SlideShare una empresa de Scribd logo

Контроль уязвимостей в программных приложениях

jet_information_security
jet_information_security
1 de 26
Descargar para leer sin conexión
Больше чем безопасность Контроль уязвимостей в программных приложениях к.ф.-м.н. Катерина Трошина Ведущий специалист по анализу кода, ЦИБ ЗАО «Инфосистемы Джет»
© 2013 Инфосистемы ДжетЦИБ: больше чем безопасность Особенности разработки приложений с точки зрения ИБ Дефекты в программном обеспечении: • Ошибки • Уязвимости • Недекларированные возможности
© 2013 Инфосистемы ДжетЦИБ: больше чем безопасность Особенности разработки приложений с точки зрения ИБ Уязвимости – это ошибки разработчиков, которые потенциально могут эксплуатироваться злоумышленниками с целью получения несанкционированного доступа к управлению ПО
© 2013 Инфосистемы ДжетЦИБ: больше чем безопасность Особенности разработки приложений с точки зрения ИБ Недекларируемые возможности – сюрпризы от разработчиков: ● секретный вход ● закладки
© 2013 Инфосистемы ДжетЦИБ: больше чем безопасность Откуда берутся уязвимости в коде? Разработчики – это ЛЮДИ!!! КОМАНДА
© 2013 Инфосистемы ДжетЦИБ: больше чем безопасность Особенности разработки программных приложений Разработчики - это наемные работники! ● Они уходят! ● Их МАЛО! ● Разработчику нужны комфортные условия и возможность РАЗВИВАТЬСЯ! Разработчик – НЕ эксперт по информационной безопасности
© 2013 Инфосистемы ДжетЦИБ: больше чем безопасность Особенности разработки программных приложений Типичный представитель вашей IT-команды???
© 2013 Инфосистемы ДжетЦИБ: больше чем безопасность Особенности разработки ПО Современное приложение сегодня: ● Многоязычное ● Мультиплатформенное ● Связи между компонентами – очень сложные! Программные приложения ● УЯЗВИМЫЕ!!!
© 2013 Инфосистемы ДжетЦИБ: больше чем безопасность Откуда берутся уязвимости • Культура разработки – разработчик не уделяет внимания: ● Языковым конструкциям, которые использует ● Коду, который используется как сторонний ● Безопасности связей между компонентами, которые разрабатывает • Недостаток времени: ● Техническое задание разрабатывается быстро ● Программное обеспечение разработается быстро: задержка в разработке – потеря денег • Можно удовлетворить только два из трех желаний: быстро, качественно и недорого. Обычно – это быстро и недорого.
© 2013 Инфосистемы ДжетЦИБ: больше чем безопасность Разновидности ПО • Самостоятельная разработка • In house - силами своей IT-команды • На заказ по разработанному техническому заданию • Стандартное ПО, разработанное российским разработчиком, возможно, настроенное и адаптированное под ваши особенности бизнеса • ПО, разработанное иностранным небольшим производителем ПО • ПО, разработанное иностранным большим производителем ПО
© 2013 Инфосистемы ДжетЦИБ: больше чем безопасность Повышение качества разработки Встраивание в цикл разработки инструментальных средств, выполняющих: ● Статический анализ кода ● Динамический анализ кода ● Анализ кода времени выполнения Кодир ование Сборка Тестирование и Безопасность Запуск Система управления проектами Среда разработки Система контроля версий и сборки
© 2013 Инфосистемы ДжетЦИБ: больше чем безопасность Повышение качества разработки Кодирование $80/дефект Сборка $240/дефект Тестирование и Безопасность $960/дефект Эксплуатация $7600/дефект Обнаружение уязвимостей Статический анализ Гибридный анализ Анализ времени выполнения
© 2013 Инфосистемы ДжетЦИБ: больше чем безопасность ПО, разработанное под заказ Скрытое управление разработкой через ТЗ и процедуру приемки: • ТЗ должны содержать требования ИБ • Разработка ТЗ должна учитывать особенности разработки ПО • Приемка должна содержать работы по проверке не только функциональности, но и защищенности ПО
© 2013 Инфосистемы ДжетЦИБ: больше чем безопасность ПО, разработанное сторонним разработчиком (не гигантом на рынке IT) Информация о том, какие уязвимости имеются в ПО, позволяет: • более точно настроить «умные» IT- системы защиты периметра • модифицировать бизнес процессы так, чтобы обходить эксплуатацию выявленных уязвимостей • разрабатывать проактивные меры предупреждения успешной эксплуатации известных уязвимостей
© 2013 Инфосистемы ДжетЦИБ: больше чем безопасность ПО, разработанное гигантом на рынке IT Такому программному обеспечению можно только доверять и выстраивать защиту периметра: • Большое количество пользователей – лучшие тестировщики в том числе и по требования ИБ • Исправление выявленных уязвимостей стоит в очереди, и можно вообще не дождаться, когда уязвимость поправят
© 2013 Инфосистемы ДжетЦИБ: больше чем безопасность Анализ ПО по требованиям ИБ Интересуйтесь, что внутри: • Оболочка может не соответствовать • содержимому • Кто предупрежден, тот вооружен! Не эксплуатируйте кота в мешке!!!
© 2013 Инфосистемы ДжетЦИБ: больше чем безопасность Где взять безопасное ПО? Если ПО разрабатывается самостоятельно: ● Дружите с разработчиками и помогите им следовать «Правильному стилю разработки» ● Проверяйте программное обеспечение перед запуском в эксплуатацию! Если ПО стороннее: ● проверяйте программное обеспечение перед внедрением! ● проверяйте программное обеспечение по требованиям ИБ! ● выстраивайте «умную» защиту периметра, которая чувствительна именно к реальным угрозам вашего ПО…
© 2013 Инфосистемы ДжетЦИБ: больше чем безопасность Результаты проведения анализа кода Результат: ● Информированность о том, какое ПО вы эксплуатируете -> Выстраивание «умной» защиты периметра ● Проактивное реагирование на инциденты -> снижение затрат на расследование устранение ущерба от интендантов Yes
© 2013 Инфосистемы ДжетЦИБ: больше чем безопасность Статический анализа кода Анализ исходного кода приложения Приложение анализируется по принципу «белый ящик» • Обнаружение уязвимостей • Ранжирование уязвимостей по • приоритету устранения • Рекомендации по устранению • Описание возможностей эксплуатации
© 2013 Инфосистемы ДжетЦИБ: больше чем безопасность Динамический анализ Анализ без исходного кода приложения Приложение анализируется по принципу «черный ящик» • Обнаружение уязвимостей • Ранжирование уязвимостей по • приоритету устранения • Рекомендации по устранению • Описание возможности эксплуатации • Демонстрация результата эксплуатации • уязвимостей
© 2013 Инфосистемы ДжетЦИБ: больше чем безопасность Гибридный анализ Динамический и статический анализ исходного кода приложения Приложение анализируется по принципу «прозрачный ящик» • Точное обнаружение уязвимостей: нет ложных срабатываний • Связка с исходным кодом приложения ГЛУБОКИЙ И ПОЛНЫЙ АНАЛИЗ ПРИЛОЖЕНИЯ!!!
© 2013 Инфосистемы ДжетЦИБ: больше чем безопасность Анализ времени выполнения Две технологии в одном модуле! Гибридный анализ или динамический анализ Защита приложения во время выполнения Результат: ● Эффективное обнаружение уязвимостей в наиболее эксплуатируемом коде ● Защита приложения по периметру во время эксплуатации
© 2013 Инфосистемы ДжетЦИБ: больше чем безопасность Заключение Если вы хотите эксплуатировать качественные, защищенные программные решения: ● помогайте вашей команде разработчиков ● подходите ответственно к выбору системного программного обеспечения ● проверяйте и контролируйте ваше программное обеспечение
© 2013 Инфосистемы ДжетЦИБ: больше чем безопасность Заключение Насколько вы уверены в своем ПО? • Мы предоставляем возможность провести пилотный проект • Пилотный проект покажет вам сколько уязвимостей содержит ваш код и как их можно эксплуатировать!
© 2013 Инфосистемы ДжетЦИБ: больше чем безопасность Заключение Мы предоставляем полный спектр услуг по ИБ: ● обнаружение НДВ ● обнаружение уязвимостей ● разработка рекомендаций по устранению выявленных уязвимостей ● разработка рекомендаций по защите, пока разработчики устраняют выявленные уязвимости ● построение полного цикла разработки защищенного кода (SDL)
Больше чем безопасность к.ф.-м.н. Катерина Трошина Ведущий специалист по анализу кода, ЦИБ ЗАО «Инфосистемы Джет» Спасибо за внимание Ваши вопросы 12 мая 2014 года

Recomendados

Обеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытОбеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытAleksey Lukatskiy
 
2015 02 пм качалин sdl
2015 02 пм качалин sdl2015 02 пм качалин sdl
2015 02 пм качалин sdlAlexey Kachalin
 
Опасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеОпасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеSelectedPresentations
 
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬPositive Hack Days
 
Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015Alexey Kachalin
 
SOC Technologies and processes
SOC Technologies and processesSOC Technologies and processes
SOC Technologies and processesAlexey Kachalin
 
InfoWatch. Олег Коробейников. "InfoWatch. Защита от внутренних угроз и таргет...
InfoWatch. Олег Коробейников. "InfoWatch. Защита от внутренних угроз и таргет...InfoWatch. Олег Коробейников. "InfoWatch. Защита от внутренних угроз и таргет...
InfoWatch. Олег Коробейников. "InfoWatch. Защита от внутренних угроз и таргет...Expolink
 
Разработка ПО в рамках PCI DSS
Разработка ПО в рамках PCI DSSРазработка ПО в рамках PCI DSS
Разработка ПО в рамках PCI DSSAlex Babenko
 

Recomendados

Обеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытОбеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытAleksey Lukatskiy
 
2015 02 пм качалин sdl
2015 02 пм качалин sdl2015 02 пм качалин sdl
2015 02 пм качалин sdlAlexey Kachalin
 
Опасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеОпасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеSelectedPresentations
 
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬPositive Hack Days
 
Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015Alexey Kachalin
 
SOC Technologies and processes
SOC Technologies and processesSOC Technologies and processes
SOC Technologies and processesAlexey Kachalin
 
InfoWatch. Олег Коробейников. "InfoWatch. Защита от внутренних угроз и таргет...
InfoWatch. Олег Коробейников. "InfoWatch. Защита от внутренних угроз и таргет...InfoWatch. Олег Коробейников. "InfoWatch. Защита от внутренних угроз и таргет...
InfoWatch. Олег Коробейников. "InfoWatch. Защита от внутренних угроз и таргет...Expolink
 
Разработка ПО в рамках PCI DSS
Разработка ПО в рамках PCI DSSРазработка ПО в рамках PCI DSS
Разработка ПО в рамках PCI DSSAlex Babenko
 
SearchInform. Сергей Ананич. "Как выбрать DLP-систему? "
SearchInform. Сергей Ананич. "Как выбрать DLP-систему? "SearchInform. Сергей Ананич. "Как выбрать DLP-систему? "
SearchInform. Сергей Ананич. "Как выбрать DLP-систему? "Expolink
 
Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)
Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)
Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)Alexey Kachalin
 
Positive technologies а.гончаров
Positive technologies а.гончаровPositive technologies а.гончаров
Positive technologies а.гончаровDenial Solopov
 
Основной вектор атак — приложения
Основной вектор атак — приложенияОсновной вектор атак — приложения
Основной вектор атак — приложенияЭЛВИС-ПЛЮС
 
Безопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОБезопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОAlex Babenko
 
Безопаность SAP-систем
Безопаность SAP-системБезопаность SAP-систем
Безопаность SAP-системAlexey Kachalin
 
Собираем команду хакеров
Собираем команду хакеровСобираем команду хакеров
Собираем команду хакеровDmitry Evteev
 
тест на проникновение
тест на проникновение тест на проникновение
тест на проникновение a_a_a
 
Анализ угроз ИБ компаниям-разработчикам СЗИ
Анализ угроз ИБ компаниям-разработчикам СЗИАнализ угроз ИБ компаниям-разработчикам СЗИ
Анализ угроз ИБ компаниям-разработчикам СЗИAlexey Kachalin
 
этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)Teymur Kheirkhabarov
 
Внутренняя угроза: выявление и защита с помощью ObserveIT
Внутренняя угроза: выявление и защита с помощью ObserveITВнутренняя угроза: выявление и защита с помощью ObserveIT
Внутренняя угроза: выявление и защита с помощью ObserveITBAKOTECH
 
Кто такой специалист по иб
Кто такой специалист по ибКто такой специалист по иб
Кто такой специалист по ибTeymur Kheirkhabarov
 
PT Penetration Testing Report (sample)
PT Penetration Testing Report (sample)PT Penetration Testing Report (sample)
PT Penetration Testing Report (sample)Dmitry Evteev
 
