SlideShare uma empresa Scribd logo

24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'

Positive Hack Days
Positive Hack Days
1 de 15
Жизненный цикл банковских приложений Дмитрий Кузнецов Заместитель технического директора Positive Technologies Positive Hack Days III
Безопасность – это уверенность ― “Утверждаете, что ваша система защищена? ― Убедите меня, что вы…: • …реализовали адекватные механизмы защиты • …достоверно знаете, что эти механизмы защиты действительно работают • …контролируете процесс разработки и эксплуатации”
СТО БР, PA DSS и все-все-все ― Есть обширная практика решения каждой отдельной задачи ― Готовые решения разнородны и не взаимосвязаны ― Нужно придумать систему, их объединяющую
Приоритет: угрозы
Приложение и окружение Приложение СУБДОС Веб Клиент Виртуализация Централизованные ФБ Периметр Автоматизированная системаСреда Сеть Мобильный клиент
Адекватность механизмов безопасности ― “Должна осуществляться аутентификация пользователя по паролю”– адекватно? ― Способы обхода аутентификации • Брутфорс • Восстановление пароля по хеш-значению • Интерфейс восстановления забытых паролей • Перехват/фиксация сессии • CSRF • … ― Каждый способ атаки порождает свои требования к механизмам защиты
Как формируются требования СТО БР “Должна обеспечиваться двусторонняя аутентификация участников обмена электронными платежными сообщениями” Конечные требования - Проверка сложности пароля при его задании пользователем - Исключение словарных паролей - История паролей - … Промежуточные требования - Аутентификация клиента по паролю - Обеспечение сложности пароля - …
Оценка выполнения требований ― Мнения • “Должны проводиться внешнее сканирование и тесты на проникновение” • “Должен проводиться анализ исходного кода приложений” ― Способы анализа защищенности разнообразны • Сканирование в режиме черного ящика • Идентификация известных уязвимостей • Периметровый тест на проникновение • Внутренний тест на проникновение • Выявление типичных ошибок программирования • …
Оценка защищенности в деталях Нужно, как минимум, обозначить состав работ по каждому виду оценки защищенности
Жизненный цикл ПИБ приложения Принятие решения о разработке Методическое обеспечение разработки Постановка задачи на разработку Оценка угроз Выбор мер защиты Определение общей архитектуры ПИБ Разработка функций безопасности Функциональное тестирование Проектирование функций безопасности Развертывание системы Приемочные испытания Оценка защищенности Эксплуатация Доработка Снятие с эксплуатации
Самооценка ― Реалистичные показатели для оценки жизненного цикла • Наличие и полнота документации жизненного цикла • Периодичность оценки защищенности • Полнота фактического состава работ по оценке защищенности • Подтвержденное устранение выявленных недостатков ― Защищенность – это не отсутствие недостатков в защите, а уверенность в том, что они планомерно выявляются и устраняются
Ничего нового ― “Парадигма доверия”, декомпозиция – ISO 15408 ― Промежуточные требования – PA DSS, OWASP, NIST SP 800 ― Конечные требования – NIST Checklist Program for IT Products, CIS ― Организация жизненного цикла – SDLC, NIST SP 800 ― Состав работ по оценке защищенности – OSSTMM, OWASP
Спасибо за внимание Дмитрий Кузнецов DKuznetsov@ptsecurity.ru Заместитель технического директора
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'

Recomendados

Penetration testing
Penetration testingPenetration testing
Penetration testingTraining center "Echelon"
 
PCI DSS - основные заблуждения при проведении тестов на проникновение
PCI DSS - основные заблуждения при проведении тестов на проникновениеPCI DSS - основные заблуждения при проведении тестов на проникновение
PCI DSS - основные заблуждения при проведении тестов на проникновениеDigital Security
 
Безопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОБезопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОAlex Babenko
 
Umurashka codeib-presentation-v2
Umurashka codeib-presentation-v2Umurashka codeib-presentation-v2
Umurashka codeib-presentation-v2Uladzislau Murashka
 
Что такое пентест
Что такое пентестЧто такое пентест
Что такое пентестDmitry Evteev
 
Abashev
Abashev Abashev
Abashev Andrew Paymushkin
 
Тесты на проникновение как основа реальной оценки состояния ИБ в организации
Тесты на проникновение как основа реальной оценки состояния ИБ в организацииТесты на проникновение как основа реальной оценки состояния ИБ в организации
Тесты на проникновение как основа реальной оценки состояния ИБ в организацииLETA IT-company
 
Разработка ПО в рамках PCI DSS
Разработка ПО в рамках PCI DSSРазработка ПО в рамках PCI DSS
Разработка ПО в рамках PCI DSSAlex Babenko
 

Recomendados

Penetration testing
Penetration testingPenetration testing
Penetration testingTraining center "Echelon"
 
PCI DSS - основные заблуждения при проведении тестов на проникновение
PCI DSS - основные заблуждения при проведении тестов на проникновениеPCI DSS - основные заблуждения при проведении тестов на проникновение
PCI DSS - основные заблуждения при проведении тестов на проникновениеDigital Security
 
Безопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОБезопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОAlex Babenko
 
Umurashka codeib-presentation-v2
Umurashka codeib-presentation-v2Umurashka codeib-presentation-v2
Umurashka codeib-presentation-v2Uladzislau Murashka
 
Что такое пентест
Что такое пентестЧто такое пентест
Что такое пентестDmitry Evteev
 
Abashev
Abashev Abashev
Abashev Andrew Paymushkin
 
Тесты на проникновение как основа реальной оценки состояния ИБ в организации
Тесты на проникновение как основа реальной оценки состояния ИБ в организацииТесты на проникновение как основа реальной оценки состояния ИБ в организации
Тесты на проникновение как основа реальной оценки состояния ИБ в организацииLETA IT-company
 
Разработка ПО в рамках PCI DSS
Разработка ПО в рамках PCI DSSРазработка ПО в рамках PCI DSS
Разработка ПО в рамках PCI DSSAlex Babenko
 
этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)Teymur Kheirkhabarov
 
Внутреннее качество в процедурах информационной безопасности
Внутреннее качество в процедурах информационной безопасностиВнутреннее качество в процедурах информационной безопасности
Внутреннее качество в процедурах информационной безопасностиAlex Babenko
 
Статистика по результатам тестирований на проникновение и анализа защищенност...
Статистика по результатам тестирований на проникновение и анализа защищенност...Статистика по результатам тестирований на проникновение и анализа защищенност...
Статистика по результатам тестирований на проникновение и анализа защищенност...Dmitry Evteev
 
Эффективные и проблемные SOC-процессы
Эффективные и проблемные SOC-процессыЭффективные и проблемные SOC-процессы
Эффективные и проблемные SOC-процессыPositive Hack Days
 
О PCI P2PE в общих чертах
О PCI P2PE в общих чертахО PCI P2PE в общих чертах
О PCI P2PE в общих чертахAlex Babenko
 
тест на проникновение
тест на проникновение тест на проникновение
тест на проникновение a_a_a
 
Особенности проведения тестов на проникновение в организациях банковской сферы
Особенности проведения тестов на проникновение в организациях банковской сферыОсобенности проведения тестов на проникновение в организациях банковской сферы
Особенности проведения тестов на проникновение в организациях банковской сферыDigital Security
 
Security testing presentation
Security testing presentationSecurity testing presentation
Security testing presentationUladzislau Murashka
 
Кто такой специалист по иб
Кто такой специалист по ибКто такой специалист по иб
Кто такой специалист по ибTeymur Kheirkhabarov
 
PT Penetration Testing Report (sample)
PT Penetration Testing Report (sample)PT Penetration Testing Report (sample)
PT Penetration Testing Report (sample)Dmitry Evteev
 
Microsoft. Андрей Иванов. "Облачные сервисы – головная боль для служб безопас...
Microsoft. Андрей Иванов. "Облачные сервисы – головная боль для служб безопас...Microsoft. Андрей Иванов. "Облачные сервисы – головная боль для служб безопас...
Microsoft. Андрей Иванов. "Облачные сервисы – головная боль для служб безопас...Expolink
 
Тестирование на проникновение
Тестирование на проникновениеТестирование на проникновение
Тестирование на проникновениеУчебный центр "Эшелон"
 
Контроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложенияхКонтроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложенияхjet_information_security
 
Secure development
Secure developmentSecure development
Secure developmentIhor Uzhvenko
 
Obespechenie bezopasnosti i nepreryvnosti raboty elektronnyh platejnyh sistem
Obespechenie bezopasnosti i nepreryvnosti raboty elektronnyh platejnyh sistemObespechenie bezopasnosti i nepreryvnosti raboty elektronnyh platejnyh sistem
Obespechenie bezopasnosti i nepreryvnosti raboty elektronnyh platejnyh sistemE-Money News
 
Pentest Report Sample
Pentest Report SamplePentest Report Sample
Pentest Report SampleTraining center "Echelon"
 
