Компания Digital Security проводит цикл технических вебинаров по безопасности бизнес-приложений. Мы осветим темы безопасности ДБО и мобильного банкинга, защиты систем SAP, безопасности АСУ ТП, а также систем виртуализации, таких как VMware и Citrix XenApp. Вы узнаете о брешах в безопасности, о которых вам не расскажут разработчики.
К участию в вебинарах приглашаются все желающие. Полезную для себя информацию могут получить специалисты по IT, по информационной безопасности, все, кто имеет отношение к управлению ресурсами предприятия, к промышленному и финансовому сектору.
Ведущий – Алексей d00kie Синцов, ведущий инженер по безопасности Nokia
На вебинаре будет рассказано о проблемах онлайн-банкинга с точки зрения безопасности. Будут раскрыты реальные проблемы юридических лиц с обеспечением информационной безопасности рабочего места сотрудника, работающего с банк-клиентом, а также уязвимости инфраструктуры отечественных банков перед возможными угрозами. Кроме того, в докладе будет показано множество 0-day уязвимостей реальных систем онлайн-банкинга (вся информация обезличена), а также общие ошибки всех разработчиков отечественных популярных продуктов. И, конечно же, будет рассказано, к чему все это приводит с точки зрения вероятности хищения денежных средств…
Ведущий – Дмитрий d1g1 Евдокимов, ведущий аудитор
Идет активное развитие мобильных технологий, современные требования бизнеса таковы, что доступ к информации должен осуществлять быстро, надежно и из любой точки мира. Платежные приложения не являются исключением, и они постепенно появляются на наших мобильных устройствах (смартфонах, планшетах и т.д.). В связи с тем, что мобильные устройства пока еще слабо изучены, и каждая мобильная ОС (Android, iOS, WP7, Symbian, BlackBerry...) имеет свою специфику, мы получаем большое количество как новых уязвимостей, так и хорошо знакомых. В презентации будет рассмотрена безопасность мобильных приложений и представлены примеры реальных угроз.
Ведущий – Алексей GrrrnDog Тюрин, руководитель департамента аудита ИБ
Промышленная система сегодня – это сложнейший комплекс, состоящий из серверов, персональных и панельных компьютеров, PLC, сетевого и промышленного оборудования. Как и любые программно-технические продукты, данные системы имеют множественные проблемы с безопасностью. А так как в системах, кроме промышленных, также используются стандартные протоколы (TCP/IP), распространенное программное обеспечение и технологии, то риски, связанные со взломом АСУ ТП, резко повышаются.
На вебинаре будет рассказано об АСУ ТП и общих проблемах безопасности, которые связаны с такими системами. Будут рассмотрены специфические трудности, связанные с построением безопасных систем, приведены примеры атак и уязвимостей, присущих компонентам АСУ ТП.
Ведущий – Александр AlexandrPolyakov Поляков, технический директор
За последние 5 лет интерес к вопросу безопасности SAP вырос в геометрической прогрессии. Было сделано множество докладов о безопасности SAP на топовых международных конференциях по безопасности. Было затронуто множество тем, начиная от атак на SAP Router и WEB-приложения SAP, и заканчивая низкоуровневыми уязвимостями в ядре SAP и ABAP-коде. На данный момент SAP выпустила более 2000 уведомлений о закрытии уязвимостей в своих продуктах, что, с одной стороны, крайне много, а с другой – только начало, так как огромные области ещё не изучены.
Итак, какие же уязвимости есть в SAP-системах помимо уже приевшихся
XSS, SQL-инъекций и переполнений буфера? Вебинар будет посвящен
десятке наиболее интересных уязвимостей и векторов атак на SAP-системы – от проблем с шифрованием до обходов аутентификации и от забавных ошибок до сложных векторов атак.