КВО ТЭК - Обоснованные требования регулятора
КВО ТЭК - Обоснованные требования регулятораКВО ТЭК - Обоснованные требования регулятора
КВО ТЭК - Обоснованные требования регулятораAlexey Kachalin
 
Астерит. Иван Катаев. Лаборатория Касперского. Виталий Федоров "Стратегия про...
Астерит. Иван Катаев. Лаборатория Касперского. Виталий Федоров "Стратегия про...Астерит. Иван Катаев. Лаборатория Касперского. Виталий Федоров "Стратегия про...
Астерит. Иван Катаев. Лаборатория Касперского. Виталий Федоров "Стратегия про...Expolink
 
Искусственный интеллект на защите информации
Искусственный интеллект на защите информацииИскусственный интеллект на защите информации
Искусственный интеллект на защите информацииАльбина Минуллина
 
Алексей Иванов. Реализация проектов АСУ ТП электрических подстанций ​в соотве...
Алексей Иванов. Реализация проектов АСУ ТП электрических подстанций ​в соотве...Алексей Иванов. Реализация проектов АСУ ТП электрических подстанций ​в соотве...
Алексей Иванов. Реализация проектов АСУ ТП электрических подстанций ​в соотве...Kaspersky
 
Pentest Report Sample
Pentest Report SamplePentest Report Sample
Pentest Report SampleTraining center "Echelon"
 
Жизненный цикл безопасной разработки платежных приложений
Жизненный цикл безопасной разработки платежных приложенийЖизненный цикл безопасной разработки платежных приложений
Жизненный цикл безопасной разработки платежных приложенийRISClubSPb
 
О PCI P2PE в общих чертах
О PCI P2PE в общих чертахО PCI P2PE в общих чертах
О PCI P2PE в общих чертахAlex Babenko
 
RENEW IBEW workshop final without videos
RENEW IBEW workshop final without videosRENEW IBEW workshop final without videos
RENEW IBEW workshop final without videosTarn Goelling
 
South Eastern Coalfields Limited : Recruitment of Mining Sirdar
South Eastern Coalfields Limited : Recruitment of Mining SirdarSouth Eastern Coalfields Limited : Recruitment of Mining Sirdar
South Eastern Coalfields Limited : Recruitment of Mining SirdarVIJAY NEWS
 

Más contenido relacionado

La actualidad más candente

SearchInform. Сергей Ананич. "Как выбрать DLP-систему? "
SearchInform. Сергей Ананич. "Как выбрать DLP-систему? "SearchInform. Сергей Ананич. "Как выбрать DLP-систему? "
SearchInform. Сергей Ананич. "Как выбрать DLP-систему? "Expolink
 
Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)
Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)
Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)Alexey Kachalin
 
Positive technologies а.гончаров
Positive technologies а.гончаровPositive technologies а.гончаров
Positive technologies а.гончаровDenial Solopov
 
Основной вектор атак — приложения
Основной вектор атак — приложенияОсновной вектор атак — приложения
Основной вектор атак — приложенияЭЛВИС-ПЛЮС
 
Безопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОБезопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОAlex Babenko
 
Безопаность SAP-систем
Безопаность SAP-системБезопаность SAP-систем
Безопаность SAP-системAlexey Kachalin
 
Собираем команду хакеров
Собираем команду хакеровСобираем команду хакеров
Собираем команду хакеровDmitry Evteev
 
тест на проникновение
тест на проникновение тест на проникновение
тест на проникновение a_a_a
 
Анализ угроз ИБ компаниям-разработчикам СЗИ
Анализ угроз ИБ компаниям-разработчикам СЗИАнализ угроз ИБ компаниям-разработчикам СЗИ
Анализ угроз ИБ компаниям-разработчикам СЗИAlexey Kachalin
 
этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)Teymur Kheirkhabarov
 
Внутренняя угроза: выявление и защита с помощью ObserveIT
Внутренняя угроза: выявление и защита с помощью ObserveITВнутренняя угроза: выявление и защита с помощью ObserveIT
Внутренняя угроза: выявление и защита с помощью ObserveITBAKOTECH
 
Кто такой специалист по иб
Кто такой специалист по ибКто такой специалист по иб
Кто такой специалист по ибTeymur Kheirkhabarov
 
PT Penetration Testing Report (sample)
PT Penetration Testing Report (sample)PT Penetration Testing Report (sample)
PT Penetration Testing Report (sample)Dmitry Evteev
 
КВО ТЭК - Обоснованные требования регулятора
КВО ТЭК - Обоснованные требования регулятораКВО ТЭК - Обоснованные требования регулятора
КВО ТЭК - Обоснованные требования регулятораAlexey Kachalin
 
Астерит. Иван Катаев. Лаборатория Касперского. Виталий Федоров "Стратегия про...
Астерит. Иван Катаев. Лаборатория Касперского. Виталий Федоров "Стратегия про...Астерит. Иван Катаев. Лаборатория Касперского. Виталий Федоров "Стратегия про...
Астерит. Иван Катаев. Лаборатория Касперского. Виталий Федоров "Стратегия про...Expolink
 
Искусственный интеллект на защите информации
Искусственный интеллект на защите информацииИскусственный интеллект на защите информации
Искусственный интеллект на защите информацииАльбина Минуллина
 
Алексей Иванов. Реализация проектов АСУ ТП электрических подстанций ​в соотве...
Алексей Иванов. Реализация проектов АСУ ТП электрических подстанций ​в соотве...Алексей Иванов. Реализация проектов АСУ ТП электрических подстанций ​в соотве...
Алексей Иванов. Реализация проектов АСУ ТП электрических подстанций ​в соотве...Kaspersky
 
Жизненный цикл безопасной разработки платежных приложений
Жизненный цикл безопасной разработки платежных приложенийЖизненный цикл безопасной разработки платежных приложений
Жизненный цикл безопасной разработки платежных приложенийRISClubSPb
 
О PCI P2PE в общих чертах
О PCI P2PE в общих чертахО PCI P2PE в общих чертах
О PCI P2PE в общих чертахAlex Babenko
 

La actualidad más candente (20)

SearchInform. Сергей Ананич. "Как выбрать DLP-систему? "
SearchInform. Сергей Ананич. "Как выбрать DLP-систему? "SearchInform. Сергей Ананич. "Как выбрать DLP-систему? "
SearchInform. Сергей Ананич. "Как выбрать DLP-систему? "
 
Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)
Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)
Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)
 
Positive technologies а.гончаров
Positive technologies а.гончаровPositive technologies а.гончаров
Positive technologies а.гончаров
 
Основной вектор атак — приложения
Основной вектор атак — приложенияОсновной вектор атак — приложения
Основной вектор атак — приложения
 
Безопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОБезопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПО
 
Безопаность SAP-систем
Безопаность SAP-системБезопаность SAP-систем
Безопаность SAP-систем
 
Собираем команду хакеров
Собираем команду хакеровСобираем команду хакеров
Собираем команду хакеров
 
тест на проникновение
тест на проникновение тест на проникновение
тест на проникновение
 
Анализ угроз ИБ компаниям-разработчикам СЗИ
Анализ угроз ИБ компаниям-разработчикам СЗИАнализ угроз ИБ компаниям-разработчикам СЗИ
Анализ угроз ИБ компаниям-разработчикам СЗИ
 
этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)
 
Внутренняя угроза: выявление и защита с помощью ObserveIT
Внутренняя угроза: выявление и защита с помощью ObserveITВнутренняя угроза: выявление и защита с помощью ObserveIT
Внутренняя угроза: выявление и защита с помощью ObserveIT
 
Кто такой специалист по иб
Кто такой специалист по ибКто такой специалист по иб
Кто такой специалист по иб
 
PT Penetration Testing Report (sample)
PT Penetration Testing Report (sample)PT Penetration Testing Report (sample)
PT Penetration Testing Report (sample)
 
КВО ТЭК - Обоснованные требования регулятора
КВО ТЭК - Обоснованные требования регулятораКВО ТЭК - Обоснованные требования регулятора
КВО ТЭК - Обоснованные требования регулятора
 
Астерит. Иван Катаев. Лаборатория Касперского. Виталий Федоров "Стратегия про...
Астерит. Иван Катаев. Лаборатория Касперского. Виталий Федоров "Стратегия про...Астерит. Иван Катаев. Лаборатория Касперского. Виталий Федоров "Стратегия про...
Астерит. Иван Катаев. Лаборатория Касперского. Виталий Федоров "Стратегия про...
 
Искусственный интеллект на защите информации
Искусственный интеллект на защите информацииИскусственный интеллект на защите информации
Искусственный интеллект на защите информации
 
Алексей Иванов. Реализация проектов АСУ ТП электрических подстанций ​в соотве...
Алексей Иванов. Реализация проектов АСУ ТП электрических подстанций ​в соотве...Алексей Иванов. Реализация проектов АСУ ТП электрических подстанций ​в соотве...
Алексей Иванов. Реализация проектов АСУ ТП электрических подстанций ​в соотве...
 
Pentest Report Sample
Pentest Report SamplePentest Report Sample
Pentest Report Sample
 
Жизненный цикл безопасной разработки платежных приложений
Жизненный цикл безопасной разработки платежных приложенийЖизненный цикл безопасной разработки платежных приложений
Жизненный цикл безопасной разработки платежных приложений
 
О PCI P2PE в общих чертах
О PCI P2PE в общих чертахО PCI P2PE в общих чертах
О PCI P2PE в общих чертах
 

Destacado

RENEW IBEW workshop final without videos
RENEW IBEW workshop final without videosRENEW IBEW workshop final without videos
RENEW IBEW workshop final without videosTarn Goelling
 
South Eastern Coalfields Limited : Recruitment of Mining Sirdar
South Eastern Coalfields Limited : Recruitment of Mining SirdarSouth Eastern Coalfields Limited : Recruitment of Mining Sirdar
South Eastern Coalfields Limited : Recruitment of Mining SirdarVIJAY NEWS
 
Principles of continuity
Principles of continuityPrinciples of continuity
Principles of continuityManahil Nadeem
 
Recruitment of Probationary Officers in State Bank of India (2014-15)
Recruitment of Probationary Officers in State Bank of India (2014-15)Recruitment of Probationary Officers in State Bank of India (2014-15)
Recruitment of Probationary Officers in State Bank of India (2014-15)VIJAY NEWS
 
Ekonomický týždenník Poštovej banky - 29. týždeň
Ekonomický týždenník Poštovej banky - 29. týždeňEkonomický týždenník Poštovej banky - 29. týždeň
Ekonomický týždenník Poštovej banky - 29. týždeňpabk
 
Ekonomický týždenník Poštovej banky - 45. týždeň
Ekonomický týždenník Poštovej banky - 45. týždeňEkonomický týždenník Poštovej banky - 45. týždeň
Ekonomický týždenník Poštovej banky - 45. týždeňpabk
 
Chilin, paprikan,tomaatin ja kurkun kotiviljely
Chilin, paprikan,tomaatin ja kurkun kotiviljelyChilin, paprikan,tomaatin ja kurkun kotiviljely
Chilin, paprikan,tomaatin ja kurkun kotiviljelyLeena Huhtama
 
बांकेबिहारी मंदिर में श्रद्धालुओं ने जमकर खेली होली
बांकेबिहारी मंदिर में श्रद्धालुओं ने जमकर खेली होली बांकेबिहारी मंदिर में श्रद्धालुओं ने जमकर खेली होली
बांकेबिहारी मंदिर में श्रद्धालुओं ने जमकर खेली होली VIJAY NEWS
 
Best multi vitamin
Best multi vitaminBest multi vitamin
Best multi vitaminAllen Carter
 
Ekonomický týždenník Poštovej banky - 17. týždeň, 2015
Ekonomický týždenník Poštovej banky - 17. týždeň, 2015Ekonomický týždenník Poštovej banky - 17. týždeň, 2015
Ekonomický týždenník Poštovej banky - 17. týždeň, 2015pabk
 
Ekonomický týždenník Poštovej banky - 47. týždeň
Ekonomický týždenník Poštovej banky - 47. týždeňEkonomický týždenník Poštovej banky - 47. týždeň
Ekonomický týždenník Poštovej banky - 47. týždeňpabk
 
Ekonomický týždenník Poštovej banky - 14. týždeň, 2015
Ekonomický týždenník Poštovej banky - 14. týždeň, 2015Ekonomický týždenník Poštovej banky - 14. týždeň, 2015
Ekonomický týždenník Poštovej banky - 14. týždeň, 2015pabk
 
Era of contetn marketing azim
Era of contetn marketing azimEra of contetn marketing azim
Era of contetn marketing azimAzim Hossain
 
обман зрения
обман зренияобман зрения
обман зренияnikiivanova77
 
Ekonomický týždenník Poštovej banky - 37. týždeň, 2015
Ekonomický týždenník Poštovej banky - 37. týždeň, 2015Ekonomický týždenník Poštovej banky - 37. týždeň, 2015
Ekonomický týždenník Poštovej banky - 37. týždeň, 2015pabk
 
