Компания Digital Security проводит цикл технических вебинаров по безопасности бизнес-приложений. Первый вебинар пройдёт 19 апреля 2012 года.
Мы осветим темы безопасности ДБО и мобильного банкинга, защиты систем SAP, безопасности АСУ ТП, а также систем виртуализации, таких как VMware и Citrix XenApp. Вы узнаете о брешах в безопасности, о которых вам не расскажут разработчики.
К участию в вебинарах приглашаются все желающие. Полезную для себя информацию могут получить специалисты по IT, по информационной безопасности, все, кто имеет отношение к управлению ресурсами предприятия, к промышленному и финансовому сектору.
Также совместно с порталом PCIDSS.ru проводится цикл вебинаров по особенностям внедрения стандарта безопасности платежных карт PCI DSS. Первый вебинар пройдёт 18 апреля 2012 года.
Мы расскажем о том, как соответствовать стандарту не только на бумаге, но и на практике, и как надежно взять под контроль самые сложные и деликатные элементы защиты критичных данных. Будут освещены аспекты соответствия PCI DSS, которые чаще всего вызывают затруднения у финансовых организаций, поставивших перед собой задачу обеспечения своим клиентам безопасности и конфиденциальности.
Приглашаются специалисты по IT, по информационной безопасности, сотрудники финансовых организаций и все, кому интересна тематика защиты платежных данных и соответствия стандарту PCI DSS.
Каждый вебинар проходит с 16:00 до 17:00 по московскому времени.
Темы и краткое описание вебинаров по безопасности бизнес-приложений
1. Где лежат деньги? – 19 апреля 2012 года
Ведущий – Алексей d00kie Синцов, руководитель департамента аудита ИБ
На вебинаре будет рассказано о проблемах онлайн-банкинга с точки зрения безопасности. Будут раскрыты реальные проблемы юридических лиц с обеспечением информационной безопасности рабочего места сотрудника, работающего с банк-клиентом, а также уязвимости инфраструктуры отечественных банков перед возможными угрозами. Кроме того, в докладе будет показано множество 0-day уязвимостей реальных систем онлайн-банкинга (вся информация обезличена), а также общие ошибки всех разработчиков отечественных популярных продуктов. И, конечно же, будет рассказано, к чему все это приводит с точки зрения вероятности хищения денежных средств…
Регистрация на первый вебинар
2. Поле битвы: мобильный банкинг
Ведущий – Дмитрий Евдокимов, ведущий аудитор
Идет активное развитие мобильных технологий, современные требования бизнеса таковы, что доступ к информации должен осуществлять быстро, надежно и из любой точки мира. Платежные приложения не являются исключением, и они постепенно появляются на наших мобильных устройствах (смартфонах, планшетах и т.д.). В связи с тем, что мобильные устройства пока еще слабо изучены, и каждая мобильная ОС (Android, iOS, WP7, Symbian, BlackBerry...) имеет свою специфику, мы получаем большое количество как новых уязвимостей, так и хорошо знакомых. В презентации будет рассмотрена безопасность мобильных приложений и представлены примеры реальных угроз.
3. Голая АСУ ТП: как обесточить город в один клик?
Ведущий – Алексей Тюрин, старший аудитор
Промышленная система сегодня – это сложнейший комплекс, состоящий из серверов, персональных и панельных компьютеров, PLC, сетевого и промышленного оборудования. Как и любые программно-технические продукты, данные системы имеют множественные проблемы с безопасностью. А так как в системах, кроме промышленных, также используются стандартные протоколы (TCP/IP), распространенное программное обеспечение и технологии, то риски, связанные со взломом АСУ ТП, резко повышаются.
На вебинаре будет рассказано об АСУ ТП и общих проблемах безопасности, которые связаны с такими системами. Будут рассмотрены специфические трудности, связанные с построением безопасных систем, приведены примеры атак и уязвимостей, присущих компонентам АСУ ТП.