Ведущий – Алексей GrrrnDog Тюрин, руководитель департамента аудита ИБ Digital Security
Citrix XenApp – распространенное средство для виртуализации и доставки приложений для Windows-систем. Наряду со всеми преимуществами и достоинствами технологий по доставке приложения, это рождает и ряд специфических проблем. В вебинаре мы рассмотрим данные проблемы, посмотрим, как злоумышленники могут обойти систему безопасности и какие перспективы откроются перед ними после этого. Также на вебинаре мы обсудим распространенные ошибки в конфигурировании и рекомендации по повышению безопасности XenApp.
Ведущий – Александр jug Миноженко, ведущий аудитор Digital Security
Виртуализация уже стала неотъемлемой частью большинства информационных систем. Теперь многие корпоративные сети построены на централизованной виртуализации. Но это существенно повышает критичность ее основополагающих элементов.
В данном вебинаре будет рассказано о том, какие проблемы с безопасностью возникают при построении систем на централизованной виртуализации. На примере VMware будет показано, как незначительные уязвимости могут привести к компрометации всех систем организации. Будут приведены рекомендации по построению защищенных систем.
Регистрация по ссылке
Всё, происходящее в скоупе, должно быть зафиксировано, отмечено в журналах, содержать всю информацию… быть доступным при первой необходимости для тех, кто расследует инциденты, и быть недоступным для тех, кто может нарушить работу системы.
Как правильно настраивать журналы регистрации событий? Как их хранить? Кому нужен доступ?
В случаях, когда хранить номера карт целиком необходимо, шифрованию как методу защиты почти нет альтернативы. Но какое шифрование эффективно? Какие цели оно преследует? Как определить, достаточно ли безопасно использование тех или иных методов шифрования?
А главное: что делать в тех случаях, когда шифровать данные невозможно?
Настройка парольных политик не так уж сложна, хотя нередко хитрости скрываются и в достаточно простых местах.
Но что делать, если оборудование специфическое и не все парольные политики легко воплотить техническими средствами? А если есть ряд систем, в которых настройки не так очевидны? Можно ли обойтись без применения компенсирующих мер?
К участию в вебинарах приглашаются все желающие. Полезную для себя информацию могут получить специалисты по IT, по информационной безопасности, все, кто имеет отношение к управлению ресурсами предприятия, к промышленному и финансовому сектору.
Темы и краткое описание вебинаров по безопасности бизнес-приложений
1. Где лежат деньги? – 19 апреля 2012 года
Ведущий – Алексей d00kie Синцов, ведущий инженер по безопасности Nokia
На вебинаре будет рассказано о проблемах онлайн-банкинга с точки зрения безопасности. Будут раскрыты реальные проблемы юридических лиц с обеспечением информационной безопасности рабочего места сотрудника, работающего с банк-клиентом, а также уязвимости инфраструктуры отечественных банков перед возможными угрозами. Кроме того, в докладе будет показано множество 0-day уязвимостей реальных систем онлайн-банкинга (вся информация обезличена), а также общие ошибки всех разработчиков отечественных популярных продуктов. И, конечно же, будет рассказано, к чему все это приводит с точки зрения вероятности хищения денежных средств…
2. Поле битвы: мобильный банкинг – 15 мая 2012 года
Ведущий – Дмитрий d1g1 Евдокимов, ведущий аудитор
Идет активное развитие мобильных технологий, современные требования бизнеса таковы, что доступ к информации должен осуществлять быстро, надежно и из любой точки мира. Платежные приложения не являются исключением, и они постепенно появляются на наших мобильных устройствах (смартфонах, планшетах и т.д.). В связи с тем, что мобильные устройства пока еще слабо изучены, и каждая мобильная ОС (Android, iOS, WP7, Symbian, BlackBerry...) имеет свою специфику, мы получаем большое количество как новых уязвимостей, так и хорошо знакомых. В презентации будет рассмотрена безопасность мобильных приложений и представлены примеры реальных угроз.
3. Голая АСУ ТП: как обесточить город в один клик? — 26 июня 2012 года
Ведущий – Алексей GrrrnDog Тюрин, руководитель департамента аудита ИБ
Промышленная система сегодня – это сложнейший комплекс, состоящий из серверов, персональных и панельных компьютеров, PLC, сетевого и промышленного оборудования. Как и любые программно-технические продукты, данные системы имеют множественные проблемы с безопасностью. А так как в системах, кроме промышленных, также используются стандартные протоколы (TCP/IP), распространенное программное обеспечение и технологии, то риски, связанные со взломом АСУ ТП, резко повышаются.
