Отчет с семинара RISSPA 20 апреля
В апреле в офисе Mail.Ru Group прошёл семинар ассоциации RISSPA, посвящённый информационной безопасности. Предлагаем вашему вниманию видеозаписи и презентации докладов, прозвучавших на семинаре.
«Product Security Incident Response Team (PSIRT) — Изнутри Cisco PSIRT», Алексей Лукацкий, бизнес-консультант по безопасности, Cisco Systems
Алексей рассказал о Cisco PSIRT, жизненном цикле управления уязвимостями и взаимодействии Cisco PSIRT с пользователями. Также докладчик разобрал два кейса: «Heartbleed» и «Програмный имплант в Cisco IOS».
Видеозапись выступления: it.mail.ru/video/567
«Практика Software Security в Сбертех», Дмитрий Янченко и Юрий Шабалин, эксперты отдела тестирования информационной безопасности приложений, АО «Сбербанк-Технологии»
Доклад был посвящен стратегии, целям, основным задачам, приоритетам и методикам, которые используются в практике Software Security АО «Сбербанк-Технологии».
Видеозапись выступления: it.mail.ru/video/569
«Статический анализ: гордость и предубеждения», Алексей Кузьменко, аналитик ИБ Digital Security
Анализ кода — один из эффективных подходов к выявлению дефектов на этапе разработки программного обеспечения. Это позволяет избежать тривиальных и не очень ошибок, которые могут приводить к появлению уязвимостей. Существует ряд подходов, применяемых в анализаторах, на основании которых производится анализ, позволяющий снижать риски. Однако возникает ряд предубеждений, ведь не всегда предупреждение анализатора является реальным дефектом, тем более, что не всякий дефект является уязвимостью.
Видеозапись выступления: it.mail.ru/video/570
«Идентификация, аутентификация, авторизация — встроенные функции приложений или задачи специализированного сервиса организации?», Михаил Ванин, генеральный директор, ООО «РЕАК СОФТ»
В докладе были рассмотрены возможные подходы к решению задач идентификации, аутентификации и авторизации на уровне инфраструктуры организации.
Защита приложения требует наличия в нем встроенных функций идентификации / аутентификации / авторизации пользователя. Однако полагаться на встроенные функции становится сложно, когда необходимо обеспечить работу пользователей с множеством приложений, развернутых внутри организации и в облаке, и к тому же дать пользователям доступ с разнообразных устройств (ПК, мобильные устройства) и из сети организации, и вне ее периметра. В таких случаях задача обеспечения идентификации / аутентификации / авторизации должна быть решена на уровне инфраструктуры организации.
Видеозапись выступления: it.mail.ru/video/568
