Submit Search
Upload
Security Metrics for PCI Compliance
•
Download as PPT, PDF
•
1 like
•
606 views
Q
qqlan
Follow
Technology
Business
Report
Share
Report
Share
1 of 25
Download now
Recommended
Доклад Андрея Бельских на конференции SQA Days-21 www.sqadays.com
Профилактика дефектов
Профилактика дефектов
SQALab
очир абушинов
очир абушинов
Alexei Lupan
Security zap and selenium
Security zap and selenium
Anton Shapin
Security Metrix
Security Metrix
guest430c97
Sqa days2010 polazhenko_osstm
Sqa days2010 polazhenko_osstm
Alexei Lupan
Статистика по результатам тестирований на проникновение и анализа защищенност...
Статистика по результатам тестирований на проникновение и анализа защищенност...
Dmitry Evteev
Serious+performance+testing
Serious+performance+testing
Alexei Lupan
Доклад Димы Иванова на конференции SQA Days-21 www.sqadays.com
Как мы добавляли UX-исследования в мобильные приложения Aviasales и что из эт...
Как мы добавляли UX-исследования в мобильные приложения Aviasales и что из эт...
SQALab
Recommended
Доклад Андрея Бельских на конференции SQA Days-21 www.sqadays.com
Профилактика дефектов
Профилактика дефектов
SQALab
очир абушинов
очир абушинов
Alexei Lupan
Security zap and selenium
Security zap and selenium
Anton Shapin
Security Metrix
Security Metrix
guest430c97
Sqa days2010 polazhenko_osstm
Sqa days2010 polazhenko_osstm
Alexei Lupan
Статистика по результатам тестирований на проникновение и анализа защищенност...
Статистика по результатам тестирований на проникновение и анализа защищенност...
Dmitry Evteev
Serious+performance+testing
Serious+performance+testing
Alexei Lupan
Доклад Димы Иванова на конференции SQA Days-21 www.sqadays.com
Как мы добавляли UX-исследования в мобильные приложения Aviasales и что из эт...
Как мы добавляли UX-исследования в мобильные приложения Aviasales и что из эт...
SQALab
final version
Sqadays 2010 burmistrov_fomin_20101120(2)
Sqadays 2010 burmistrov_fomin_20101120(2)
Alexei Lupan
[Sqa days]risk driven testing
[Sqa days]risk driven testing
Alexei Lupan
Доклад Андрея Павлова на конференции SQA Days-21 www.sqadays.com
Использование комбинаторного тестирования для мобильных приложений
Использование комбинаторного тестирования для мобильных приложений
SQALab
Ломаем (и строим) вместе
Ломаем (и строим) вместе
Dmitry Evteev
Сергей Гордейчик - Доклад на конференции SQA Days-3
Оценка защищенности Web-приложений
Оценка защищенности Web-приложений
SQALab
Sergey Gordeychik SQADays 2008
Sergey Gordeychik SQADays 2008
guest5b66888
Доклад Марии Афанасьевой на конференции SQA Days-21 www.sqadays.com
Тестирование доступности ПО для людей с ограниченными возможностями
Тестирование доступности ПО для людей с ограниченными возможностями
SQALab
http://uisg.org.ua
Pentest requirements
Pentest requirements
Glib Pakharenko
Доклад Владимира Примакова на конференции SQA Days-12, 30 ноября-1 декабря, Минск
Мастер Тест План / Тестовая Стратегия: Что это? Зачем? Как его создать?-От А ...
Мастер Тест План / Тестовая Стратегия: Что это? Зачем? Как его создать?-От А ...
SQALab
Советы для успешной автоматизации тестирования веб-приложений
Советы для успешной автоматизации тестирования веб-приложений
Mairbek Khadikov
Доклад Алены Дашкевич на конференции SQA Days-12, 30 ноября-1 декабря, Минск
Risk-based testing management. От теории к современной практике
Risk-based testing management. От теории к современной практике
SQALab
CodeFest 2010. Уразов А. — Quality-Oriented Programming (Программирование, ор...
CodeFest 2010. Уразов А. — Quality-Oriented Programming (Программирование, ор...
CodeFest
Тестирование на проникновение
Тестирование на проникновение
Учебный центр "Эшелон"
Barabanov_Markov it-std
Barabanov_Markov it-std
Alexander Barabanov
Penetration testing
Penetration testing
Training center "Echelon"
SQA Days-13 @ Piter v3.1 web
SQA Days-13 @ Piter v3.1 web
Oleg Tatarchuk
Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности
Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности
UISGCON
Presentation from PHD 2016
Phd 2016_SSDL_GOST
Phd 2016_SSDL_GOST
Alexander Barabanov
Ретроспектива в тестировании
Ретроспектива в тестировании
QA Dnepropetrovsk Community (Ukraine)
Определение области применимости PCI DSS. Определение потоков данных о держателях карт. Смежные информационные системы.