Holocaust project
Holocaust projectHolocaust project
Holocaust projectyewon4142
 
Stu report 2012
Stu report 2012Stu report 2012
Stu report 2012STU UQU
 
Requirement Delhi Merto
Requirement Delhi MertoRequirement Delhi Merto
Requirement Delhi MertoVIJAY NEWS
 

Destacado (20)

RENEW IBEW workshop final without videos
RENEW IBEW workshop final without videosRENEW IBEW workshop final without videos
RENEW IBEW workshop final without videos
 
South Eastern Coalfields Limited : Recruitment of Mining Sirdar
South Eastern Coalfields Limited : Recruitment of Mining SirdarSouth Eastern Coalfields Limited : Recruitment of Mining Sirdar
South Eastern Coalfields Limited : Recruitment of Mining Sirdar
 
Principles of continuity
Principles of continuityPrinciples of continuity
Principles of continuity
 
Recruitment of Probationary Officers in State Bank of India (2014-15)
Recruitment of Probationary Officers in State Bank of India (2014-15)Recruitment of Probationary Officers in State Bank of India (2014-15)
Recruitment of Probationary Officers in State Bank of India (2014-15)
 
Eksogen
EksogenEksogen
Eksogen
 
Ekonomický týždenník Poštovej banky - 29. týždeň
Ekonomický týždenník Poštovej banky - 29. týždeňEkonomický týždenník Poštovej banky - 29. týždeň
Ekonomický týždenník Poštovej banky - 29. týždeň
 
Ekonomický týždenník Poštovej banky - 45. týždeň
Ekonomický týždenník Poštovej banky - 45. týždeňEkonomický týždenník Poštovej banky - 45. týždeň
Ekonomický týždenník Poštovej banky - 45. týždeň
 
Chilin, paprikan,tomaatin ja kurkun kotiviljely
Chilin, paprikan,tomaatin ja kurkun kotiviljelyChilin, paprikan,tomaatin ja kurkun kotiviljely
Chilin, paprikan,tomaatin ja kurkun kotiviljely
 
बांकेबिहारी मंदिर में श्रद्धालुओं ने जमकर खेली होली
बांकेबिहारी मंदिर में श्रद्धालुओं ने जमकर खेली होली बांकेबिहारी मंदिर में श्रद्धालुओं ने जमकर खेली होली
बांकेबिहारी मंदिर में श्रद्धालुओं ने जमकर खेली होली
 
Best multi vitamin
Best multi vitaminBest multi vitamin
Best multi vitamin
 
Ekonomický týždenník Poštovej banky - 17. týždeň, 2015
Ekonomický týždenník Poštovej banky - 17. týždeň, 2015Ekonomický týždenník Poštovej banky - 17. týždeň, 2015
Ekonomický týždenník Poštovej banky - 17. týždeň, 2015
 
Ekonomický týždenník Poštovej banky - 47. týždeň
Ekonomický týždenník Poštovej banky - 47. týždeňEkonomický týždenník Poštovej banky - 47. týždeň
Ekonomický týždenník Poštovej banky - 47. týždeň
 
Ekonomický týždenník Poštovej banky - 14. týždeň, 2015
Ekonomický týždenník Poštovej banky - 14. týždeň, 2015Ekonomický týždenník Poštovej banky - 14. týždeň, 2015
Ekonomický týždenník Poštovej banky - 14. týždeň, 2015
 
Era of contetn marketing azim
Era of contetn marketing azimEra of contetn marketing azim
Era of contetn marketing azim
 
обман зрения
обман зренияобман зрения
обман зрения
 
Ekonomický týždenník Poštovej banky - 37. týždeň, 2015
Ekonomický týždenník Poštovej banky - 37. týždeň, 2015Ekonomický týždenník Poštovej banky - 37. týždeň, 2015
Ekonomický týždenník Poštovej banky - 37. týždeň, 2015
 
Holocaust project
Holocaust projectHolocaust project
Holocaust project
 
Stu report 2012
Stu report 2012Stu report 2012
Stu report 2012
 
Requirement Delhi Merto
Requirement Delhi MertoRequirement Delhi Merto
Requirement Delhi Merto
 
Charlotte Dentist
Charlotte DentistCharlotte Dentist
Charlotte Dentist
 

Similar a Контроль уязвимостей в программных приложениях

Проблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииПроблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииAleksey Lukatskiy
 
Microsoft. Никита Трубецкой. "Облачные сервисы – головная боль для служб безо...
Microsoft. Никита Трубецкой. "Облачные сервисы – головная боль для служб безо...Microsoft. Никита Трубецкой. "Облачные сервисы – головная боль для служб безо...
Microsoft. Никита Трубецкой. "Облачные сервисы – головная боль для служб безо...Expolink
 
Архитектура защищенного периметра
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметраCisco Russia
 
Certifi-Gate: атака в теории и на практике
Certifi-Gate: атака в теории и на практикеCertifi-Gate: атака в теории и на практике
Certifi-Gate: атака в теории и на практикеPositive Hack Days
 
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасность
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасностьКак оценить пользу от ИБ и увязать с нею инвестиции в безопасность
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасностьVsevolod Shabad
 
3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБ3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБКомпания УЦСБ
 
Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14DialogueScience
 
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...DialogueScience
 
Угрозы ИБ - retail edition (2016)
Угрозы ИБ - retail edition (2016)Угрозы ИБ - retail edition (2016)
Угрозы ИБ - retail edition (2016)Alexey Kachalin
 
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'Positive Hack Days
 
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'Positive Hack Days
 
дмитрий кузнецов (2)
дмитрий кузнецов (2)дмитрий кузнецов (2)
дмитрий кузнецов (2)Positive Hack Days
 
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...Expolink
 
Umurashka codeib-presentation-v2
Umurashka codeib-presentation-v2Umurashka codeib-presentation-v2
Umurashka codeib-presentation-v2Uladzislau Murashka
 
Астерит - практический подход к реализации проектов по защите информации
Астерит - практический подход к реализации проектов по защите информацииАстерит - практический подход к реализации проектов по защите информации
Астерит - практический подход к реализации проектов по защите информацииExpolink
 
Ставим инновации на поток: Positive Technologies с решением PT Application Fi...
Ставим инновации на поток: Positive Technologies с решением PT Application Fi...Ставим инновации на поток: Positive Technologies с решением PT Application Fi...
Ставим инновации на поток: Positive Technologies с решением PT Application Fi...Vsevolod Petrov
 
