PCI DSS PA-DSS Статьи Блог Форум О Сообществе PCI DSS Russia Семинар


PCI DSS
Тэги
инцидент (371)
в мире (318)
исследования (293)
банки (246)
ДБО (240)
malware (176)
сообщество (114)
конференция (109)
статистика (100)
кража (95)
утечка данных (88)
digital security (77)
законодательство (58)
carders (54)
visa (47)
банкоматы (46)
соответствие (40)
mastercard (40)
pci dss (37)
phishing (35)
выполнение требований (31)
стандарт (29)
blackhat (25)
skimming (24)
pci ssc (18)
pci dss russia (18)
аудит (16)
pa-dss (16)
insider (15)
социальная инженерия (15)
dsecrg (14)
биометрия (13)
сертификация (12)
authentication (12)
pin (11)
вебинар (11)
публикации (9)
инфографика (6)
mobile (6)
пентест (5)
СТО БР ИББС (5)
oracle (4)
erp (4)
полезные советы (4)
cash (4)
область аудита (3)
шифрование (3)
обновления (3)
atm (3)
вредные советы (2)
документация (2)
sap (2)
бизнес-приложения (2)
owasp (2)
asv (1)
итоги (1)
мнение (1)
фишинг (1)
банк (1)
исследвания (1)
конференции (1)
Урасльский форум (1)
Самые комментируемые за месяцСамые комментируемые за месяц

Опросы
Где расположена ваша информационная инфраструктура?

В собственной серверной комнате
На арендованной площадке в дата-центре
В арендованной у дата-центра виртуальной среде

 
FAQ:
PCI DSS & PA-DSS


Что такое PCI DSS и PA-DSS? Ответы на главные вопросы.
Путь к соответствию PCI DSS

Выполнение требований стандарта и разработка компенсирующих мер.
Проверка
соответствия


Правила проверки соответствия компании требованиям стандартов и контакты тех, кто проверяет.
Копилка
полезностей


Здесь можно скачать стандарты PCI DSS и PA-DSS на русском языке и другие полезные материалы.
Главная Блог Блог

Специалисты DSecRG об итогах 2010 года

Вот и подошел к концу 2010 год, третий год публичной работы исследовательского центра DSecRG, очень сложный, но вместе с тем очень продуктивный. В 2010 году было обнаружено большое количество уязвимостей в различных продуктах, однако количество опубликованных уязвимостей оказалось меньше, чем в предыдущие годы, поскольку производителями еще не были внесены исправления, после которых возможна их публикация. Кроме того, уязвимости стали более критичными и разнообразными, а спектр затрагиваемых приложений пополнили банковское программное обеспечение и новые ERP-системы.
За три года был накоплен значительный опыт исследований в различных направлениях, а вместе с тем была выработана ключевая направленность исследований – что очень важно для постановки целей и постоянного роста, и в этом ключе мы предполагаем развиваться и далее. Основная область исследований – это критичные для бизнеса системы, приложения и технологии, из которых на данный момент мы исследуем ERP-системы, корпоративные СУБД, а также банковское (ДБО) и процессинговое программное обеспечение. В этом году мы также обратили свое внимание на безопасность SCADA и технологических систем, как одну из наиболее актуальных в настоящее время областей, подготовив обзор инцидента Stuxnet.
Помимо публикации уязвимостей и исследований, за прошедший год нас неоднократно приглашали выступить с докладами на международных конференциях. Выступления состоялись на 8 европейских и азиатских международно-известных конференциях по информационной безопасности с 9 докладами:


Участие в данных мероприятиях позволило нам как поделится новыми исследованиями с международным сообществом, так и завязать множество знакомств с профессионалами и расширить свой кругозор в области новых техник и технологий.
Большая часть докладов и исследований в 2010 году была посвящена безопасности SAP. Мы наладили с SAP партнерские отношения в области поиска и анализа уязвимостей и с сентября 2010 года стали получать ежемесячные официальные благодарности на официальном сайте http://sdn.sap.com за найденные уязвимости в обновлениях безопасности, сохраняя лидерство по количеству обнаруженных уязвимостей. Кроме того, мы выпустили бесплатный сервис, помогающий пользователям SAP оценить их уровень осведомленности и уровень безопасности клиентского программного обеспечения SAP GUI и нового NetWeaver Business Client. Сервис расположен по адресу http://erpscan.com и будет обновляться последними актуальными уязвимостями и новыми анализируемыми программными продуктами.
Продолжая тему безопасности бизнес приложений, в 2010 году мы стали участниками консорциума OWASP и возглавляем проект, посвященный безопасности корпоративных бизнес-приложений OWASP_EAS. В области банковской безопасности мы продолжили ежегодный анализ защищенности Банк-Клиентов, обнаружив ряд серьезных уязвимостей в популярных продуктах.

Интересные факты

- Мы возобновили работу блога и планируем в следующем году существенно увеличить его контент, добавив в него постоянные рубрики;
- Все наши сотрудники зарегистрировались в Twitter для более быстрого доступа и распространения актуальной информации;
- Четверо наших сотрудников пишут статьи в сетевой журнал «Хакер», а также ведут в нем постоянные рубрики;
- В России вслед за DSecRG начали появляться новые исследовательские группы;
- Нашу страничку About и название DSecRG клонируют молодые исследователи из других стран.

Планы на будущее

Новый 2011 год у нас начинается 18 января с выступления на самой культовой конференции по информационной безопасности BlackHat DC 2011 в Америке, выступление на которой каждый специалист по информационной безопасности считает большим достижением. Мы представим на данной конференции наши исследования в области безопасности ERP-систем и покажем отличия в подходах при обычном тесте на проникновение и тесте на проникновение (анализе защищенности), направленном на критичные бизнес-приложения, с примерами нестандартных уязвимостей и ошибок в архитектуре. Помимо этого, мы продолжим выступать на других конференциях в этом году.
За этот год была реализована большая часть намеченных планов, а если еще учесть, что основные силы исследователей были направлены на создание сканера безопасности ERPScan для систем SAP, выпуск которого планируется в следующем году, то этот год можно считать очень продуктивным.
dsecrg | erp | owasp | итоги
КомментарииКомментарии

Добавьте комментарий!
Представьтесь, пожалуйста
Укажите адрес вашей почты
Опубликован не будет
Следить за дискуссией по почте
 











Партнеры