4. Небезопасность SAP: новое и лучшее
Ведущий – Александр Поляков, технический директор
За последние 5 лет интерес к вопросу безопасности SAP вырос в геометрической прогрессии. Было сделано множество докладов о безопасности SAP на топовых международных конференциях по безопасности. Было затронуто множество тем, начиная от атак на SAP Router и WEB-приложения SAP, и заканчивая низкоуровневыми уязвимостями в ядре SAP и ABAP-коде. На данный момент SAP выпустила более 2000 уведомлений о закрытии уязвимостей в своих продуктах, что, с одной стороны, крайне много, а с другой – только начало, так как огромные области ещё не изучены.
Итак, какие же уязвимости есть в SAP-системах помимо уже приевшихся
XSS, SQL-инъекций и переполнений буфера? Вебинар будет посвящен
десятке наиболее интересных уязвимостей и векторов атак на SAP-системы – от проблем с шифрованием до обходов аутентификации и от забавных ошибок до сложных векторов атак.
5. Атака на пользователей Citrix XenApp
Ведущие – Алексей d00kie Синцов, руководитель департамента аудита ИБ; Алексей Тюрин, старший аудитор
Citrix XenApp – распространенное средство для виртуализации и доставки приложений для Windows-систем. Наряду со всеми преимуществами и достоинствами технологий по доставке приложения, это рождает и ряд специфических проблем. В вебинаре мы рассмотрим данные проблемы, посмотрим, как злоумышленники могут обойти систему безопасности и какие перспективы откроются перед ними после этого. Также на вебинаре мы обсудим распространенные ошибки в конфигурировании и рекомендации по повышению безопасности XenApp.
6. Взлом VMware одним запросом
Ведущие – Алексей d00kie Синцов, руководитель департамента аудита ИБ; Александр Миноженко, ведущий аудитор
Виртуализация уже стала неотъемлемой частью большинства информационных систем. Теперь многие корпоративные сети построены на централизованной виртуализации. Но это существенно повышает критичность ее основополагающих элементов.
В данном вебинаре будет рассказано о том, какие проблемы с безопасностью возникают при построении систем на централизованной виртуализации. На примере VMware будет показано, как незначительные уязвимости могут привести к компрометации всех систем организации. Будут приведены рекомендации по построению защищенных систем.
Краткий обзор содержания вебинаров по PCI DSS
Ведущий вебинаров – руководитель департамента аудита банков и платежных систем Павел roamer Фёдоров
1. Журналы регистрации событий – 18 апреля 2012 года
Всё, происходящее в скоупе, должно быть зафиксировано, отмечено в журналах, содержать всю информацию… быть доступным при первой необходимости для тех, кто расследует инциденты, и быть недоступным для тех, кто может нарушить работу системы.
Как правильно настраивать журналы регистрации событий? Как их хранить? Кому нужен доступ?
Регистрация на первый вебинар
При регистрации необходимо указывать корпоративную электронную почту.
2. Шифрование
В случаях, когда хранить номера карт целиком необходимо, шифрованию как методу защиты почти нет альтернативы. Но какое шифрование эффективно? Какие цели оно преследует? Как определить, достаточно ли безопасно использование тех или иных методов шифрования?
А главное: что делать в тех случаях, когда шифровать данные невозможно?
3. Стандарты конфигурации
Согласно стандарту PCI DSS, все системные компоненты – включая ПО – должны быть настроены согласно «стандартам конфигурации». Какие требования предъявляются к этому документу и как его рекомендуется заполнять – тема очередного вебинара.
4. Парольные политики
Настройка парольных политик не так уж сложна, хотя нередко хитрости скрываются и в достаточно простых местах.
Но что делать, если оборудование специфическое и не все парольные политики легко воплотить техническими средствами? А если есть ряд систем, в которых настройки не так очевидны? Можно ли обойтись без применения компенсирующих мер?
5. Контроль целостности
Информация о целостности системных файлов и журналов, безусловно, важна. Однако как сделать контроль целостности действительно эффективным – не всегда ясно сразу.
А некоторые системы и вовсе не позволяют проводить мониторинг своих файловых систем – можно ли в таких случаях соблюсти все требования стандарта PCI DSS?
Автор: oprisko
