DLP-систем"
byExpolink
 
PDF
Охота на угрозы на BIS summit 2016
bySergey Soldatov
 
PPTX
Как взламывают сети государственных учреждений
byDmitry Evteev
 
PDF
Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"
byExpolink
 
PPTX
Услуги PT для банков
byDmitry Evteev
 
PPTX
Собираем команду хакеров
byDmitry Evteev
 
PPTX
История из жизни. Демонстрация работы реального злоумышленника на примере ата...
byDmitry Evteev
 
PDF
Доклад SiteSecure
byPositive Hack Days
 
PPT
Введение в тему безопасности веб-приложений
byDmitry Evteev
 
PDF
Системы Breach Detection - вебинар BISA
byDenis Bezkorovayny
 
PDF
InfoWatch. Алексей Воронко. "Защита от внутренних угроз и утечек данных"
byExpolink
 
PPS
SearchInform. Дмитрий Софронов. "Как выбрать идеальную DLP-систему?"
byExpolink
 
PPTX
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...
bycnpo
 
PPT
Практика проведения DDoS-тестирований
byDmitry Evteev
 
Практика обнаружения атак, использующих легальные инструменты
bySergey Soldatov
 
пр защита от инсайдеров это не только Dlp (прозоров)
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Уязвимости систем ДБО в 2011-2012 гг.
byDmitry Evteev
 
penetest VS. APT
byDmitry Evteev
 
Типовые проблемы безопасности банковских систем
byDmitry Evteev
 
Целевые атаки. Infosecurity Russia 2013
byDenis Bezkorovayny
 
Anti-Malware. Илья Шабанов. "Обзор рынка DLP-систем"
byExpolink
 
Охота на угрозы на BIS summit 2016
bySergey Soldatov
 
Как взламывают сети государственных учреждений
byDmitry Evteev
 
Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"
byExpolink
 
Услуги PT для банков
byDmitry Evteev
 
Собираем команду хакеров
byDmitry Evteev
 
История из жизни. Демонстрация работы реального злоумышленника на примере ата...
byDmitry Evteev
 
Доклад SiteSecure
byPositive Hack Days
 
Введение в тему безопасности веб-приложений
byDmitry Evteev
 
Системы Breach Detection - вебинар BISA
byDenis Bezkorovayny
 
InfoWatch. Алексей Воронко. "Защита от внутренних угроз и утечек данных"
byExpolink
 
SearchInform. Дмитрий Софронов. "Как выбрать идеальную DLP-систему?"
byExpolink
 
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...
bycnpo
 
Практика проведения DDoS-тестирований
byDmitry Evteev
 

Similar to Анализ уязвимостей ПО

PPTX
Система анализа уязвимостей программных продуктов
byUNETA
 
PPTX
Анализ защищенности ПО и инфраструктур – подходы и результаты
byAdvanced monitoring
 
PPTX
Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)
byAlexey Kachalin
 
PPTX
Доклад на v воронежском форуме ver. 0.3
byjournalrubezh
 
PPTX
Игнорируем уязвимости сегодня? Расплачиваемся завтра!
byAdvanced monitoring
 
PDF
Исследование защищенности ИС
byAlexey Kachalin
 
PPTX
Информационная система с точки зрения атакующего (2011)
byAlexey Kachalin
 
PDF
Биография сетевого периметра в картинках
byNamik Heydarov
 
PDF
Инструментальный анализ ИБ - РусКрипто'13
byAlexey Kachalin
 
PDF
Лаборатория Касперского: Внутренние и внешние издержки и их критерии в общей ...
byExpolink
 
PPTX
Анализ уязвимостей ИБ распределенного ПО (2012)
byAlexey Kachalin
 
PDF
Cовременные угрозы ИБ в корпоративной инфраструктуре и технологии противодейс...
byIBS
 
PDF
Analitika web 2012_positive_technologies
byКомсс Файквэе
 
PPTX
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
byAlexey Kachalin
 
PDF
Russian CSO Summit 2011 - 1 - RUSSIAN
byKirill Kertsenbaum
 
PDF
Искусственный интеллект на защите информации
byАльбина Минуллина
 
PPT
Анализ защищенности интернет-проектов
byDmitry Evteev
 
PPT
Dmitry Evteev Pt Devteev Ritconf V2
byrit2010
 
PPTX
Обычное apt (2016)
byAlexey Kachalin
 
PPSX
доктор веб медведев вячеслав год прошел как сон пустой или почему ничего не м...
byExpolink
 
Система анализа уязвимостей программных продуктов
byUNETA
 
Анализ защищенности ПО и инфраструктур – подходы и результаты
byAdvanced monitoring
 
Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)
byAlexey Kachalin
 
Доклад на v воронежском форуме ver. 0.3
byjournalrubezh
 
Игнорируем уязвимости сегодня? Расплачиваемся завтра!
byAdvanced monitoring
 
Исследование защищенности ИС
byAlexey Kachalin
 
Информационная система с точки зрения атакующего (2011)
byAlexey Kachalin
 
Биография сетевого периметра в картинках
byNamik Heydarov
 
Инструментальный анализ ИБ - РусКрипто'13
byAlexey Kachalin
 
Лаборатория Касперского: Внутренние и внешние издержки и их критерии в общей ...
byExpolink
 
Анализ уязвимостей ИБ распределенного ПО (2012)
byAlexey Kachalin
 
Cовременные угрозы ИБ в корпоративной инфраструктуре и технологии противодейс...
byIBS
 
Analitika web 2012_positive_technologies
byКомсс Файквэе
 
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
byAlexey Kachalin
 
Russian CSO Summit 2011 - 1 - RUSSIAN
byKirill Kertsenbaum
 
Искусственный интеллект на защите информации
byАльбина Минуллина
 
Анализ защищенности интернет-проектов
byDmitry Evteev
 
Dmitry Evteev Pt Devteev Ritconf V2
byrit2010
 
Обычное apt (2016)
byAlexey Kachalin
 
доктор веб медведев вячеслав год прошел как сон пустой или почему ничего не м...
byExpolink
 

More from Sergey Borisov

PDF
Политика обработки ПДн
bySergey Borisov
 
PDF
Требования к помещениям в которых обрабатываются персональные данные и эксплу...
bySergey Borisov
 
PDF
анализ соответствия ТБ и зПДн
bySergey Borisov
 
PDF
Актуальные вопросы защиты информации для государственных оранов
bySergey Borisov
 
PDF
Kips rules overview_ru
bySergey Borisov
 
PDF
Комбинированная цепочка атаки (Kill Chain) и меры противодействия
bySergey Borisov
 
PDF
обучение в области защиты информации
bySergey Borisov
 
PDF
Защита пользователей систем банк клиент
bySergey Borisov
 
PDF
культура эксплуатации испдн
bySergey Borisov
 
Политика обработки ПДн
bySergey Borisov
 
Требования к помещениям в которых обрабатываются персональные данные и эксплу...
bySergey Borisov
 
анализ соответствия ТБ и зПДн
bySergey Borisov
 
Актуальные вопросы защиты информации для государственных оранов
bySergey Borisov
 
Kips rules overview_ru
bySergey Borisov
 
Комбинированная цепочка атаки (Kill Chain) и меры противодействия
bySergey Borisov
 
обучение в области защиты информации
bySergey Borisov
 
Защита пользователей систем банк клиент
bySergey Borisov
 
культура эксплуатации испдн
bySergey Borisov
 

Анализ уязвимостей ПО