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...Expolink
 
«Android Activity Hijacking», Евгений Блашко, Юрий Шабалин (АО «Сбербанк-Тех...
«Android Activity Hijacking», Евгений Блашко, Юрий Шабалин (АО «Сбербанк-Тех...«Android Activity Hijacking», Евгений Блашко, Юрий Шабалин (АО «Сбербанк-Тех...
«Android Activity Hijacking», Евгений Блашко, Юрий Шабалин (АО «Сбербанк-Тех...OWASP Russia
 
Security Meetup 22 октября. «Мобилки, деньги, два фактора». Дмитрий Евдокимо...
Security Meetup 22 октября. «Мобилки, деньги, два фактора». Дмитрий Евдокимо...Security Meetup 22 октября. «Мобилки, деньги, два фактора». Дмитрий Евдокимо...
Security Meetup 22 октября. «Мобилки, деньги, два фактора». Дмитрий Евдокимо...Mail.ru Group
 
Xtreme Green Presentation
Xtreme Green Presentation Xtreme Green Presentation
Xtreme Green Presentation Jarvin Williams
 
E14 ll02
E14 ll02E14 ll02
E14 ll02Diogo Da Silva
 
Nur natasya liyana 0320851 project 2 structure
Nur natasya liyana 0320851 project 2 structureNur natasya liyana 0320851 project 2 structure
Nur natasya liyana 0320851 project 2 structureNur Liyana
 

Mais conteúdo relacionado

Mais procurados

этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)Teymur Kheirkhabarov
 
Внутреннее качество в процедурах информационной безопасности
Внутреннее качество в процедурах информационной безопасностиВнутреннее качество в процедурах информационной безопасности
Внутреннее качество в процедурах информационной безопасностиAlex Babenko
 
Статистика по результатам тестирований на проникновение и анализа защищенност...
Статистика по результатам тестирований на проникновение и анализа защищенност...Статистика по результатам тестирований на проникновение и анализа защищенност...
Статистика по результатам тестирований на проникновение и анализа защищенност...Dmitry Evteev
 
Эффективные и проблемные SOC-процессы
Эффективные и проблемные SOC-процессыЭффективные и проблемные SOC-процессы
Эффективные и проблемные SOC-процессыPositive Hack Days
 
О PCI P2PE в общих чертах
О PCI P2PE в общих чертахО PCI P2PE в общих чертах
О PCI P2PE в общих чертахAlex Babenko
 
тест на проникновение
тест на проникновение тест на проникновение
тест на проникновение a_a_a
 
Особенности проведения тестов на проникновение в организациях банковской сферы
Особенности проведения тестов на проникновение в организациях банковской сферыОсобенности проведения тестов на проникновение в организациях банковской сферы
Особенности проведения тестов на проникновение в организациях банковской сферыDigital Security
 
Кто такой специалист по иб
Кто такой специалист по ибКто такой специалист по иб
Кто такой специалист по ибTeymur Kheirkhabarov
 
PT Penetration Testing Report (sample)
PT Penetration Testing Report (sample)PT Penetration Testing Report (sample)
PT Penetration Testing Report (sample)Dmitry Evteev
 
Microsoft. Андрей Иванов. "Облачные сервисы – головная боль для служб безопас...
Microsoft. Андрей Иванов. "Облачные сервисы – головная боль для служб безопас...Microsoft. Андрей Иванов. "Облачные сервисы – головная боль для служб безопас...
Microsoft. Андрей Иванов. "Облачные сервисы – головная боль для служб безопас...Expolink
 
Контроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложенияхКонтроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложенияхjet_information_security
 
Obespechenie bezopasnosti i nepreryvnosti raboty elektronnyh platejnyh sistem
Obespechenie bezopasnosti i nepreryvnosti raboty elektronnyh platejnyh sistemObespechenie bezopasnosti i nepreryvnosti raboty elektronnyh platejnyh sistem
Obespechenie bezopasnosti i nepreryvnosti raboty elektronnyh platejnyh sistemE-Money News
 
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...Expolink
 
«Android Activity Hijacking», Евгений Блашко, Юрий Шабалин (АО «Сбербанк-Тех...
«Android Activity Hijacking», Евгений Блашко, Юрий Шабалин (АО «Сбербанк-Тех...«Android Activity Hijacking», Евгений Блашко, Юрий Шабалин (АО «Сбербанк-Тех...
«Android Activity Hijacking», Евгений Блашко, Юрий Шабалин (АО «Сбербанк-Тех...OWASP Russia
 
Security Meetup 22 октября. «Мобилки, деньги, два фактора». Дмитрий Евдокимо...
Security Meetup 22 октября. «Мобилки, деньги, два фактора». Дмитрий Евдокимо...Security Meetup 22 октября. «Мобилки, деньги, два фактора». Дмитрий Евдокимо...
Security Meetup 22 октября. «Мобилки, деньги, два фактора». Дмитрий Евдокимо...Mail.ru Group
 

Mais procurados (19)

этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)
 
Внутреннее качество в процедурах информационной безопасности
Внутреннее качество в процедурах информационной безопасностиВнутреннее качество в процедурах информационной безопасности
Внутреннее качество в процедурах информационной безопасности
 
Статистика по результатам тестирований на проникновение и анализа защищенност...
Статистика по результатам тестирований на проникновение и анализа защищенност...Статистика по результатам тестирований на проникновение и анализа защищенност...
Статистика по результатам тестирований на проникновение и анализа защищенност...
 
