Отчет с семинара RISSPA 20 апреля

image

В апреле в офисе Mail.Ru Group прошёл семинар ассоциации RISSPA, посвящённый информационной безопасности. Предлагаем вашему вниманию видеозаписи и презентации докладов, прозвучавших на семинаре.
«Product Security Incident Response Team (PSIRT) — Изнутри Cisco PSIRT», Алексей Лукацкий, бизнес-консультант по безопасности, Cisco Systems

Алексей рассказал о Cisco PSIRT, жизненном цикле управления уязвимостями и взаимодействии Cisco PSIRT с пользователями. Также докладчик разобрал два кейса: «Heartbleed» и «Програмный имплант в Cisco IOS».


Видеозапись выступления: it.mail.ru/video/567

«Практика Software Security в Сбертех», Дмитрий Янченко и Юрий Шабалин, эксперты отдела тестирования информационной безопасности приложений, АО «Сбербанк-Технологии»

Доклад был посвящен стратегии, целям, основным задачам, приоритетам и методикам, которые используются в практике Software Security АО «Сбербанк-Технологии».


Видеозапись выступления: it.mail.ru/video/569

«Статический анализ: гордость и предубеждения», Алексей Кузьменко, аналитик ИБ Digital Security

Анализ кода — один из эффективных подходов к выявлению дефектов на этапе разработки программного обеспечения. Это позволяет избежать тривиальных и не очень ошибок, которые могут приводить к появлению уязвимостей. Существует ряд подходов, применяемых в анализаторах, на основании которых производится анализ, позволяющий снижать риски. Однако возникает ряд предубеждений, ведь не всегда предупреждение анализатора является реальным дефектом, тем более, что не всякий дефект является уязвимостью.


Видеозапись выступления: it.mail.ru/video/570

«Идентификация, аутентификация, авторизация — встроенные функции приложений или задачи специализированного сервиса организации?», Михаил Ванин, генеральный директор, ООО «РЕАК СОФТ»

В докладе были рассмотрены возможные подходы к решению задач идентификации, аутентификации и авторизации на уровне инфраструктуры организации.

Защита приложения требует наличия в нем встроенных функций идентификации / аутентификации / авторизации пользователя. Однако полагаться на встроенные функции становится сложно, когда необходимо обеспечить работу пользователей с множеством приложений, развернутых внутри организации и в облаке, и к тому же дать пользователям доступ с разнообразных устройств (ПК, мобильные устройства) и из сети организации, и вне ее периметра. В таких случаях задача обеспечения идентификации / аутентификации / авторизации должна быть решена на уровне инфраструктуры организации.


Видеозапись выступления: it.mail.ru/video/568

© Habrahabr.ru