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceAleksey Lukatskiy
 
Group IB. Серегей Золотухин. "Киберразведка - новый инструмент для ТОП-менед...
Group IB. Серегей Золотухин. "Киберразведка - новый инструмент для ТОП-менед...Group IB. Серегей Золотухин. "Киберразведка - новый инструмент для ТОП-менед...
Group IB. Серегей Золотухин. "Киберразведка - новый инструмент для ТОП-менед...Expolink
 
Safety and Security of Web-applications (Document)
Safety and Security of Web-applications (Document)Safety and Security of Web-applications (Document)
Safety and Security of Web-applications (Document)MrCoffee94
 
IBM - SIEM 2.0: Информационая безопасность с открытыми глазами
IBM - SIEM 2.0: Информационая безопасность с открытыми глазамиIBM - SIEM 2.0: Информационая безопасность с открытыми глазами
IBM - SIEM 2.0: Информационая безопасность с открытыми глазамиExpolink
 

Similar a Контроль уязвимостей в программных приложениях (20)

Проблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииПроблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информации
 
Microsoft. Никита Трубецкой. "Облачные сервисы – головная боль для служб безо...
Microsoft. Никита Трубецкой. "Облачные сервисы – головная боль для служб безо...Microsoft. Никита Трубецкой. "Облачные сервисы – головная боль для служб безо...
Microsoft. Никита Трубецкой. "Облачные сервисы – головная боль для служб безо...
 
Архитектура защищенного периметра
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметра
 
Certifi-Gate: атака в теории и на практике
Certifi-Gate: атака в теории и на практикеCertifi-Gate: атака в теории и на практике
Certifi-Gate: атака в теории и на практике
 
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасность
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасностьКак оценить пользу от ИБ и увязать с нею инвестиции в безопасность
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасность
 
3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБ3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБ
 
Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14
 
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
 
Угрозы ИБ - retail edition (2016)
Угрозы ИБ - retail edition (2016)Угрозы ИБ - retail edition (2016)
Угрозы ИБ - retail edition (2016)
 
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
 
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
 
дмитрий кузнецов (2)
дмитрий кузнецов (2)дмитрий кузнецов (2)
дмитрий кузнецов (2)
 
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
 
Umurashka codeib-presentation-v2
Umurashka codeib-presentation-v2Umurashka codeib-presentation-v2
Umurashka codeib-presentation-v2
 
Астерит - практический подход к реализации проектов по защите информации
Астерит - практический подход к реализации проектов по защите информацииАстерит - практический подход к реализации проектов по защите информации
Астерит - практический подход к реализации проектов по защите информации
 
Ставим инновации на поток: Positive Technologies с решением PT Application Fi...
Ставим инновации на поток: Positive Technologies с решением PT Application Fi...Ставим инновации на поток: Positive Technologies с решением PT Application Fi...
Ставим инновации на поток: Positive Technologies с решением PT Application Fi...
 
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligence
 
Group IB. Серегей Золотухин. "Киберразведка - новый инструмент для ТОП-менед...
Group IB. Серегей Золотухин. "Киберразведка - новый инструмент для ТОП-менед...Group IB. Серегей Золотухин. "Киберразведка - новый инструмент для ТОП-менед...
Group IB. Серегей Золотухин. "Киберразведка - новый инструмент для ТОП-менед...
 
Safety and Security of Web-applications (Document)
Safety and Security of Web-applications (Document)Safety and Security of Web-applications (Document)
Safety and Security of Web-applications (Document)
 
IBM - SIEM 2.0: Информационая безопасность с открытыми глазами
IBM - SIEM 2.0: Информационая безопасность с открытыми глазамиIBM - SIEM 2.0: Информационая безопасность с открытыми глазами
IBM - SIEM 2.0: Информационая безопасность с открытыми глазами
 

Más de jet_information_security

CТО БР ИББС 2014: актуальные изменения
CТО БР ИББС 2014: актуальные измененияCТО БР ИББС 2014: актуальные изменения
CТО БР ИББС 2014: актуальные измененияjet_information_security
 
Центр информационной безопасности сегодня и завтра
Центр информационной безопасности сегодня и завтраЦентр информационной безопасности сегодня и завтра
Центр информационной безопасности сегодня и завтраjet_information_security
 
Системы предотвращения мошенничества
Системы предотвращения мошенничестваСистемы предотвращения мошенничества
Системы предотвращения мошенничестваjet_information_security
 
Расследование инцидентов: как правильно понять, что он произошел и как об это...
Расследование инцидентов: как правильно понять, что он произошел и как об это...Расследование инцидентов: как правильно понять, что он произошел и как об это...
Расследование инцидентов: как правильно понять, что он произошел и как об это...jet_information_security
 
От SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящийОт SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящийjet_information_security
 
Если вы не видите фрода, это не значит, что его нет
Если вы не видите фрода, это не значит, что его нетЕсли вы не видите фрода, это не значит, что его нет
Если вы не видите фрода, это не значит, что его нетjet_information_security
 
SLA для ИБ аутсорсинга: что можно посчитать, а что нельзя
SLA для ИБ аутсорсинга: что можно посчитать, а что нельзяSLA для ИБ аутсорсинга: что можно посчитать, а что нельзя
SLA для ИБ аутсорсинга: что можно посчитать, а что нельзяjet_information_security
 
JSOC мы строили-строили и построили
JSOC мы строили-строили и построилиJSOC мы строили-строили и построили
JSOC мы строили-строили и построилиjet_information_security
 
JSOC - первый рабочий инструмент по аутсорсингу информационной безопасности
JSOC - первый рабочий инструмент по аутсорсингу информационной безопасностиJSOC - первый рабочий инструмент по аутсорсингу информационной безопасности
JSOC - первый рабочий инструмент по аутсорсингу информационной безопасностиjet_information_security
 
Jet inView Security: как сделать ИБ понятной
Jet inView Security: как сделать ИБ понятнойJet inView Security: как сделать ИБ понятной
Jet inView Security: как сделать ИБ понятнойjet_information_security
 
Jet inView - новое имя на рынке ИБ. Наша продуктовая линейка сегодня и завтра.
Jet inView - новое имя на рынке ИБ. Наша продуктовая линейка сегодня и завтра.Jet inView - новое имя на рынке ИБ. Наша продуктовая линейка сегодня и завтра.
Jet inView - новое имя на рынке ИБ. Наша продуктовая линейка сегодня и завтра.jet_information_security
 
10 уязвимостей в мобильном ПО
10 уязвимостей в мобильном ПО10 уязвимостей в мобильном ПО
10 уязвимостей в мобильном ПОjet_information_security
 
Jet inView – новое имя на рынке ИБ
Jet inView – новое имя на рынке ИБJet inView – новое имя на рынке ИБ
Jet inView – новое имя на рынке ИБjet_information_security
 
