В очередной раз посетил семинар ассоциации RISSPA, и снова осталось ощущение, что семинары стали лучше: во первых содержательная часть стала интереснее, во вторых регламент наконец-то соблюлся и закончили вовремя.
По докладам:
1. "Автоматизированный поиск уязвимостей вида DOM-based XSS: проблемы и решения" Тарас Иващенко, компания Яндекс
Бывшего коллегу послушать всегда приятно и пусть даже "никто ничего не понял" :) Думаю больший интерес будет предоставлять непосредственно презентация и материалы к ней.
2. «WAF наше все?!» Дмитрий Евтеев, компания PositiveTechnologies
Дмитрий довольно доступно и внятно ввел всех в тему. Хотелось конечно больше технических тонкостей и извращенных методов, но думаю не всем бы это понравилось :)
3. «Безопасная доставка веб-контента» Вороченко Владимир, технический директор, компания Защищенные контент-системы
Доклад читался не докладчиком :) из за чего обсуждение предлагаемых технологий переросло в "избиение докладчика", жалко до середины зала дискуссия уже доходила обрывками фраз.
4. "Уязвимости в веб-приложениях как критичный фактор развития киберпреступности" Денис Безкоровайный, технический консультант, компания Trend Micro
Еще один бывший коллега, совсем недавно ведавший нам о технологиях RSA, в этот раз говорил про серебряные пули от TrendMicro, говорил красиво, но в моменте, когда продукты презентуемого вендора стали закрывать требования PCI DSS, причем "сразу все" стало понятно, что чего-то Денис недоговаривает :)
В целом мероприятие прошло на ура, офис Яндекса - лучшее рабочее пространство из мною виденных, хочется еще раз поблагодарить организаторов, принимающую сторону и докладчиков за интересное мероприятие
нужно было напроситься на прогулку в серверную ;)
ОтветитьУдалитьЯ не говорил, что закрывает все требования PCI DSS :) Сразу многие - да. Вот детали и маппинг требований PCI DSS и возможностей продукта, кому интересно:
ОтветитьУдалитьhttp://us.trendmicro.com/imperia/md/content/us/flv/enterprise/endpointsecurity/sp04_pci_090811us.pdf
Денис Безкоровайный
to Denis B: "Сразу многие" вот это и смущает, просто нередка ситуация, когда клиент для покрытия того-же 6.6 PCI DSS выберет ваш WAF в составе общего продукта, а потом придут аудиторы и поставят не соответствие, и будут совершенно правы, ведь установленный WAF из коробки, не обеспечивает защиту от всех актуальных угроз, при этом бедный пользователь будет ссылаться на информацию с вашего сайта, вышеприведенной таблички.
ОтветитьУдалить2 Alexey Babenko
ОтветитьУдалитьЛучший подход - это работа над такими проектами совместно с аудиторами. Если клиент купил топор и поранился, топор ведь не виноват, правда? Так же и тут - есть инструмент, который может то-то и то-то, а уже как его настраивать и как правильно применять думает клиент, но как правило это партнер-интегратор (или аудитор), который и будет правильно его настраивать и применять к конкретной ситуации клиента. Так что я согласен, просто установка продукта - это не выполнение требований, но использовать продукт для выполнения требований можно.