Управление соответствием PCI DSS - Секция 3 - Область применимости PCI DSS
Управление соответствием PCI DSS - Секция 3 - Область применимости PCI DSS
Deiteriy Co. Ltd.
Iso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_july
Glib Pakharenko
Политика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасности
Evgeniy Shauro
More Related Content
What's hot
final version
Sqadays 2010 burmistrov_fomin_20101120(2)
Sqadays 2010 burmistrov_fomin_20101120(2)
Alexei Lupan
[Sqa days]risk driven testing
[Sqa days]risk driven testing
Alexei Lupan
Доклад Андрея Павлова на конференции SQA Days-21 www.sqadays.com
Использование комбинаторного тестирования для мобильных приложений
Использование комбинаторного тестирования для мобильных приложений
SQALab
Ломаем (и строим) вместе
Ломаем (и строим) вместе
Dmitry Evteev
Сергей Гордейчик - Доклад на конференции SQA Days-3
Оценка защищенности Web-приложений
Оценка защищенности Web-приложений
SQALab
Sergey Gordeychik SQADays 2008
Sergey Gordeychik SQADays 2008
guest5b66888
Доклад Марии Афанасьевой на конференции SQA Days-21 www.sqadays.com
Тестирование доступности ПО для людей с ограниченными возможностями
Тестирование доступности ПО для людей с ограниченными возможностями
SQALab
http://uisg.org.ua
Pentest requirements
Pentest requirements
Glib Pakharenko
Доклад Владимира Примакова на конференции SQA Days-12, 30 ноября-1 декабря, Минск
Мастер Тест План / Тестовая Стратегия: Что это? Зачем? Как его создать?-От А ...
Мастер Тест План / Тестовая Стратегия: Что это? Зачем? Как его создать?-От А ...
SQALab
Советы для успешной автоматизации тестирования веб-приложений
Советы для успешной автоматизации тестирования веб-приложений
Mairbek Khadikov
Доклад Алены Дашкевич на конференции SQA Days-12, 30 ноября-1 декабря, Минск
Risk-based testing management. От теории к современной практике
Risk-based testing management. От теории к современной практике
SQALab
CodeFest 2010. Уразов А. — Quality-Oriented Programming (Программирование, ор...
CodeFest 2010. Уразов А. — Quality-Oriented Programming (Программирование, ор...
CodeFest
Тестирование на проникновение
Тестирование на проникновение
Учебный центр "Эшелон"
Barabanov_Markov it-std
Barabanov_Markov it-std
Alexander Barabanov
Penetration testing
Penetration testing
Training center "Echelon"
SQA Days-13 @ Piter v3.1 web
SQA Days-13 @ Piter v3.1 web
Oleg Tatarchuk
Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности
Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности
UISGCON
Presentation from PHD 2016
Phd 2016_SSDL_GOST
Phd 2016_SSDL_GOST
Alexander Barabanov
Ретроспектива в тестировании
Ретроспектива в тестировании
QA Dnepropetrovsk Community (Ukraine)
What's hot
(19)
Sqadays 2010 burmistrov_fomin_20101120(2)
Sqadays 2010 burmistrov_fomin_20101120(2)
[Sqa days]risk driven testing
[Sqa days]risk driven testing
Использование комбинаторного тестирования для мобильных приложений
Использование комбинаторного тестирования для мобильных приложений
Ломаем (и строим) вместе
Ломаем (и строим) вместе
Оценка защищенности Web-приложений
Оценка защищенности Web-приложений
Sergey Gordeychik SQADays 2008
Sergey Gordeychik SQADays 2008
Тестирование доступности ПО для людей с ограниченными возможностями
Тестирование доступности ПО для людей с ограниченными возможностями
Pentest requirements
Pentest requirements
Мастер Тест План / Тестовая Стратегия: Что это? Зачем? Как его создать?-От А ...
Мастер Тест План / Тестовая Стратегия: Что это? Зачем? Как его создать?-От А ...
Советы для успешной автоматизации тестирования веб-приложений
Советы для успешной автоматизации тестирования веб-приложений
Risk-based testing management. От теории к современной практике
Risk-based testing management. От теории к современной практике
CodeFest 2010. Уразов А. — Quality-Oriented Programming (Программирование, ор...
CodeFest 2010. Уразов А. — Quality-Oriented Programming (Программирование, ор...
Тестирование на проникновение
Тестирование на проникновение
Barabanov_Markov it-std
Barabanov_Markov it-std
Penetration testing
Penetration testing
SQA Days-13 @ Piter v3.1 web
SQA Days-13 @ Piter v3.1 web
Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности
Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности
Phd 2016_SSDL_GOST
Phd 2016_SSDL_GOST
Ретроспектива в тестировании
Ретроспектива в тестировании
Viewers also liked
Определение области применимости PCI DSS. Определение потоков данных о держателях карт. Смежные информационные системы.
Управление соответствием PCI DSS - Секция 3 - Область применимости PCI DSS
Управление соответствием PCI DSS - Секция 3 - Область применимости PCI DSS
Deiteriy Co. Ltd.
Iso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_july
Glib Pakharenko
Политика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасности
Evgeniy Shauro
Аудит системы управления информационной безопасностью
Аудит СУИБ
Аудит СУИБ
Alexander Dorofeev
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...
UISGCON
The checklist identifies in red documentation and records that we believe are explicitly required in the main body of ISO/IEC 27001
ISO 27001 (v2013) Checklist
ISO 27001 (v2013) Checklist
Ivan Piskunov
Презентация с вебинара "Как реагировать на инциденты ИБ с помощью DLP" http://solarsecurity.ru/analytics/webinars/
пр Управление инцидентами ИБ (Dozor) v.2.1
пр Управление инцидентами ИБ (Dozor) v.2.1
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
Подготовил сводную таблицу по перечню документов необходимых и рекомендуемых для построения СУИБ по ISO 27001-2013
Комплект документов по ISO 27001-2013
Комплект документов по ISO 27001-2013
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
Модель зрелости процесса (мониторинг и оценка ИБ)
Модель зрелости процесса (мониторинг и оценка ИБ)
Модель зрелости процесса (мониторинг и оценка ИБ)
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
Viewers also liked
(9)
Управление соответствием PCI DSS - Секция 3 - Область применимости PCI DSS
Управление соответствием PCI DSS - Секция 3 - Область применимости PCI DSS
Iso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_july
Политика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасности
Аудит СУИБ
Аудит СУИБ
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...
ISO 27001 (v2013) Checklist
ISO 27001 (v2013) Checklist
пр Управление инцидентами ИБ (Dozor) v.2.1
пр Управление инцидентами ИБ (Dozor) v.2.1
Комплект документов по ISO 27001-2013
Комплект документов по ISO 27001-2013
Модель зрелости процесса (мониторинг и оценка ИБ)
Модель зрелости процесса (мониторинг и оценка ИБ)
Similar to Security Metrics for PCI Compliance
Security Metrix
Security Metrix
qqlan
Доклад Антона Семенченко на конференции SQA Days-19, 20-21 мая 2016 г., Санкт-Петербург
Метрики автоматизированного тестирования на пальцах
Метрики автоматизированного тестирования на пальцах
SQALab
Доклад на SQA Days-9, Казань, 22-23 апреля 2011
Андрей Уразов - Методы раннего обнаружения ошибок
Андрей Уразов - Методы раннего обнаружения ошибок
SQALab
Сертификация приложений по требованиям федеральных и отраслевых регуляторов, требованиям компаний (если они есть) — необходимое условие разработки и поставки коробочного решения. Требования потребителей и пользователей современных технологий по функционалу и удобству развиваются значительно быстрее эволюции ограничений. В результате, исследования практической защищенности, если и рассматриваются, то вне темы сертификации, что порождает двойной объем работ и сложности в управлении проектами. Презентация, подготовленная сотрудниками компании «Перспективный Мониторинг» для конференции DevCon 2015, содержит информацию о том, какие практики безопасной разработки позволяют удовлетворить как требования сертификации, так и потребности практической безопасности. Рассматриваются тонкие моменты на стыке этих задач, вопросы, в которых можно опереться на мировой опыт, а также планы регуляторов по развитию требований сертификации. В докладе представлен опыт ЗАО «ПМ» по внедрению безопасной разработки в проекты создания и развития линейки средств защиты информации для сетевого оборудования, мобильных платформ и рабочих станций, подлежащих сертификации по требованиям регуляторов.
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Maxim Avdyunin
Доклад на SQA Days-9, Казань, 22-23 апреля 2011
Маргарита Сафарова - Аудит процессов тестирования при смене проектной команды
Маргарита Сафарова - Аудит процессов тестирования при смене проектной команды
SQALab
Презентация, которую я читал на мероприятии Код ИБ Онлай
пр Про интегральные метрики ИБ
пр Про интегральные метрики ИБ
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
CodeIB Minsk conference presentation for why do you need penetration testing services by Uladzislau Murashka #codeib #infosec #pentesting
Umurashka codeib-presentation-v2
Umurashka codeib-presentation-v2
Uladzislau Murashka
Представлен в рамках цикла лекций "Кибербезопасность" Сбербанка
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Alexey Kachalin
Илья Яблонко, менеджер по работе с ключевыми Заказчиками, УЦСБ
3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБ
Компания УЦСБ
Sergey Gordeychik, Application Security in real word
Sergey Gordeychik, Application Security in real word
qqlan
Process Quality, QA and QC. QA Club. Kharkov. Ukraine
Process Quality, QA and QC. QA Club. Kharkov. Ukraine
Sergiy Povolyashko
Разработка ПО в рамках PCI DSS, как ее видит жуткий зануда
Разработка ПО в рамках PCI DSS, как ее видит жуткий зануда
RISSPA_SPb
Разработка ПО в рамках PCI DSS
Разработка ПО в рамках PCI DSS
Alex Babenko
Process Quality, QA and QC. QA Club. Kharkov. Ukraine
Process Quality, QA and QC. QA Club. Kharkov. Ukraine
Sergiy Povolyashko, PMP
О совместных усилиях по ИБ с компанией SAP
Безопаность SAP-систем
Безопаность SAP-систем
Alexey Kachalin
Описание целостной стратегии борьбы с вредоносным кодом - от начальных шагов и базовых защитных мер к продвинутой версии, включающей множество защитных механизмов
Борьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегии
Aleksey Lukatskiy
MS TFS 2010 - Обзор и архитектура
MS TFS 2010 - Обзор и архитектура
Александр Шамрай
Доклад Николая Миронцева на конференции SQA Days-12, 30 ноября-1 декабря, Минск
Нагрузочное тестирование web проектов
Нагрузочное тестирование web проектов
SQALab
Конференция "Код ИБ 2016". Нижний Новгород
Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"
Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"
Expolink
Analyst Days-1. Секция B. Екатерина Макаренко
Техники аналитика - CATWOE, H-METHOD, MOSCOW, SQUARE
Техники аналитика - CATWOE, H-METHOD, MOSCOW, SQUARE
SQALab
Similar to Security Metrics for PCI Compliance
(20)
Security Metrix
Security Metrix
Метрики автоматизированного тестирования на пальцах
Метрики автоматизированного тестирования на пальцах
Андрей Уразов - Методы раннего обнаружения ошибок
Андрей Уразов - Методы раннего обнаружения ошибок
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Маргарита Сафарова - Аудит процессов тестирования при смене проектной команды
Маргарита Сафарова - Аудит процессов тестирования при смене проектной команды
пр Про интегральные метрики ИБ
пр Про интегральные метрики ИБ
Umurashka codeib-presentation-v2
Umurashka codeib-presentation-v2
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБ
Sergey Gordeychik, Application Security in real word
Sergey Gordeychik, Application Security in real word
Process Quality, QA and QC. QA Club. Kharkov. Ukraine
Process Quality, QA and QC. QA Club. Kharkov. Ukraine
Разработка ПО в рамках PCI DSS, как ее видит жуткий зануда
Разработка ПО в рамках PCI DSS, как ее видит жуткий зануда
Разработка ПО в рамках PCI DSS
Разработка ПО в рамках PCI DSS
Process Quality, QA and QC. QA Club. Kharkov. Ukraine
Process Quality, QA and QC. QA Club. Kharkov. Ukraine
Безопаность SAP-систем
Безопаность SAP-систем
Борьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегии
MS TFS 2010 - Обзор и архитектура
MS TFS 2010 - Обзор и архитектура
Нагрузочное тестирование web проектов
Нагрузочное тестирование web проектов
Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"
Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"
Техники аналитика - CATWOE, H-METHOD, MOSCOW, SQUARE
Техники аналитика - CATWOE, H-METHOD, MOSCOW, SQUARE
More from qqlan
Having developed a test set, we started to research how safe it is for clients to use 4G networks of the telecommunication companies. During the research we have tested SIM-cards, 4G USB modems, radio components, IP access network. First of all we looked for the vulnerabilities that could be exploited remotely, via IP or radio network. And the result was not late in arriving. In some cases we managed to attack SIM-cards and install a malicious Java applet there, we were able to update remotely USB modem firmware, to change password on a selfcare portal via SMS and even to get access to the internal technological network of a carrier. Further attack evolution helped to understand how it is possible to use a simple SMS as an exploit that is able not only to compromise a USB modem and all the communications that go through it, but also to install bootkit on a box, that this modem is connected to.
D1 t1 t. yunusov k. nesterov - bootkit via sms
D1 t1 t. yunusov k. nesterov - bootkit via sms
qqlan
#cablemeltingbad
Kaspersky SAS SCADA in the Cloud
Kaspersky SAS SCADA in the Cloud
qqlan
Сейчас достаточно часто можно встретить исследование в котором говорится, что с безопасностью АСУ ТП “все плохо”. Множественные уязвимости, старые операционные системы, подключения к внешним сетям... Ну и что из этого? –скажет инженер-технолог, и усмехнувшись надо “целосностью, доступностью, конфиденциальностью” отправится перечитывать ПТЭ. И иногда он будет прав. В рамках доклада на основе опыта практического анализа кибербезопасности интеллектуальных электросетей Европы будет продемонстрировано использование миссиоцентрического подхода для моделирования угроз и практического анализа рисков, связанных с использованием микропроцессорных устройств.
Миссиоцентрический подход к кибербезопасности АСУ ТП
Миссиоцентрический подход к кибербезопасности АСУ ТП
qqlan
ABUSE THEIR CLOUDS. ОБЛАЧНЫЕ ВЫЧИСЛЕНИЯ ГЛАЗАМИ ПЕНТЕСТЕРА, ЮРИЙ ГОЛЬЦЕВ, СЕРГЕЙ ГОРДЕЙЧИК
ABUSE THEIR CLOUDS. ОБЛАЧНЫЕ ВЫЧИСЛЕНИЯ ГЛАЗАМИ ПЕНТЕСТЕРА, ЮРИЙ ГОЛЬЦЕВ, СЕ...
ABUSE THEIR CLOUDS. ОБЛАЧНЫЕ ВЫЧИСЛЕНИЯ ГЛАЗАМИ ПЕНТЕСТЕРА, ЮРИЙ ГОЛЬЦЕВ, СЕ...
qqlan
• ERP security • ICS security assessment • Protection of payment applications, remote banking systems, ATMs • Cloud technologies and virtualization systems • Detection of zero-day vulnerabilities and prevention of APT attacks • Use of Big Data in information security • Analysis of source code and the SAST/DAST/IAST technologies • Complex protection of web applications and portals • Mobile platform and application security
Best of Positive Research 2013
Best of Positive Research 2013
qqlan
Sergey Gordeychik wrote an article describing Wireless intrusion detection systems (WIDS) today and possible attack vectors.
Web-style Wireless IDS attacks, Sergey Gordeychik
Web-style Wireless IDS attacks, Sergey Gordeychik
qqlan
G. Gritsai, A. Timorin, Y. Goltsev, R. Ilin, S. Gordeychik, and A. Karpin, “S...
G. Gritsai, A. Timorin, Y. Goltsev, R. Ilin, S. Gordeychik, and A. Karpin, “S...
qqlan
For two years SCADA StrangeLove speaks about Industrial Control Systems and nuclear plants. This year we want to discuss Green Energy. Our hackers' vision of Green Energy, SmartGrids and Cloud IoT technology. We will also speak about the security problems of traditional "heavy" industrial solutions, about the things that Zurich Airport and Large Hadron Collider have in common On top of it you will learn about our new releases, some funny and not so funny stories about discovery and fixing of vulnerabilities and the latest news from the front struggling for the Purity of Essence. Our latest research was devoted to the analysis of the architecture and implementation of the most wide spread platforms for wind and solar energy generation which produce many gigawatts of it. It may seem (not) surprising but the systems which manage huge turbine towers and household PhotoVoltaic plants are not only connected to the internet but also prone to many well known vulnerabilities and low-hanging 0-days. Even if these systems cannot be found via Shodan, fancy cloud technologies leave no chances for security. We will also speak about the security problems of traditional "heavy" industrial solutions, about the things that Zurich Airport and Large Hadron Collider have in common and why one should not develop brand new web server. Specially for the specialists on the other side of the fences, we will show by example of one industry the link between information security and industrial safety and will also demonstrate how a root access gained in a few minutes can bring to nought all the years of efforts that were devoted to the improvement of fail-safety and reliability of the ICS system. On top of it you will learn about our new releases, some funny and not so funny stories about discovery and fixing of vulnerabilities and the latest news from the front struggling for the Purity of Essence. ────────── ➤Speaker: Sergey Gordeychik, Aleksandr Timorin
SCADA StrangeLove: Too Smart Grid in da Cloud [31c3]
SCADA StrangeLove: Too Smart Grid in da Cloud [31c3]
qqlan
Pt infosec - 2014 - импортозамещение
Pt infosec - 2014 - импортозамещение
qqlan
SCADA StrangeLove Kaspersky SAS 2014 - LHC
SCADA StrangeLove Kaspersky SAS 2014 - LHC
qqlan
Notes on database security assesment
Firebird Interbase Database engine hacks or rtfm
Firebird Interbase Database engine hacks or rtfm
qqlan
SCADA StrangeLove 2: We already know
SCADA StrangeLove 2: We already know
qqlan
Internet connected ICS/SCADA/PLC
Internet connected ICS/SCADA/PLC
qqlan
Speakers: Alexander Timorin, Alexander Tlyapov, Gleb Gritsai This talk will feature a technical description and a detailed analysis of such popular industrial protocols as Profinet DCP, IEC 61850-8-1 (MMS), IEC 61870-5-101/104, based on case studies. We will disclose potential opportunities that those protocols provide to attackers, as well as the authentication mechanism of the Siemens proprietary protocol called S7. Besides protocols, the results of the research called Siemens Simatic WinCC will be presented. The overall component interaction architecture, HTTP protocols and interaction mechanisms, authorization and internal logic vulnerabilities will be shown. The talk will be concluded with a methodological approach to network protocol analysis, recommendation, and script release.
SCADA deep inside:protocols and software architecture
SCADA deep inside:protocols and software architecture
qqlan
Techniques of attacking ICS systems
Techniques of attacking ICS systems
qqlan
AppSec, vulnerability, SAST, DAST, IAST, source code analisys
Positive Technologies Application Inspector
Positive Technologies Application Inspector
qqlan
Database honeypot by design
Database honeypot by design
qqlan
Positive Technologies Application Inspector
Positive Technologies Application Inspector
qqlan
Timur Yunusov Alexey Osipov
Black Hat: XML Out-Of-Band Data Retrieval
Black Hat: XML Out-Of-Band Data Retrieval
qqlan
ICS/SCADA/PLC Google/Shodanhq Cheat Sheet v2
ICS/SCADA/PLC Google/Shodanhq Cheat Sheet v2
qqlan
More from qqlan
(20)
D1 t1 t. yunusov k. nesterov - bootkit via sms
D1 t1 t. yunusov k. nesterov - bootkit via sms
Kaspersky SAS SCADA in the Cloud
Kaspersky SAS SCADA in the Cloud
Миссиоцентрический подход к кибербезопасности АСУ ТП
Миссиоцентрический подход к кибербезопасности АСУ ТП
ABUSE THEIR CLOUDS. ОБЛАЧНЫЕ ВЫЧИСЛЕНИЯ ГЛАЗАМИ ПЕНТЕСТЕРА, ЮРИЙ ГОЛЬЦЕВ, СЕ...
ABUSE THEIR CLOUDS. ОБЛАЧНЫЕ ВЫЧИСЛЕНИЯ ГЛАЗАМИ ПЕНТЕСТЕРА, ЮРИЙ ГОЛЬЦЕВ, СЕ...
Best of Positive Research 2013
Best of Positive Research 2013
Web-style Wireless IDS attacks, Sergey Gordeychik
Web-style Wireless IDS attacks, Sergey Gordeychik
G. Gritsai, A. Timorin, Y. Goltsev, R. Ilin, S. Gordeychik, and A. Karpin, “S...
G. Gritsai, A. Timorin, Y. Goltsev, R. Ilin, S. Gordeychik, and A. Karpin, “S...
SCADA StrangeLove: Too Smart Grid in da Cloud [31c3]
SCADA StrangeLove: Too Smart Grid in da Cloud [31c3]
Pt infosec - 2014 - импортозамещение
Pt infosec - 2014 - импортозамещение
SCADA StrangeLove Kaspersky SAS 2014 - LHC
SCADA StrangeLove Kaspersky SAS 2014 - LHC
Firebird Interbase Database engine hacks or rtfm
Firebird Interbase Database engine hacks or rtfm
SCADA StrangeLove 2: We already know
SCADA StrangeLove 2: We already know
Internet connected ICS/SCADA/PLC
Internet connected ICS/SCADA/PLC
SCADA deep inside:protocols and software architecture
SCADA deep inside:protocols and software architecture
Techniques of attacking ICS systems
Techniques of attacking ICS systems
Positive Technologies Application Inspector
Positive Technologies Application Inspector
Database honeypot by design
Database honeypot by design
Positive Technologies Application Inspector
Positive Technologies Application Inspector
Black Hat: XML Out-Of-Band Data Retrieval
Black Hat: XML Out-Of-Band Data Retrieval
ICS/SCADA/PLC Google/Shodanhq Cheat Sheet v2
ICS/SCADA/PLC Google/Shodanhq Cheat Sheet v2
Recently uploaded
В постоянно развивающемся мире ИБ, где цифровая сфера устойчива, как карточный домик во время урагана, появился новаторский документ под названием "Доктрина киберзащиты, которая управляет рисками: полное прикладное руководство по организационной киберзащите", предположительно написанный израильским Сунь Цзы из эпохи цифровых технологий. Доктрина, являющаяся шедевром кибернетической мудрости, делит свои стратегии оценки рисков и управления ими на два направления, вероятно, потому что одно из них является слишком уже не модно. Эти направления изобретательно основаны на потенциальном ущербе для организации – новой концепции, для воплощения которой, должно быть, потребовалось как минимум несколько сеансов мозгового штурма за чашкой кофе. Как принято сегодня говорить, доктрина является ярким примером приверженности индустрии киберзащиты … к тому, чтобы как можно подробнее изложить очевидное. Она убеждает нас в том, что перед лицом киберугроз мы всегда можем положиться на объёмные документы, которые защитят нас.
