$ENG$

#ENG#

@ENG@

0x7DC

0x7DD

0x7DE

0x7DF

25-26.11.15

$ENG$

#ENG#

@ENG@

0x7DC

0x7DD

0x7DE

0x7DF

25-26.11.15

Defensive Track


«Сыграем в игру: еще один способ тестирования на проникновение»

Докладчик: Кирилл Ермаков

Любая современная корпорация проходит внешние пентесты, аудиты и другие проверки «контролей» информационной безопасности. Существует множество разнообразных подходов к этим процессам. Одни из них получаются по эффективности чуть лучше, чем автоматизированное сканирование, другие претендуют на симуляцию реальной атаки. Я расскажу вам про наш подход к «тестированию на проникновение» и историю двухмесячной игры на выживание.


«Как мы боролись с 0-day в Adobe Flash: охота на поврежденный вектор»

Докладчики: Андрей Ковалев, Константин Отрашкевич, Евгений Сидоров

В 2015 году эксплуатация Adobe Flash остается в моде среди исследователей безопасности, а равно и среди киберпреступников. Ведь это проигрыватель, состоящий из единой базы кода и работающий во всех современных браузерах и на всех ОС. Такие условия позволяют атаковать разные платформы одним эксплойтом.
История эксплойтов для Flash, основанных на повреждении векторных объектов, началась в 2013, когда вышел первый эксплойт для CVE-2013-0634 «Леди Бойль». В 2014 уязвимость CVE-2014-0322 подсказала более простой подход: повреждение поля Vector.length, позволяющее читать и перезаписывать память процесса IE, создавать ROP-шеллкод и запускать его. Это очень мощный подход, используемый во всех новых эксплойтах (включая утекшие из ресурсов HackingTeam).
Только в июле 2015 Google и Adobe изобрели новую технологию противодействия, защищающую конечного пользователя, но разработчикам эксплойт-паков до этого дела нет.
У нас в Яндексе есть собственная технология поведенческого анализа, разработанная для таких эксплойтов, и в нашей презентации мы поделимся ключевыми принципами, на которых она основана. Мы также дадим указания по разработке системы поведенческого анализа для обнаружения сложных Flash-эксплойтов.
Мы уделим особое внимание:


«Анализируй это: собираем современную SIEM на основе Open Source-компонентов для анализа логов в большом масштабе»

Докладчик: Даниил Светлов

Когда речь заходит об обнаружении вторжений средствами OpenSource, недостатка в выборе ПО нет. Есть AIDE, OSSEC, Snort, Suricata, Bro IDS. Добавим сюда еще логи от антивирусов, файрволов и сетевого оборудования. Все эти системы имеют свои форматы логов, различные пользовательские интерфейсы и могут генерировать от нескольких тысяч алертов в сутки. В такой ситуации остро встает вопрос сбора всех этих событий, их анализа, получения оповещений на почту. При этом, иногда хочется парой кликов мыши сделать необходимую выборку событий и построить по ним графики. Существующие сейчас на рынке SIEM либо дорого стоят, либо представляют собой бесплатные, но сильно сокращенные версии платных продуктов. В ходе доклада будет показано, как собрать из Elasticsearch, Logstash и Kibana систему для анализа логов OSSEC, Snort, Suricata и Cisco ASA с возможностью SQL-like поиска, гибким управлением почтовыми уведомлениями, масштабируемой multi-tier архитектурой из коробки. В конце презентации будет дана ссылка на ansible playbook, который установит на сервер все необходимые компоненты и сконфигурирует их для того, чтобы вы смогли начать анализировать ваши логи, не теряя времени.


«Корреляция событий безопасности с помощью Esper»

Докладчик: Клендар Николай

Доклад посвящен возможностям библиотеки Esper для сложной обработки событий безопасности (корреляции). В ходе доклада будут рассмотрены базовые и расширенные возможностибиблиотеки, а также представлено приложение, позволяющее оперативно обнаруживать атаки, подозрительную активность и другие аномалии.


«Автоматизация сканирования веб-приложений - опыт Яндекса»

Докладчик: Эльдар Заитов

Каждый, кто пытается внедрить сканирование безопасности приложений как процесс, сталкивается со схожим набором сложностей. Мы расскажем про эволюцию нашего процесса сканирования, технические (и не только) аспекты автоматизации, поделимся своими решениями.


«Банковские трояны: взгляд с другой стороны»

Докладчик: Левин Алексей Владимирович

Мы как разработчики системы клиент-банк постоянно сталкиваемся с воровством денег у клиентов банков при помощи троянов. Самые опасные трояны используют автоматическую подгрузкуи скрытие платежей на компьютере клиента с изменением поведения java-программы на лету. Доклад посвящен таким троянам, защите от них и технологиям, которые мы разрабатываем для этого Мы расскажем о инструментах, которые мы используем, рассмотрим эффективность этих инструментов, обсудим дополнительные методы защиты (например, контроль целостности constant-pool и использование invokedynamic).


«Банковский SDL своими руками»

Докладчик: Шабалин Юрий

От банков обычно не ждут адекватного подхода к прикладной ИБ, тем более к такому новому техническому направлению, как SDL. Всегда ли это так? Я расскажу, как занимаюсь развитием направления безопасной разработки в Альфа-Банке, обозначу основные проблемы, с которыми довелось столкнуться и пути их решения.


Следите за обновлениями!