Эффективные и проблемные SOC-процессы
Эффективные и проблемные SOC-процессыЭффективные и проблемные SOC-процессы
Эффективные и проблемные SOC-процессы
 
О PCI P2PE в общих чертах
О PCI P2PE в общих чертахО PCI P2PE в общих чертах
О PCI P2PE в общих чертах
 
тест на проникновение
тест на проникновение тест на проникновение
тест на проникновение
 
Особенности проведения тестов на проникновение в организациях банковской сферы
Особенности проведения тестов на проникновение в организациях банковской сферыОсобенности проведения тестов на проникновение в организациях банковской сферы
Особенности проведения тестов на проникновение в организациях банковской сферы
 
Security testing presentation
Security testing presentationSecurity testing presentation
Security testing presentation
 
Кто такой специалист по иб
Кто такой специалист по ибКто такой специалист по иб
Кто такой специалист по иб
 
PT Penetration Testing Report (sample)
PT Penetration Testing Report (sample)PT Penetration Testing Report (sample)
PT Penetration Testing Report (sample)
 
Microsoft. Андрей Иванов. "Облачные сервисы – головная боль для служб безопас...
Microsoft. Андрей Иванов. "Облачные сервисы – головная боль для служб безопас...Microsoft. Андрей Иванов. "Облачные сервисы – головная боль для служб безопас...
Microsoft. Андрей Иванов. "Облачные сервисы – головная боль для служб безопас...
 
Тестирование на проникновение
Тестирование на проникновениеТестирование на проникновение
Тестирование на проникновение
 
Контроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложенияхКонтроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложениях
 
Secure development
Secure developmentSecure development
Secure development
 
Obespechenie bezopasnosti i nepreryvnosti raboty elektronnyh platejnyh sistem
Obespechenie bezopasnosti i nepreryvnosti raboty elektronnyh platejnyh sistemObespechenie bezopasnosti i nepreryvnosti raboty elektronnyh platejnyh sistem
Obespechenie bezopasnosti i nepreryvnosti raboty elektronnyh platejnyh sistem
 
Pentest Report Sample
Pentest Report SamplePentest Report Sample
Pentest Report Sample
 
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
 
«Android Activity Hijacking», Евгений Блашко, Юрий Шабалин (АО «Сбербанк-Тех...
«Android Activity Hijacking», Евгений Блашко, Юрий Шабалин (АО «Сбербанк-Тех...«Android Activity Hijacking», Евгений Блашко, Юрий Шабалин (АО «Сбербанк-Тех...
«Android Activity Hijacking», Евгений Блашко, Юрий Шабалин (АО «Сбербанк-Тех...
 
Security Meetup 22 октября. «Мобилки, деньги, два фактора». Дмитрий Евдокимо...
Security Meetup 22 октября. «Мобилки, деньги, два фактора». Дмитрий Евдокимо...Security Meetup 22 октября. «Мобилки, деньги, два фактора». Дмитрий Евдокимо...
Security Meetup 22 октября. «Мобилки, деньги, два фактора». Дмитрий Евдокимо...
 

Destaque

Xtreme Green Presentation
Xtreme Green Presentation Xtreme Green Presentation
Xtreme Green Presentation Jarvin Williams
 
Nur natasya liyana 0320851 project 2 structure
Nur natasya liyana 0320851 project 2 structureNur natasya liyana 0320851 project 2 structure
Nur natasya liyana 0320851 project 2 structureNur Liyana
 
Alexander Gostev. The Hunt for Red October.
Alexander Gostev. The Hunt for Red October.Alexander Gostev. The Hunt for Red October.
Alexander Gostev. The Hunt for Red October.Positive Hack Days
 
Pradhanbros pvt credentials 2015
Pradhanbros pvt credentials 2015Pradhanbros pvt credentials 2015
Pradhanbros pvt credentials 2015Bishist Pradhan
 
