Immunity Inc на Рускрипто. Тестирование на проникновение глазами профи

В рамках секции «Интернет и информационная безопасность» пройдет выступление Роки Вита (Rocky Witt) из компании Immunity, на котором он поделится своим опытом в вопросах проведения тестов на проникновение. Компания хорошо известна на рынке своими исследованиями в области ИБ. Сотрудники Immunity неоднократно выступали на международных конференциях, таких как Defcon, BlackHat.



В этом году секция «Интернет и информационная безопасность» конференции Рускрипто пройдет в нестандартном формате. Заседание будет разделено на две тематические группы: «Тестирование на проникновение» и «Безопасность Web-приложений».

В рамках подсекции «Тестирование на проникновение» будут рассмотрены различные аспекты оценки защищенности в наиболее экстремальном варианте – в виде санкционированной попытки взлома систем заказчика, известной как Penetration Testing или Pentest.

За годы существования вокруг этого подхода к анализу безопасности сложилось целая мифология. Из публикации в публикацию кочует фраза известного эксперта Брюса Шнайера: «Я сохраню вам деньги, проведя бесплатный pentest: Вы уязвимы!». В чем суть тестирования на проникновение? Как отличить "правильный" pentest от упражнений «скрипткиди»? Как донести до заказчика результаты теста, и каким образом использовать их наиболее эффективно? Тестирование на проникновение и Compliance Management – антагонисты или звенья одной цепи? Эти, и другие вопросы оценки будут рассмотрены в докладе «Бизнес против пентестов или пентесты для бизнеса или пентесты как бизнес?» руководителя отдела консалтинга и аудита компании Positive Technologies Сергея Гордейчика.

Вряд ли кто-то будет отрицать важность той роли, которую играют СУБД в современных информационных системах. Но актуальность СУБД играет злую шутку с их защищенностью. Чем важнее система, тем сложнее поддерживать адекватный уровень ее безопасности. Прежде всего, из-за старого завета не вмешиваться в рабочую систему. Актуальные вопросы анализа безопасности СУБД Oracle будут рассмотрены в ходе выступления аудитора Digital Security Александра Полякова «Проблемы безопасности СУБД Oracle. Последние тенденции».

Специальный гость конференции, Роки Вита (Rocky Witt) из компании Immunity, поделится своим опытом в вопросах проведения тестов на проникновение в докладе «Penetration testing using Сanvas framework». Компания хорошо известна на рынке своими исследованиями в области ИБ. Сотрудники Immunity неоднократно выступали на международных конференциях, таких как Defcon, BlackHat. Доклад будет основан на реальных примерах использования Canvas Frameworks в ходе тестов на проникновение.

Продолжит тему автоматизации тестов на проникновение Гуркин Юрий из компании GLEG. Его доклад «Взгляд на публично доступные уязвимости и эксплойты с точки зрения взломщика» посвящен анализу применимости общедоступных экплойтов и утилит для проведения работ по тестированию на проникновение.

В рамках подсекции «Безопасности Web-приложений» прозвучат доклады Сергея Рыжикова (1-С Бирикс), Константин Кириллов (АИСТ/Netcat) и Александра Матросова (Яндекс). Каждый из них поделится своими наработками в вопросах обеспечения безопасности Web-приложений, причем многие темы пересекаются с вопросами, поднятыми в прошлом году. Так, например, по данным службы техподдержки CMS Netcat, наиболее распространенной причиной взлома сайтов является заражение вирусом компьютера, с которого осуществляется управление системой. Как бы в ответ на этот тезис на конференции прозвучит доклад Александра Матросова «Вирус подмены страниц: изменение поведения веб-сервисов без ведома их создателей».

Источник

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Криптозащиту данных россиян будут насаждать централизованно

В России с инициативы Минцифры и ФСБ создадут Национальный технологический центр цифровой криптографии, который должен заработать в 2024 году. В Москве перед Новым годом под него зарегистрировали юрлицо — АНО «НТЦ ЦК».

Согласно сообщению Минцифры, основной целью новой некоммерческой организации является внедрение и популяризация использования криптографических методов защиты. С их помощью государство сможет обеспечить информационную безопасность россиян, в частности, защитить персональные данные.

Перед АНО «НТЦ ЦК» также ставят другие задачи:

  • развитие здоровой конкуренции в сфере производства средств криптозащиты;
  • производство компонентов средств защиты ПДн;
  • ведение реестра производителей средств криптозащиты;
  • практическое обучение ИБ-специалистов;
  • определение стандартов в области криптографии и защиты информации.

К реализации проекта привлечены ведущие игроки отечественного рынка криптозащиты — «Информационные технологии и коммуникационные системы», «КРИПТО-ПРО», «Код Безопасности».

«Мы стремимся к тому, чтобы производители средств защиты были мотивированы создавать более качественные продукты, а будущие ИБ-специалисты могли учиться на программах, ориентированных не только на теорию, но и на практику», — заявил замглавы Минцифры Александр Шойтов.

Два года назад Минцифры ратовало за запрет защищенных протоколов TLS 1.3, ESNI, DoH, DoT. По мнению Министерства, их использование мешает блокировать запрещенную информацию в рунете, и такие сайты следует карать как нарушителей. В Китае, к слову, TLS 1.3 и его расширение, ESNI, начали блокировать незадолго до публикации законопроекта Минцифры — в августе 2020 года.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru