Positive Technologies и Учебный центр «Информзащита» научат защищать бизнес-приложения

22 апреля 2015 года в авторизованном Учебном центре «Информзащита» состоится первое занятие в рамках нового учебного курса «Анализ и защита приложений с использованием решений компании Positive Technologies». В ходе интенсивного практикума эксперты Positive Technologies познакомят слушателей с актуальными методами обеспечения безопасности веб-,ERP- и мобильных приложений, а также с новыми продуктами — системой анализа исходных кодов и специализированным межсетевым экраном (WAF).

Работа бизнес-корпораций, концернов и холдингов все больше зависит от интернет-технологий, что требует новых, более адекватных подходов к защите приложений. Основные подходы названы в ключевых нормативных документах и в отчетах исследовательских компаний. В 2014 году аналитики Gartner выпустили исследование Web Application Firewalls Are Worth the Investment for Enterprises, в котором рекомендовали руководителям инвестировать в межсетевые экраны, анализ защищенности приложений и инструменты разработки безопасного кода. Разработчики стандарта PCI DSS также указывают на необходимость защищать публичные веб-приложения при помощи специализированных межсетевых экранов либо посредством периодической процедуры анализа защищенности.

Продолжительность учебного курса — три дня. В первый день специалисты Positive Technologies продемонстрируют приемы, используемые при тестировании приложений на проникновение. Это поможет слушателям глубже понять процессы, происходящие в сети, чтобы в дальнейшем более продуктивно работать с предлагаемыми инструментами анализа уязвимого кода и вредоносного трафика.

В следующие два дня слушатели научатся эффективно использовать новые продукты Positive Technologies из семейства Application Security — PT Application Inspector и PT Application Firewall. В процессе изучения Application Inspector специалисты по безопасности узнают, как избежать основных недостатков инструментов статического анализа (огромное число ложных срабатываний, невозможность определить ряд уязвимостей) и динамического анализа (необходимость развертывания систем и риск вызвать сбой в работающем приложении). Слушатели научатся снижать затраты на ручную проверку результатов за счет комбинированного подхода DAST, SAST и IAST, ставить четкие задачи для исправления кода с помощью функции генерации эксплойтов, выявлять закладки в коде и скрытые угрозы, а также обеспечивать выполнение требований регуляторов.

Курс будет полезен и разработчикам, которые выяснят, как сократить расходы на организацию процесса безопасной разработки и тестирования с помощью интеграции PT AI в цикл разработки. Участники занятий познакомятся с методами раннего выявления уязвимостей при SSDL и способами удобного представления информации о проблемном коде, в том числе в виде эксплойтов.

Эксперты Positive Technologies расскажут о методах устранения угроз без обновления веб-приложений или их компонентов при помощи межсетевого экрана прикладного уровня Application Firewall. На практических примерах будет показано, как вместо списка из тысяч подозрительных событий получать несколько десятков действительно важных сообщений и выявлять цепочку развития атаки — от разведки до кражи важных данных или установки закладок. Изучая PT AF, слушатели узнают, как противодействовать большинству методов обхода межсетевого экрана (HPC, HPP, Verb Tampering), блокировать автоматизированные атаки (подбор паролей, фрод, ботнеты, DDoS-атаки), обеспечивать требования стандартов ЦБ РС БР ИББС-2.6-2014 и PCI DSS и приказов ФСТЭК № 17 и 21; как интегрировать PT AF с антивирусами и DLP, системами анти-DDoS и SIEM, а также со всеми продуктами PT AppSec Ecosystem.

Ознакомиться с подробностями курса «Анализ и защита приложений с использованием решений компании Positive Technologies» можно на сайте учебного центра по адресу: itsecurity.ru/catalog/pt08/

Стартующий 22 апреля учебный курс — не первый опыт сотрудничества Positive Technologies и «Информзащиты». ЭкспертыPositive Technologies уже ведут занятия по темам «Анализ и управление уязвимостями на базе решений компании Positive Technologies», «Безопасность систем SAP», «Развертывание и администрирование MaxPatrol Enterprise Edition» и «Сканер безопасности XSpider».