Positive Technologies проводит закрытый семинар

Positive Technologies проводит закрытый семинар

На семинаре будут рассмотрены все аспекты конструирования защищенных приложений, различные уязвимости веб-сервисов, эксперты Positive Technologies представят опыт анализа защищенности систем, используемых в различных отраслях, и результаты исследовательских работ, лежащих в основе анализатора защищенности исходного кода приложений PT Application Inspector.

Ежегодно специалисты Positive Technologies изучают сотни приложений — официальные сайты, электронные торговые площадки, системы документооборота, учета, дистанционного банковского обслуживания. Согласно исследованиям, проведенным экспертами Positive Technologies в 2015 году, 70% приложений содержат уязвимости высокой степени риска и 100% — средней.

Семинар построен таким образом, что каждая тема будет рассмотрена и с позиции атакующего, и с позиции защищающего. Эксперты рассмотрят примеры атак и возможные пути их развития, продемонстрируют практические приемы разработки защищенного кода и типовые ошибки.

Семинар пройдет в закрытом формате: чтобы принять участие, нужно заполнить форму и отправить заявку.

Авторы семинара

Владимир Кочетков — руководитель группы разработки системы анализа исходных кодов Application Inspector компании Positive Technologies. Специализируется на исследованиях в области защищенности приложений. Является разработчиком и администратором проекта rsdn.ru.

Тимур Юнусов — руководитель отдела безопасности банковских систем в Positive Technologies. Занимается исследованиями в области ИБ. Выступал на Black Hat EU, ZeroNights; активно участвует в развитии форума Positive Hack Days.

Программа семинара:

День первый (17 мая)

• 15:00 Что такое Positive Development User Group

  Философия AppSec 

  Базовые понятия

  Причинно-следственные связи

  Классификация уязвимостей, угроз и атак

  Практика AppSec

  Предметная область Application Security

  Управление потоками данных

  Инъекции

  Раскрытие информации

  Предварительная обработка данных

• 16:30 Кофе-брейк
• 16:45 Управление потоками операций

  Race Condition и атаки на атомарность

  Недостаточная проверка процесса

  Контроль целостности потока операций

  Подтверждение аутентичности источников

  Управление доступом

  Идентификация, авторизация, аутентификация, двухфакторные методы

  Проектирование и реализация контроля доступа

День второй (18 мая)

• 15:00 Общие примитивы защищенной реализации предметных областей

  Криптография

  Типовые ошибки проектирования и использования средств криптографии

  Самодельная криптография

  Побочные каналы

  Высокоуровневые криптобиблиотеки

  Случайные числа

  Seed racing

  PRNG

  Хеширование и подписи

  Атака расширения хеша

  Хеширование паролей

  Шифрование с закрытым ключом

  Padding Oracle

  Шифрование с открытым ключом

• 16:30 Кофе-брейк
• 16:45 Инфраструктура

  Защита транспортного уровня

  Ошибки использования TLS

  Практики этапа развертывания

  Принцип трех D

  Для чего нам все это знать и что такое PT Application Inspector

  Заключение

Positive Technologies — лидер европейского рынка систем анализа защищенности и соответствия стандартам. Деятельность компании лицензирована Минобороны РФ, ФСБ и ФСТЭК, продукция сертифицирована "Газпромом" и ФСТЭК. Более 3000 организаций из 30 стран мира используют решения Positive Technologies для оценки уровня безопасности своих сетей и приложений, для выполнения требований регулирующих организаций и блокирования атак в режиме реального времени. Благодаря многолетним исследованиям специалисты Positive Technologies заслужили репутацию экспертов международного уровня в вопросах защиты SCADA- и ERP-систем, крупнейших банков и телекомов. В 2013 году компания заняла третье место на российском рынке ПО для безопасности и стала лидером по темпам роста на международном рынке систем управления уязвимостями. В 2015 году Gartner назвал Positive Technologies "визионером" в своем рейтинге Magic Quadrant for Web Application Firewalls. 
 
ITSec.ru по материалам компании Positive Technologies