Исследователи из компании Digital Security, предоставляющей консалтинговые услуги в области ИБ, в третий раз выступят на крупнейшей в мире конференции по ИБ BlackHat 2013, которая пройдет с 27 июля по 1 августа в Лас-Вегасе, США. На этот раз Digital Security представит два доклада. Это довольно необычно для Black Hat – организаторы мероприятия редко предоставляют возможность одной компании выступить дважды. Более того, презентации Александра Полякова, Алексея Тюрина и Дмитрия Частухина фактически дадут старт технической части BlackHat 2013, т.к. выступление и семинар наших экспертов запланированы первыми в программе: http://blackhat.com/us-13/schedule/briefings-31.html Это особенно отрадно, учитывая тот факт, что Digital Security в этом году является единственной российской компанией, участвующей в BlackHat в Лас-Вегасе.
О чем будут говорить исследователи из Digital Security? Главным образом, о том, что неуязвимых систем не бывает. Это касается и приложений для бизнеса, от которых напрямую зависит сегодня деятельность большинства компаний. ERP, CRM, SRM, ESB, - эти системы хранят и обрабатывают финансовые и личные данные, а также информацию по проектам, общественным инициативам, взаимоотношениям с клиентами и журналистами. И являются желанной целью для любых злоумышленников, будь то киберпреступники или шпионы конкурентов.
Важность обеспечения защиты бизнес-приложений сомнений не вызывает, однако до сих пор недостаточно информации о безопасности таких систем. Еще меньше известно о том, как проводить тестирование на проникновение приложений для бизнеса. Александр Поляков, технический директор Digital Security, и Алексей Тюрин, директор департамента аудита Digital Security, представят уникальные данные по практическому пентестингу трех различных систем от ведущих поставщиков бизнес-приложений: SAP, Oracle и Microsoft в ходе своего семинара «Практический пентестинг ERP-систем и бизнес-приложений».
В ходе работы над проектом OWASP-EAS эксперты Digital Security выделили 10 наиболее критичных с точки зрения безопасности областей для большинства бизнес-приложений. Александр Поляков и Алексей Тюрин не только проведут их пентестинг, но и представят инструмент ERPScan Pentesting Tool.
Дмитрий Частухин, директор департамента аудита SAP Digital Security, в своем выступлении «С Большими Данными приходит большая ответственность: практическое использование MDX-инъекций» расскажет о безопасности систем BigData, используемых повсеместно для обработки огромных объемов неструктурированных данных. Дмитрий представит первое в мире исследование практической безопасности таких систем, которые хранят важнейшую информацию компаний разного масштаба.
В современной отрасли аналитических систем для бизнеса почти все системы BigData используют язык запросов MDX. Дмитрий подробно расскажет о языке MDX, его тонкостях и специфике. Кроме того, будет продемонстрирован ряд атак, основанных на внедрении команд в MDX-запросы.
Дмитрий Частухин прокомментировал значимость обсуждаемой темы для бизнеса: «OLAP-серверы являются привлекательной целью для атакующих, так как хранят критичную информацию, на основе которой менеджеры различных компаний принимают стратегические решения. Компрометация такого сервера может повлечь за собой не только репутационные риски и информационные потери, но и подвергнуть угрозе дальнейшее развитие любой организации».
- Стоимость медиауслуг (открыть PDF) -