На вебинаре будет рассказано об АСУ ТП и общих проблемах безопасности, которые связаны с такими системами. Будут рассмотрены специфические трудности, связанные с построением безопасных систем, приведены примеры атак и уязвимостей, присущих компонентам АСУ ТП.
4. Небезопасность SAP: новое и лучшее — 20 сентября 2012 года
Ведущий – Александр AlexandrPolyakov Поляков, технический директор
За последние 5 лет интерес к вопросу безопасности SAP вырос в геометрической прогрессии. Было сделано множество докладов о безопасности SAP на топовых международных конференциях по безопасности. Было затронуто множество тем, начиная от атак на SAP Router и WEB-приложения SAP, и заканчивая низкоуровневыми уязвимостями в ядре SAP и ABAP-коде. На данный момент SAP выпустила более 2000 уведомлений о закрытии уязвимостей в своих продуктах, что, с одной стороны, крайне много, а с другой – только начало, так как огромные области ещё не изучены.
Итак, какие же уязвимости есть в SAP-системах помимо уже приевшихся
XSS, SQL-инъекций и переполнений буфера? Вебинар будет посвящен
десятке наиболее интересных уязвимостей и векторов атак на SAP-системы – от проблем с шифрованием до обходов аутентификации и от забавных ошибок до сложных векторов атак.
5. Атака на пользователей Citrix XenApp — 24 октября 2012 года
Ведущий – Алексей GrrrnDog Тюрин, руководитель департамента аудита ИБ Digital Security
Citrix XenApp – распространенное средство для виртуализации и доставки приложений для Windows-систем. Наряду со всеми преимуществами и достоинствами технологий по доставке приложения, это рождает и ряд специфических проблем. В вебинаре мы рассмотрим данные проблемы, посмотрим, как злоумышленники могут обойти систему безопасности и какие перспективы откроются перед ними после этого. Также на вебинаре мы обсудим распространенные ошибки в конфигурировании и рекомендации по повышению безопасности XenApp.
6. Взлом VMware одним запросом — 12 декабря 2012 года в 16:00 по московскому времени
Ведущий – Александр jug Миноженко, ведущий аудитор Digital Security
Виртуализация уже стала неотъемлемой частью большинства информационных систем. Теперь многие корпоративные сети построены на централизованной виртуализации. Но это существенно повышает критичность ее основополагающих элементов.
В данном вебинаре будет рассказано о том, какие проблемы с безопасностью возникают при построении систем на централизованной виртуализации. На примере VMware будет показано, как незначительные уязвимости могут привести к компрометации всех систем организации. Будут приведены рекомендации по построению защищенных систем.
Регистрация по ссылке
1. Журналы регистрации событий – 18 мая 2012 года
Всё, происходящее в скоупе, должно быть зафиксировано, отмечено в журналах, содержать всю информацию… быть доступным при первой необходимости для тех, кто расследует инциденты, и быть недоступным для тех, кто может нарушить работу системы.
Как правильно настраивать журналы регистрации событий? Как их хранить? Кому нужен доступ?
2. Шифрование — 21 июня 2012 года
В случаях, когда хранить номера карт целиком необходимо, шифрованию как методу защиты почти нет альтернативы. Но какое шифрование эффективно? Какие цели оно преследует? Как определить, достаточно ли безопасно использование тех или иных методов шифрования?
А главное: что делать в тех случаях, когда шифровать данные невозможно?
4. Парольные политики — 6 ноября 2012 года
Настройка парольных политик не так уж сложна, хотя нередко хитрости скрываются и в достаточно простых местах.
Но что делать, если оборудование специфическое и не все парольные политики легко воплотить техническими средствами? А если есть ряд систем, в которых настройки не так очевидны? Можно ли обойтись без применения компенсирующих мер?