24may 1600 valday dmitry gutsko 'sap attack methodology'
24may 1600 valday dmitry gutsko 'sap attack methodology'24may 1600 valday dmitry gutsko 'sap attack methodology'
24may 1600 valday dmitry gutsko 'sap attack methodology'Positive Hack Days
 
павел коростелев
павел коростелевпавел коростелев
павел коростелевPositive Hack Days
 
Tarea 3 de de tecnologia
Tarea 3 de de tecnologiaTarea 3 de de tecnologia
Tarea 3 de de tecnologiaAnaCeliaOlivo
 
Marketing of a new App Tour-o-pedia
Marketing of a new App Tour-o-pediaMarketing of a new App Tour-o-pedia
Marketing of a new App Tour-o-pediaaditya ghuge
 
Mundos virtuales
Mundos virtualesMundos virtuales
Mundos virtualesAnitagn28
 
La Importancia De Las Rss
La Importancia De Las RssLa Importancia De Las Rss
La Importancia De Las RssDiego
 
Cisco's new 'light switch' the catalyst digital building series
Cisco's new 'light switch' the catalyst digital building seriesCisco's new 'light switch' the catalyst digital building series
Cisco's new 'light switch' the catalyst digital building seriesIT Tech
 
23may 1500 valday трифаленков 'размещение приложений в облачной платформе о7 ...
23may 1500 valday трифаленков 'размещение приложений в облачной платформе о7 ...23may 1500 valday трифаленков 'размещение приложений в облачной платформе о7 ...
23may 1500 valday трифаленков 'размещение приложений в облачной платформе о7 ...Positive Hack Days
 
South Bend Voice - Media Kit - 03-2015 March
South Bend Voice - Media Kit - 03-2015 MarchSouth Bend Voice - Media Kit - 03-2015 March
South Bend Voice - Media Kit - 03-2015 MarchAngel Cortes
 

Destaque (18)

Xtreme Green Presentation
Xtreme Green Presentation Xtreme Green Presentation
Xtreme Green Presentation
 
E14 ll02
E14 ll02E14 ll02
E14 ll02
 
Nur natasya liyana 0320851 project 2 structure
Nur natasya liyana 0320851 project 2 structureNur natasya liyana 0320851 project 2 structure
Nur natasya liyana 0320851 project 2 structure
 
Alexander Gostev. The Hunt for Red October.
Alexander Gostev. The Hunt for Red October.Alexander Gostev. The Hunt for Red October.
Alexander Gostev. The Hunt for Red October.
 
Creating geometry
Creating geometryCreating geometry
Creating geometry
 
Pradhanbros pvt credentials 2015
Pradhanbros pvt credentials 2015Pradhanbros pvt credentials 2015
Pradhanbros pvt credentials 2015
 
24may 1600 valday dmitry gutsko 'sap attack methodology'
24may 1600 valday dmitry gutsko 'sap attack methodology'24may 1600 valday dmitry gutsko 'sap attack methodology'
24may 1600 valday dmitry gutsko 'sap attack methodology'
 
Mega Fm
Mega FmMega Fm
Mega Fm
 
павел коростелев
павел коростелевпавел коростелев
павел коростелев
 
Tarea 3 de de tecnologia
Tarea 3 de de tecnologiaTarea 3 de de tecnologia
Tarea 3 de de tecnologia
 
Marketing of a new App Tour-o-pedia
Marketing of a new App Tour-o-pediaMarketing of a new App Tour-o-pedia
Marketing of a new App Tour-o-pedia
 
Mundos virtuales
Mundos virtualesMundos virtuales
Mundos virtuales
 
Bootstrap Self-paced Cousre Syllabus
Bootstrap Self-paced Cousre SyllabusBootstrap Self-paced Cousre Syllabus
Bootstrap Self-paced Cousre Syllabus
 
La Importancia De Las Rss
La Importancia De Las RssLa Importancia De Las Rss
La Importancia De Las Rss
 
Cisco's new 'light switch' the catalyst digital building series
Cisco's new 'light switch' the catalyst digital building seriesCisco's new 'light switch' the catalyst digital building series
Cisco's new 'light switch' the catalyst digital building series
 
23may 1500 valday трифаленков 'размещение приложений в облачной платформе о7 ...
23may 1500 valday трифаленков 'размещение приложений в облачной платформе о7 ...23may 1500 valday трифаленков 'размещение приложений в облачной платформе о7 ...
23may 1500 valday трифаленков 'размещение приложений в облачной платформе о7 ...
 