Выявление и предотвращение мошенничества ИТ-средствами. А.Сизов
Выявление и предотвращение мошенничества ИТ-средствами. А.СизовВыявление и предотвращение мошенничества ИТ-средствами. А.Сизов
Выявление и предотвращение мошенничества ИТ-средствами. А.Сизовjet_information_security
 

Más de jet_information_security (20)

Консалтинг и GRC 2014
Консалтинг и GRC 2014Консалтинг и GRC 2014
Консалтинг и GRC 2014
 
Targeted attacks
Targeted attacksTargeted attacks
Targeted attacks
 
CТО БР ИББС 2014: актуальные изменения
CТО БР ИББС 2014: актуальные измененияCТО БР ИББС 2014: актуальные изменения
CТО БР ИББС 2014: актуальные изменения
 
Центр информационной безопасности сегодня и завтра
Центр информационной безопасности сегодня и завтраЦентр информационной безопасности сегодня и завтра
Центр информационной безопасности сегодня и завтра
 
Системы предотвращения мошенничества
Системы предотвращения мошенничестваСистемы предотвращения мошенничества
Системы предотвращения мошенничества
 
Расследование инцидентов: как правильно понять, что он произошел и как об это...
Расследование инцидентов: как правильно понять, что он произошел и как об это...Расследование инцидентов: как правильно понять, что он произошел и как об это...
Расследование инцидентов: как правильно понять, что он произошел и как об это...
 
От SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящийОт SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящий
 
ИБ эпохи перемен
ИБ эпохи переменИБ эпохи перемен
ИБ эпохи перемен
 
Если вы не видите фрода, это не значит, что его нет
Если вы не видите фрода, это не значит, что его нетЕсли вы не видите фрода, это не значит, что его нет
Если вы не видите фрода, это не значит, что его нет
 
SLA для ИБ аутсорсинга: что можно посчитать, а что нельзя
SLA для ИБ аутсорсинга: что можно посчитать, а что нельзяSLA для ИБ аутсорсинга: что можно посчитать, а что нельзя
SLA для ИБ аутсорсинга: что можно посчитать, а что нельзя
 
JSOC мы строили-строили и построили
JSOC мы строили-строили и построилиJSOC мы строили-строили и построили
JSOC мы строили-строили и построили
 
JSOC - первый рабочий инструмент по аутсорсингу информационной безопасности
JSOC - первый рабочий инструмент по аутсорсингу информационной безопасностиJSOC - первый рабочий инструмент по аутсорсингу информационной безопасности
JSOC - первый рабочий инструмент по аутсорсингу информационной безопасности
 
Jet inView Security: как сделать ИБ понятной
Jet inView Security: как сделать ИБ понятнойJet inView Security: как сделать ИБ понятной
Jet inView Security: как сделать ИБ понятной
 
Jet inView - новое имя на рынке ИБ. Наша продуктовая линейка сегодня и завтра.
Jet inView - новое имя на рынке ИБ. Наша продуктовая линейка сегодня и завтра.Jet inView - новое имя на рынке ИБ. Наша продуктовая линейка сегодня и завтра.
Jet inView - новое имя на рынке ИБ. Наша продуктовая линейка сегодня и завтра.
 
10 уязвимостей в мобильном ПО
10 уязвимостей в мобильном ПО10 уязвимостей в мобильном ПО
10 уязвимостей в мобильном ПО
 
10 мифов о защите АСУ ТП
10 мифов о защите АСУ ТП10 мифов о защите АСУ ТП
10 мифов о защите АСУ ТП
 
Targeted (animated)
Targeted (animated)Targeted (animated)
Targeted (animated)
 
Jet inView – новое имя на рынке ИБ
Jet inView – новое имя на рынке ИБJet inView – новое имя на рынке ИБ
Jet inView – новое имя на рынке ИБ
 
Контроль коммуникаций
Контроль коммуникацийКонтроль коммуникаций
Контроль коммуникаций
 
Выявление и предотвращение мошенничества ИТ-средствами. А.Сизов
Выявление и предотвращение мошенничества ИТ-средствами. А.СизовВыявление и предотвращение мошенничества ИТ-средствами. А.Сизов
Выявление и предотвращение мошенничества ИТ-средствами. А.Сизов
 