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Ирония безопасности
Мир кибербезопасности пополнился последней и самой совершенной версией общей системы оценки уязвимостей CVSS версии 4.0. Эта версия обещает произвести революцию в том, как мы оцениваем критичность и влияние уязвимостей ПО, ведь версия 3.1 была всего лишь разминкой. 📌 Более детализированные базовые показатели. если есть что-то, что любят профессионалы в области ИБ, так это детализация. Теперь мы не только можем оценить воздействие на уязвимую систему, но и потратить тысячу листов на детализацию, это уже серьёзный уровень профессионализма 📌 Группа угроз – критичность уязвимости может быть скорректирована в зависимости от того, мог ли кто-то где-то подумать о их использовании, и теперь паранойя всегда подкрепляется последними данными об угрозах. 📌 Метрики окружения позволяют адаптировать оценку к нашей конкретной вычислительной среде. ничто так не говорит о "индивидуальности", как корректировка оценок на основе множества мер по смягчению последствий. 📌 Показатели угроз были упрощены до уровня зрелости эксплойтов. если и есть что-то, что легко определить, так это то, насколько зрелым является эксплойт. 📌 Система подсчёта оценки стала проще и гибче и … больше. если и есть какое-то слово, которое ассоциируется с CVSS, так это простота, ведь теперь поддерживается несколько оценок для одной и той же уязвимости Итак, CVSS версии 4.0 призван спасти положение благодаря своей повышенной ясности, простоте и повышенному вниманию ко всем мелочам и деталям. Потому что, как мы все знаем, единственное, что доставляет больше удовольствия, чем оценка уязвимостей, — это делать это с помощью новой, более сложной системы.
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
Хроники кибер-безопасника
С 4368 жертвами, пойманными в их цифровые сети, киберпреступникам удалось превзойти самих себя по эффективности на 55,5% по сравнению с предыдущим годом, вот что значит KPI. Средняя сумма выкупа для предприятия выросла до более чем 100 000 долларов, при этом требования в среднем составляли крутые 5,3 миллиона долларов. 80% организаций придерживаются политики "Не платить", и все же в прошлом году 41% в итоге заплатили выкуп. И для тех, кто думает, что страховка может спасти положение, подумайте ещё раз. 77% организаций на собственном горьком опыте убедились, что программы-вымогатели – это далеко не то, за что страховая с лёгкостью заплатит, не проверив, а всё ли вы сделали для защиты.
Ransomware_Q3 2023. The report [RU].pdf
Ransomware_Q3 2023. The report [RU].pdf
Хроники кибер-безопасника
LockBit 3.0 завоевал золото на хакерской олимпиаде, за ним последовали отважные новички Clop и ALPHV/BlackCat. По-видимому, 48% организаций почувствовали себя обделёнными вниманием и решили принять участие в кибератаках. Бизнес-сервисы получили награду в номинации "наиболее подверженные цифровому взлому", а образование и розничная торговля последовали за ними. Хакеры расширили свой репертуар, перейдя от скучного старого шифрования к гораздо более захватывающему миру вымогательства. Не бедные страны США, Великобритания и Канада заняли первое место в категории "страны, которые, скорее всего, заплатят". Биткоины были предпочтительной валютой, хотя некоторые стали поглядывать в сторону Monero. Некоторые организации пытались сэкономить на выкупе, заплатив только 37%. Тем, кто все-таки раскошелился, пришлось в среднем отдать $408 643. Кибер-преступность действительно окупается!
2023 Q4. The Ransomware report. [RU].pdf
2023 Q4. The Ransomware report. [RU].pdf
Хроники кибер-безопасника
Документ содержит руководство по эффективной стратегии и тактике реагирования на инциденты (IR). Руководство, разработанное группой реагирования на инциденты Microsoft, призвано помочь избежать распространённых ошибок и предназначено не для замены комплексного планирования реагирования на инциденты, а скорее для того, чтобы служить тактическим руководством, помогающим как группам безопасности, так и старшим заинтересованным сторонам ориентироваться в расследовании реагирования на инциденты. В руководстве также подчёркивается важность управления и роли различных заинтересованных сторон в процессе реагирования на инциденты
MS Navigating Incident Response [RU].pdf
MS Navigating Incident Response [RU].pdf
Ирония безопасности
CVE-2024-0204 как ключ под ковриком, для не прошедших проверку подлинности, и желающих создать своего собственного пользователя-администратора. Эта уязвимость может быть использована удалённо и является классическим примером CWE-425: "Принудительный доступ, когда веб-приложение просто слишком вежливое, чтобы обеспечить надлежащую авторизацию". Уязвимые версии 6.x начиная с 6.0.1 и версии 7.x до 7.4.1, которая была исправлена, а для уязвимых версией необходимо удалить файл /InitialAccountSetup.xhtml или заменить на пустой с перезапуском службы/ Последствия подобны альбому величайших хитов о кошмарах безопасности: 📌Создание неавторизованных пользователей-администраторов (акция «избавляемся от складских запасов аутентификационных ключей») 📌Потенциальная утечка данных (для повышения популярности компании) 📌Внедрение вредоносных программ (вместо традиционных схем распространения) 📌Риск вымогательства (минутка шантажа) 📌Сбои в работе (разнообразие от повелителя хаоса) 📌Комплаенс и юридические вопросы (ничто так не оживляет зал заседаний, как старый добрый скандал с комплаенсом и потенциальная юридическая драма) Планка "сложности атаки" установлена так низко, что даже малыш может споткнуться об неё. Отмечается простота, которая заставляет задуматься, не является ли "безопасность" просто модным словом, которым они пользуются, чтобы казаться важными
CVE. The Fortra's GoAnywhere MFT [RU].pdf
CVE. The Fortra's GoAnywhere MFT [RU].pdf
Хроники кибер-безопасника
Пристегнитесь, потому что мы собираемся отправиться в захватывающее путешествие по мистической стране инноваций Китая, где драконы прошлого превратились в единорогов мира технологий. Да, мы говорим о превращении Китая из любимой в мире машины Xerox в сияющий маяк инноваций. И как им удалось совершить этот удивительный подвиг? Ведь теперь Запад сидит в стороне, заламывая руки и задаваясь вопросом: "Должны ли мы вскочить в уходящий поезд или придерживаться другого плана действий?" Оказывается, Запад ещё не полностью перехитрили, и у него все ещё есть несколько козырей в рукаве. В статье проповедуется, что сидеть и смотреть не самый разумный выбор. Вместо этого Западу следует напрячь свои демократические мускулы и чутье свободного рынка, чтобы остаться в игре.