South Bend Voice - Media Kit - 03-2015 March
South Bend Voice - Media Kit - 03-2015 MarchSouth Bend Voice - Media Kit - 03-2015 March
South Bend Voice - Media Kit - 03-2015 March
 
The Teaching of Handwriting
The Teaching of HandwritingThe Teaching of Handwriting
The Teaching of Handwriting
 

Semelhante a 24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'

Обеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытОбеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытAleksey Lukatskiy
 
Опасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеОпасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеSelectedPresentations
 
2015 02 пм качалин sdl
2015 02 пм качалин sdl2015 02 пм качалин sdl
2015 02 пм качалин sdlAlexey Kachalin
 
Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...
Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...
Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...Dmytro Petrashchuk
 
Безопасная разработка (СТАЧКА 2015)
Безопасная разработка (СТАЧКА 2015)Безопасная разработка (СТАЧКА 2015)
Безопасная разработка (СТАЧКА 2015)Alexey Kachalin
 
Астерит: ИБ это не продукт, а процесс
Астерит: ИБ это не продукт, а процессАстерит: ИБ это не продукт, а процесс
Астерит: ИБ это не продукт, а процессExpolink
 
Построение Secure Development Lifecycle
Построение Secure Development Lifecycle Построение Secure Development Lifecycle
Построение Secure Development Lifecycle Vlad Styran
 
Астерит. Практический подход к реализации проектов по защите информации.
Астерит. Практический подход к реализации проектов по защите информации.Астерит. Практический подход к реализации проектов по защите информации.
Астерит. Практический подход к реализации проектов по защите информации.Expolink
 
Цикл безопасной разработки SDL
Цикл безопасной разработки SDLЦикл безопасной разработки SDL
Цикл безопасной разработки SDLAlex Babenko
 
Проблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииПроблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииAleksey Lukatskiy
 
Цикл безопасной разработки
Цикл безопасной разработкиЦикл безопасной разработки
Цикл безопасной разработкиRISClubSPb
 
Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...DialogueScience
 
Разработка ПО в рамках PCI DSS, как ее видит жуткий зануда
Разработка ПО в рамках PCI DSS, как ее видит жуткий занудаРазработка ПО в рамках PCI DSS, как ее видит жуткий зануда
Разработка ПО в рамках PCI DSS, как ее видит жуткий занудаRISSPA_SPb
 
Дмитрий Истомин (УЦСБ): думать об элементарной безопасности web-приложений эт...
Дмитрий Истомин (УЦСБ): думать об элементарной безопасности web-приложений эт...Дмитрий Истомин (УЦСБ): думать об элементарной безопасности web-приложений эт...
Дмитрий Истомин (УЦСБ): думать об элементарной безопасности web-приложений эт...Kirill Rubinshteyn
 
Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015Alexey Kachalin
 
SOC Technologies and processes
SOC Technologies and processesSOC Technologies and processes
SOC Technologies and processesAlexey Kachalin
 
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...it-people
 
Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14DialogueScience
 
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...DialogueScience
 
Архитектура защищенного периметра
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметраCisco Russia
 

Semelhante a 24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений' (20)

Обеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытОбеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опыт
 
Опасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеОпасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофе
 
2015 02 пм качалин sdl
2015 02 пм качалин sdl2015 02 пм качалин sdl
2015 02 пм качалин sdl
 
Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...
Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...
Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...
 
Безопасная разработка (СТАЧКА 2015)
Безопасная разработка (СТАЧКА 2015)Безопасная разработка (СТАЧКА 2015)
Безопасная разработка (СТАЧКА 2015)
 
Астерит: ИБ это не продукт, а процесс
Астерит: ИБ это не продукт, а процессАстерит: ИБ это не продукт, а процесс
Астерит: ИБ это не продукт, а процесс
 
Построение Secure Development Lifecycle
Построение Secure Development Lifecycle Построение Secure Development Lifecycle
Построение Secure Development Lifecycle
 
Астерит. Практический подход к реализации проектов по защите информации.
Астерит. Практический подход к реализации проектов по защите информации.Астерит. Практический подход к реализации проектов по защите информации.
Астерит. Практический подход к реализации проектов по защите информации.
 
Цикл безопасной разработки SDL
Цикл безопасной разработки SDLЦикл безопасной разработки SDL
Цикл безопасной разработки SDL
 
Проблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииПроблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информации
 
Цикл безопасной разработки
Цикл безопасной разработкиЦикл безопасной разработки
Цикл безопасной разработки
 
Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...
 
