Главная » Разное

О чем обычно говорят на внутренних конференциях по ИБ

Разное
На чтение 2 мин Просмотров 13 Опубликовано
Давеча слушал различные выступления на внутренней конференции Cisco SecCon. Собственно, задача данной конференции рассказать сотрудникам Cisco о тенденциях в области хакинга и о том, как им противостоять, как правильно писать защищенные программы, ну и т.д. Вторая часть интересна только нашим программистам, т.к. там изучаются такие темы как
  • Защищенное программирование на C/C++
  • Защищенное программирование для Java/Web
  • Фундаментальные основы тестирования ПО с точки зрения ИБ
  • Расширенное тестирования ПО с точки зрения ИБ: Fuzzing
  • Тестирование приложений с точки зрения ИБ
  • Статический и динамический анализ кода
  • И т.д.

А вот первую я прослушал с большим интересом. Особенно доклады приглашенных спикеров. Среди них директор по исследованиям в области ИБ Akamai, специальный агент Секретной Службы США, эксперты Verizon и Comcast, а также специалисты CERT/CC.

Слушать их было интересно и… страшно… для меня, как гражданина России. По их словам вся угроза киберпространству идет из России ;-( Особенно интересно было слушать спецагента US Secret Service, который рассказывал про реальные случаи ведения и задержания русских (там и граждане Эстонии были, но их упорно называли русскими) хакеров. Познавательный доклад 😉 Кстати, Секретная Служба США — основной орган по расследованию «электронных» инцидентов Америке (в моем курсе про это чуть более подробно).

Отличный рассказ от эксперта CERT/CC по тому, как писать защищенные программы, какие ошибки обычно делают программисты, какие практики должны быть внедрены для реализации SDL, какие инициативы запущены CERT/CC для решения этой задачи. Хоть я уже и давно не программист, но было интересно. Кстати, недавно обновили SAMATE — свободно доступный онлайн-инструмент, содержащий классические ошибки при написании кода на Java, C и C++. 175 категорий, 60000 специфических ошибок!

Уже от наших спецов была классная презентация по сертификации по требованиям ИБ. В целом идея с оценкой соответствия правильная; вопрос только в реализации. В презентации как раз рассматривались различные схемы сертификации (преимущественно американские) — «Общие критерии», FIPS, DoD UC ACL, I3MP, их особенности, требования, подводные камни. Если бы у нас был бы более грамотный подход к сертификации, то и вопросов бы к ФСТЭК и ФСБ было бы гораздо меньше.

ЗЫ. Из забавного — в презентациях как минимум 5 выступающих встречалась вот эта, ставшая уже классикой, иллюстрация.

оценка соответствия
Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. doom

    А как же эта картинка:
    http://qwey.ru/uploads/images/00/00/01/2011/01/19/e8bdd474e7.jpg

    🙂

    Ответить
  2. Алексей Лукацкий

    А я такой и не видел раньше

    Ответить
Этот сайт использует cookies для улучшения взаимодействия с пользователями. Но так как Роскомнадзор считает cookie персональными данными, то продолжая находиться на этот сайте, вы даете свое согласие и на работу с cookie, и на обработку персональных данных.