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
Ирония безопасности
Действие очередной кибер-саги разворачивается в мистических землях Азиатско-Тихоокеанского региона, где главные герои (или антагонисты, в зависимости от вашего взгляда на конфиденциальность данных и необходимость доступа к ним) начали свое цифровую деятельность ещё в середине 2021 года и качественно усилили её в 2022 году. Вооружённый арсеналом инструментов и специально разработанного вредоносного программного обеспечения, предназначенного для кражи данных и шпионажа, Dark Pink был воплощением настойчивости. Их любимое оружие? Фишинговые электронные письма, содержащие сокращённый URL-адрес, который приводил жертв на бесплатный файлообменный сайт, где их ждал ISO-образ, конечно же вредоносный. Давайте углубимся в цели кибер-художников. Корпоративный шпионаж, кража документов, аудиозапись и утечка данных с платформ обмена сообщениями – все это было делом одного дня для Dark Pink. Их географическая направленность, возможно, начиналась в Азиатско-Тихоокеанском регионе, но их амбиции не знали границ, нацелившись на европейское правительственное министерство в смелом шаге по расширению своего портфолио. Их профиль жертв был таким же разнообразным, как совещание ООН, нацеливаясь на военные организации, правительственные учреждения и даже религиозную организацию. Потому что дискриминация это не модная повестка. В мире киберпреступности они служат напоминанием о том, что иногда самые серьёзные угрозы приходят в самых непритязательных упаковках с розовым бантиком.
Cyberprint. Dark Pink Apt Group [RU].pdf
Cyberprint. Dark Pink Apt Group [RU].pdf
Хроники кибер-безопасника
DCRat, швейцарский армейский нож киберпреступного мира, истинное свидетельство предпринимательского духа, процветающего в темных уголках Интернета. С момента своего грандиозного дебюта в 2018 году DCRat стал незаменимым гаджетом для каждого начинающего злодея со склонностью к цифровым проказам. По очень низкой цене в 7 долларов можно приобрести двухмесячную подписку на это чудо современного вредоносного ПО, а для тех, кто действительно предан делу, доступна пожизненная лицензия за внушительную сумму в 40 долларов. DCRat служит напоминанием, что в эпоху цифровых технологий безопасность настолько сильна, насколько сильна способность не переходить по подозрительным ссылкам.
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
Хроники кибер-безопасника
Recently uploaded
(9)
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
Ransomware_Q3 2023. The report [RU].pdf
Ransomware_Q3 2023. The report [RU].pdf
2023 Q4. The Ransomware report. [RU].pdf
2023 Q4. The Ransomware report. [RU].pdf
MS Navigating Incident Response [RU].pdf
MS Navigating Incident Response [RU].pdf
CVE. The Fortra's GoAnywhere MFT [RU].pdf
CVE. The Fortra's GoAnywhere MFT [RU].pdf
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
Cyberprint. Dark Pink Apt Group [RU].pdf
Cyberprint. Dark Pink Apt Group [RU].pdf
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
Security Metrics for PCI Compliance
1.
Измеряя защищенность Метрики
безопасности для PCI DSS Сергей Гордейчик Security Lab by Positive Technologies
2.
3.
4.
5.
6.
7.
8.
9.
10.
Соответствие стандарту По
требованиям
11.
Соответствие стандарту По
узлам
12.
Соответствие стандарту По
узлам и по требованиям
13.
14.
15.
16.
Метрики трудозатрат
17.
18.
19.
20.
21.
Распределение Web-
сайтов по уровню найденных уязвимостей (2008 г.)
22.
Наиболее распространенные уязвимости
23.
24.
25.
Спасибо за внимание!
Сергей Гордейчик http://sgordey.blogspot.com [email_address]
Download now