Разработка ПО в рамках PCI DSS, как ее видит жуткий зануда
Разработка ПО в рамках PCI DSS, как ее видит жуткий занудаРазработка ПО в рамках PCI DSS, как ее видит жуткий зануда
Разработка ПО в рамках PCI DSS, как ее видит жуткий зануда
 
Дмитрий Истомин (УЦСБ): думать об элементарной безопасности web-приложений эт...
Дмитрий Истомин (УЦСБ): думать об элементарной безопасности web-приложений эт...Дмитрий Истомин (УЦСБ): думать об элементарной безопасности web-приложений эт...
Дмитрий Истомин (УЦСБ): думать об элементарной безопасности web-приложений эт...
 
Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015
 
SOC Technologies and processes
SOC Technologies and processesSOC Technologies and processes
SOC Technologies and processes
 
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
 
Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14
 
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
 
Архитектура защищенного периметра
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметра
 

Mais de Positive Hack Days

Инструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release NotesИнструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release NotesPositive Hack Days
 
Как мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows DockerКак мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows DockerPositive Hack Days
 
Типовая сборка и деплой продуктов в Positive Technologies
Типовая сборка и деплой продуктов в Positive TechnologiesТиповая сборка и деплой продуктов в Positive Technologies
Типовая сборка и деплой продуктов в Positive TechnologiesPositive Hack Days
 
Аналитика в проектах: TFS + Qlik
Аналитика в проектах: TFS + QlikАналитика в проектах: TFS + Qlik
Аналитика в проектах: TFS + QlikPositive Hack Days
 
Использование анализатора кода SonarQube
Использование анализатора кода SonarQubeИспользование анализатора кода SonarQube
Использование анализатора кода SonarQubePositive Hack Days
 
Развитие сообщества Open DevOps Community
Развитие сообщества Open DevOps CommunityРазвитие сообщества Open DevOps Community
Развитие сообщества Open DevOps CommunityPositive Hack Days
 
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...Positive Hack Days
 
Автоматизация построения правил для Approof
Автоматизация построения правил для ApproofАвтоматизация построения правил для Approof
Автоматизация построения правил для ApproofPositive Hack Days
 
Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»Positive Hack Days
 
Формальные методы защиты приложений
Формальные методы защиты приложенийФормальные методы защиты приложений
Формальные методы защиты приложенийPositive Hack Days
 
Эвристические методы защиты приложений
Эвристические методы защиты приложенийЭвристические методы защиты приложений
Эвристические методы защиты приложенийPositive Hack Days
 
Теоретические основы Application Security
Теоретические основы Application SecurityТеоретические основы Application Security
Теоретические основы Application SecurityPositive Hack Days
 
От экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 летОт экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 летPositive Hack Days
 
Уязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на граблиУязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на граблиPositive Hack Days
 
Требования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПОТребования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПОPositive Hack Days
 
Формальная верификация кода на языке Си
Формальная верификация кода на языке СиФормальная верификация кода на языке Си
Формальная верификация кода на языке СиPositive Hack Days
 
Механизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET CoreМеханизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET CorePositive Hack Days
 
SOC для КИИ: израильский опыт
SOC для КИИ: израильский опытSOC для КИИ: израильский опыт
SOC для КИИ: израильский опытPositive Hack Days
 
Honeywell Industrial Cyber Security Lab & Services Center
Honeywell Industrial Cyber Security Lab & Services CenterHoneywell Industrial Cyber Security Lab & Services Center
Honeywell Industrial Cyber Security Lab & Services CenterPositive Hack Days
 
Credential stuffing и брутфорс-атаки
Credential stuffing и брутфорс-атакиCredential stuffing и брутфорс-атаки
Credential stuffing и брутфорс-атакиPositive Hack Days
 

Mais de Positive Hack Days (20)

Инструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release NotesИнструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release Notes
 
Как мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows DockerКак мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows Docker
 
Типовая сборка и деплой продуктов в Positive Technologies
Типовая сборка и деплой продуктов в Positive TechnologiesТиповая сборка и деплой продуктов в Positive Technologies
Типовая сборка и деплой продуктов в Positive Technologies
 
Аналитика в проектах: TFS + Qlik
Аналитика в проектах: TFS + QlikАналитика в проектах: TFS + Qlik
Аналитика в проектах: TFS + Qlik
 
Использование анализатора кода SonarQube
Использование анализатора кода SonarQubeИспользование анализатора кода SonarQube
Использование анализатора кода SonarQube
 
Развитие сообщества Open DevOps Community
Развитие сообщества Open DevOps CommunityРазвитие сообщества Open DevOps Community
Развитие сообщества Open DevOps Community
 
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
 
Автоматизация построения правил для Approof
Автоматизация построения правил для ApproofАвтоматизация построения правил для Approof
Автоматизация построения правил для Approof
 
Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»
 
Формальные методы защиты приложений
Формальные методы защиты приложенийФормальные методы защиты приложений
Формальные методы защиты приложений
 
Эвристические методы защиты приложений
Эвристические методы защиты приложенийЭвристические методы защиты приложений
Эвристические методы защиты приложений
 
Теоретические основы Application Security
Теоретические основы Application SecurityТеоретические основы Application Security
Теоретические основы Application Security
 
От экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 летОт экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 лет
 
Уязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на граблиУязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на грабли
 
Требования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПОТребования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПО
 
Формальная верификация кода на языке Си
Формальная верификация кода на языке СиФормальная верификация кода на языке Си
Формальная верификация кода на языке Си
 
Механизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET CoreМеханизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET Core
 
SOC для КИИ: израильский опыт
SOC для КИИ: израильский опытSOC для КИИ: израильский опыт
SOC для КИИ: израильский опыт
 
Honeywell Industrial Cyber Security Lab & Services Center
Honeywell Industrial Cyber Security Lab & Services CenterHoneywell Industrial Cyber Security Lab & Services Center
Honeywell Industrial Cyber Security Lab & Services Center
 
Credential stuffing и брутфорс-атаки
Credential stuffing и брутфорс-атакиCredential stuffing и брутфорс-атаки
Credential stuffing и брутфорс-атаки
 

24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'

  • 1.
  • 2. Жизненный цикл банковских приложений Дмитрий Кузнецов Заместитель технического директора Positive Technologies Positive Hack Days III
  • 3. Безопасность – это уверенность ― “Утверждаете, что ваша система защищена? ― Убедите меня, что вы…: • …реализовали адекватные механизмы защиты • …достоверно знаете, что эти механизмы защиты действительно работают • …контролируете процесс разработки и эксплуатации”
  • 4. СТО БР, PA DSS и все-все-все ― Есть обширная практика решения каждой отдельной задачи ― Готовые решения разнородны и не взаимосвязаны ― Нужно придумать систему, их объединяющую
  • 6. Приложение и окружение Приложение СУБДОС Веб Клиент Виртуализация Централизованные ФБ Периметр Автоматизированная системаСреда Сеть Мобильный клиент
  • 7. Адекватность механизмов безопасности ― “Должна осуществляться аутентификация пользователя по паролю”– адекватно? ― Способы обхода аутентификации • Брутфорс • Восстановление пароля по хеш-значению • Интерфейс восстановления забытых паролей • Перехват/фиксация сессии • CSRF • … ― Каждый способ атаки порождает свои требования к механизмам защиты
  • 8. Как формируются требования СТО БР “Должна обеспечиваться двусторонняя аутентификация участников обмена электронными платежными сообщениями” Конечные требования - Проверка сложности пароля при его задании пользователем - Исключение словарных паролей - История паролей - … Промежуточные требования - Аутентификация клиента по паролю - Обеспечение сложности пароля - …
  • 9. Оценка выполнения требований ― Мнения • “Должны проводиться внешнее сканирование и тесты на проникновение” • “Должен проводиться анализ исходного кода приложений” ― Способы анализа защищенности разнообразны • Сканирование в режиме черного ящика • Идентификация известных уязвимостей • Периметровый тест на проникновение • Внутренний тест на проникновение • Выявление типичных ошибок программирования • …
  • 10. Оценка защищенности в деталях Нужно, как минимум, обозначить состав работ по каждому виду оценки защищенности
  • 11. Жизненный цикл ПИБ приложения Принятие решения о разработке Методическое обеспечение разработки Постановка задачи на разработку Оценка угроз Выбор мер защиты Определение общей архитектуры ПИБ Разработка функций безопасности Функциональное тестирование Проектирование функций безопасности Развертывание системы Приемочные испытания Оценка защищенности Эксплуатация Доработка Снятие с эксплуатации
  • 12. Самооценка ― Реалистичные показатели для оценки жизненного цикла • Наличие и полнота документации жизненного цикла • Периодичность оценки защищенности • Полнота фактического состава работ по оценке защищенности • Подтвержденное устранение выявленных недостатков ― Защищенность – это не отсутствие недостатков в защите, а уверенность в том, что они планомерно выявляются и устраняются
  • 13. Ничего нового ― “Парадигма доверия”, декомпозиция – ISO 15408 ― Промежуточные требования – PA DSS, OWASP, NIST SP 800 ― Конечные требования – NIST Checklist Program for IT Products, CIS ― Организация жизненного цикла – SDLC, NIST SP 800 ― Состав работ по оценке защищенности – OSSTMM, OWASP
  • 14. Спасибо за внимание Дмитрий Кузнецов DKuznetsov@ptsecurity.ru Заместитель технического директора