Контроль уязвимостей в программных приложениях

  • 1. Больше чем безопасность Контроль уязвимостей в программных приложениях к.ф.-м.н. Катерина Трошина Ведущий специалист по анализу кода, ЦИБ ЗАО «Инфосистемы Джет»
  • 2. © 2013 Инфосистемы ДжетЦИБ: больше чем безопасность Особенности разработки приложений с точки зрения ИБ Дефекты в программном обеспечении: • Ошибки • Уязвимости • Недекларированные возможности
  • 3. © 2013 Инфосистемы ДжетЦИБ: больше чем безопасность Особенности разработки приложений с точки зрения ИБ Уязвимости – это ошибки разработчиков, которые потенциально могут эксплуатироваться злоумышленниками с целью получения несанкционированного доступа к управлению ПО
  • 4. © 2013 Инфосистемы ДжетЦИБ: больше чем безопасность Особенности разработки приложений с точки зрения ИБ Недекларируемые возможности – сюрпризы от разработчиков: ● секретный вход ● закладки
  • 5. © 2013 Инфосистемы ДжетЦИБ: больше чем безопасность Откуда берутся уязвимости в коде? Разработчики – это ЛЮДИ!!! КОМАНДА
  • 6. © 2013 Инфосистемы ДжетЦИБ: больше чем безопасность Особенности разработки программных приложений Разработчики - это наемные работники! ● Они уходят! ● Их МАЛО! ● Разработчику нужны комфортные условия и возможность РАЗВИВАТЬСЯ! Разработчик – НЕ эксперт по информационной безопасности
  • 7. © 2013 Инфосистемы ДжетЦИБ: больше чем безопасность Особенности разработки программных приложений Типичный представитель вашей IT-команды???
  • 8. © 2013 Инфосистемы ДжетЦИБ: больше чем безопасность Особенности разработки ПО Современное приложение сегодня: ● Многоязычное ● Мультиплатформенное ● Связи между компонентами – очень сложные! Программные приложения ● УЯЗВИМЫЕ!!!
  • 9. © 2013 Инфосистемы ДжетЦИБ: больше чем безопасность Откуда берутся уязвимости • Культура разработки – разработчик не уделяет внимания: ● Языковым конструкциям, которые использует ● Коду, который используется как сторонний ● Безопасности связей между компонентами, которые разрабатывает • Недостаток времени: ● Техническое задание разрабатывается быстро ● Программное обеспечение разработается быстро: задержка в разработке – потеря денег • Можно удовлетворить только два из трех желаний: быстро, качественно и недорого. Обычно – это быстро и недорого.
  • 10. © 2013 Инфосистемы ДжетЦИБ: больше чем безопасность Разновидности ПО • Самостоятельная разработка • In house - силами своей IT-команды • На заказ по разработанному техническому заданию • Стандартное ПО, разработанное российским разработчиком, возможно, настроенное и адаптированное под ваши особенности бизнеса • ПО, разработанное иностранным небольшим производителем ПО • ПО, разработанное иностранным большим производителем ПО
  • 11. © 2013 Инфосистемы ДжетЦИБ: больше чем безопасность Повышение качества разработки Встраивание в цикл разработки инструментальных средств, выполняющих: ● Статический анализ кода ● Динамический анализ кода ● Анализ кода времени выполнения Кодир ование Сборка Тестирование и Безопасность Запуск Система управления проектами Среда разработки Система контроля версий и сборки
  • 12. © 2013 Инфосистемы ДжетЦИБ: больше чем безопасность Повышение качества разработки Кодирование $80/дефект Сборка $240/дефект Тестирование и Безопасность $960/дефект Эксплуатация $7600/дефект Обнаружение уязвимостей Статический анализ Гибридный анализ Анализ времени выполнения
  • 13. © 2013 Инфосистемы ДжетЦИБ: больше чем безопасность ПО, разработанное под заказ Скрытое управление разработкой через ТЗ и процедуру приемки: • ТЗ должны содержать требования ИБ • Разработка ТЗ должна учитывать особенности разработки ПО • Приемка должна содержать работы по проверке не только функциональности, но и защищенности ПО
  • 14. © 2013 Инфосистемы ДжетЦИБ: больше чем безопасность ПО, разработанное сторонним разработчиком (не гигантом на рынке IT) Информация о том, какие уязвимости имеются в ПО, позволяет: • более точно настроить «умные» IT- системы защиты периметра • модифицировать бизнес процессы так, чтобы обходить эксплуатацию выявленных уязвимостей • разрабатывать проактивные меры предупреждения успешной эксплуатации известных уязвимостей
  • 15. © 2013 Инфосистемы ДжетЦИБ: больше чем безопасность ПО, разработанное гигантом на рынке IT Такому программному обеспечению можно только доверять и выстраивать защиту периметра: • Большое количество пользователей – лучшие тестировщики в том числе и по требования ИБ • Исправление выявленных уязвимостей стоит в очереди, и можно вообще не дождаться, когда уязвимость поправят
  • 16. © 2013 Инфосистемы ДжетЦИБ: больше чем безопасность Анализ ПО по требованиям ИБ Интересуйтесь, что внутри: • Оболочка может не соответствовать • содержимому • Кто предупрежден, тот вооружен! Не эксплуатируйте кота в мешке!!!
  • 17. © 2013 Инфосистемы ДжетЦИБ: больше чем безопасность Где взять безопасное ПО? Если ПО разрабатывается самостоятельно: ● Дружите с разработчиками и помогите им следовать «Правильному стилю разработки» ● Проверяйте программное обеспечение перед запуском в эксплуатацию! Если ПО стороннее: ● проверяйте программное обеспечение перед внедрением! ● проверяйте программное обеспечение по требованиям ИБ! ● выстраивайте «умную» защиту периметра, которая чувствительна именно к реальным угрозам вашего ПО…
  • 18. © 2013 Инфосистемы ДжетЦИБ: больше чем безопасность Результаты проведения анализа кода Результат: ● Информированность о том, какое ПО вы эксплуатируете -> Выстраивание «умной» защиты периметра ● Проактивное реагирование на инциденты -> снижение затрат на расследование устранение ущерба от интендантов Yes
  • 19. © 2013 Инфосистемы ДжетЦИБ: больше чем безопасность Статический анализа кода Анализ исходного кода приложения Приложение анализируется по принципу «белый ящик» • Обнаружение уязвимостей • Ранжирование уязвимостей по • приоритету устранения • Рекомендации по устранению • Описание возможностей эксплуатации
  • 20. © 2013 Инфосистемы ДжетЦИБ: больше чем безопасность Динамический анализ Анализ без исходного кода приложения Приложение анализируется по принципу «черный ящик» • Обнаружение уязвимостей • Ранжирование уязвимостей по • приоритету устранения • Рекомендации по устранению • Описание возможности эксплуатации • Демонстрация результата эксплуатации • уязвимостей
  • 21. © 2013 Инфосистемы ДжетЦИБ: больше чем безопасность Гибридный анализ Динамический и статический анализ исходного кода приложения Приложение анализируется по принципу «прозрачный ящик» • Точное обнаружение уязвимостей: нет ложных срабатываний • Связка с исходным кодом приложения ГЛУБОКИЙ И ПОЛНЫЙ АНАЛИЗ ПРИЛОЖЕНИЯ!!!
  • 22. © 2013 Инфосистемы ДжетЦИБ: больше чем безопасность Анализ времени выполнения Две технологии в одном модуле! Гибридный анализ или динамический анализ Защита приложения во время выполнения Результат: ● Эффективное обнаружение уязвимостей в наиболее эксплуатируемом коде ● Защита приложения по периметру во время эксплуатации
  • 23. © 2013 Инфосистемы ДжетЦИБ: больше чем безопасность Заключение Если вы хотите эксплуатировать качественные, защищенные программные решения: ● помогайте вашей команде разработчиков ● подходите ответственно к выбору системного программного обеспечения ● проверяйте и контролируйте ваше программное обеспечение
  • 24. © 2013 Инфосистемы ДжетЦИБ: больше чем безопасность Заключение Насколько вы уверены в своем ПО? • Мы предоставляем возможность провести пилотный проект • Пилотный проект покажет вам сколько уязвимостей содержит ваш код и как их можно эксплуатировать!
  • 25. © 2013 Инфосистемы ДжетЦИБ: больше чем безопасность Заключение Мы предоставляем полный спектр услуг по ИБ: ● обнаружение НДВ ● обнаружение уязвимостей ● разработка рекомендаций по устранению выявленных уязвимостей ● разработка рекомендаций по защите, пока разработчики устраняют выявленные уязвимости ● построение полного цикла разработки защищенного кода (SDL)
  • 26. Больше чем безопасность к.ф.-м.н. Катерина Трошина Ведущий специалист по анализу кода, ЦИБ ЗАО «Инфосистемы Джет» Спасибо за внимание Ваши вопросы 12 мая 2014 года