Компания Cisco очень много внимания уделяет решениям по информационной безопасности, предлагаемым нашим заказчикам. Мы увеличиваем инвестиции в это направление, поглощаем новых игроков, выпускаем новые продукты, предлагаем новые сервисы и услуги. Уследить за всеми нашими новинками бывает непросто. Поэтому мы подготовили часовую презентацию, которая описывает все наши решения в области информационной безопасности и которые помогают бороться с самыми современными и динамично менающимися угрозами.
В рамках данного вебинара будут рассмотрены темы следующие темы:
Описание сетей по масштабу и назначению.
Описание коммутатора и основы работы L2
Различие коммутаторов L2 и L3
Знакомство с коммутатором: Интерфейсы управления Телнет, SSH, Веб, а так же протокол SNMP,
Настройка автоматического резервирования Autobackup.
Витая пара и её диагностика
Типы ошибок на порту
Определение не правильного соединения оптической линии через DULD.
Статистика пакетов на порту
VLAN: общее описание и принципы работы 802.1q, 802.1v, сегментация трафика.
Q-in-Q
Протокол анонсирования сетей GVRP
Данная сессия посвящена многоцелевым маршрутизаторам с интегрированными сервисами Cisco ISR серии 4300/4400, магистральным маршрутизаторам Cisco ASR серии 1000, а также виртуальному маршрутизатору Cisco CSR 1000V для облачных средах. Будут рассмотрены новые аппаратные платформы, интерфейсные модули и функции программного обеспечения. Кроме того, в ходе сессии слушатели узнают о позиционировании и вариантах использования маршрутизаторов в корпоративных сетях связи.
Михаил Окунев — Cisco, менеджер системных инженеров.
Закончил Московский Технический Университет Связи и Информатики по специальности «Вычислительные машины, комплексные системы и сети». Работать в области информационных и телекоммуникационных технологий начал в 1998 году, имеет опыт работы в системной интеграции. С 2012 года работает в Московском представительстве Cisco Systems на должности системного инженера. Один из организаторов демонстрационной зоны «Инфраструктура корпоративных сетей EN RS».
Основная мысль доклада Александра легко умещается в коротком тезисе: «фильтруй вход, экранируй выход». Под «входом» понимаются различные формы, файлы, заголовки HTTP, под «выходом» — браузер, консоль, базы данных.
Опираясь на этот тезис, Александр подробно рассказал о популярных угрозах в Сети, а так же предложил варианты решения проблем, связанных с ними.
К типичным угрозам спикер отнес: XSS, CSRF и DDoS атаки, небезопасный конструктор include, механизм обмана пользователей Clickjacking.
Довольно большую часть своего выступления Александр посвятил проблеме взлома паролей и последствиям этого взлома. Важно понимать, подчеркнул Александр, что, если произошла утечка базы — главное в этом случае а) устранить источник утечки, б) инвалидировать hash и в) попросить пользователей сменить ВСЕ пароли, чтобы лишить злоумышленников возможности использовать полученную информацию.
Немаловажным в процессе защиты проекта от взлома является человеческий фактор. Довольно часто приходится сталкиваться с тем, что и админы ошибаются. Типичные ошибки админов связаны с саппортом программ без предварительной проверки, раздачей прав на продакшн всем разработчикам компании, торчащей наружу memcached. Так же нужно помнить, что люди могут терять флешки, ноутбуки, телефоны — носители, на которых обычно хранится самая важная и ценная информация.
В завершении своего выступления Александр дал ссылки на те ресурсы, где можно подробнее почитать о WEB-безопасности, вот они:
1. OWASP testing guide
2. статьи и книги Мартина Фаулера про безопасность
3. secure.php.net/manual/ru/security.php
4. Q
В своем докладе на практических примерах поведаю вам, как проводить поиск различных видов уязвимостей для улучшения безопасности веб-приложений. Специальными гостями нашей программы будут:
— xss
— sql injection
— man in the middle
— brute force
Хотите узнать больше?
Приходите на QA Fest 2020 в Киеве!
25-26 сентября вы встретите более 50 спикеров из 10 стран, которые поделятся реальными кейсами и опытом в тестировании ПО. Билеты: bit.ly/3bISkuO
И не забывайте, что QA Fest — это не только конференция, но и фестиваль тестирования!
Авторы представят обзор различных атак на веб-приложения, которые могут встретиться как при проведении профессионального аудита безопасности, так и при поиске уязвимостей в рамках bug bounty. Воркшоп будет интересен как новичкам, так и опытным специалистам, желающим повысить свою квалификацию. Участникам будут даны тестовые задания для проверки полученных навыков.
Любое использование данного материала без прямого разрешения АО «Позитив Текнолоджиз» запрещено.
В докладе будет рассказано о проблемах безопасности Android-приложений. Cпособы защиты известны многим, однако на практике к ним прибегают далеко не всегда. Все описанные способы атак использовались в популярных (более 1 млн установок) приложениях. В первой части доклада речь пойдёт о наиболее очевидных уязвимостях (exported services, broadcastreceivers, activities, providers). Во второй — о нетривиальных и малоизвестных способах обхода защиты.
Категория