SEMAFOR 2019 – XII Forum Bezpieczeństwa i Audytu IT

Konferencja SEMAFOR organizowana przez Computer World, ISACA, ISAA Polska to jedno z najważniejszych wydarzeń w branży bezpieczeństwa informacji i audytu IT w Polsce. Co roku uczestniczy w niej ponad 500 osób. W dniach 14-15.03.2019 nasi specjaliści kolejny raz mieli okazję dzielić się z uczestnikami wiedzą, tym razem w ramach ścieżki tematycznej: Techniczne aspekty bezpieczeństwa.

 

Testowanie bezpieczeństwa chmury na przykładzie AWS

 

semafor p rzepa

 

Podczas prezentacji Paweł Rzepa przeprowadził przykładowy atak na firmę korzystającą z usług AWS. Wykorzystując podatność w aplikacji webowej i szereg drobnych zaniedbań w konfiguracji AWS – krok po kroku, jako atakujący, przejął rolę administratora AWS, a następnie usunął wszelkie dowody swojej aktywności.

 

Symulacja miała na celu pokazać, że testy środowisk chmurowych są konieczne oraz to, w jaki sposób różnią się one od testów środowisk opartych o klasyczną architekturę. Nowe ryzyka i zagrożenia, które pojawiły się wraz z usługami chmurowymi wymuszają zmianę podejścia do ich testowania.

 

Na podstawie zebranych wniosków odpowiedzieliśmy na pytanie: Jak powinien wyglądać test bezpieczeństwa chmury?

 

Zobacz prezentację

 

Wśród usług, które przeprowadzamy znajdują się również te z zakresu bezpieczeństwa środowisk chmurowych (testy bezpieczeństwa AWS).

 

Czy S w PSD2 znaczy Secure?

 

semafor l bobrek

 

Regulacja dyrektywy PSD2 to najważniejsza zmiana, która dotyka w tym roku branżę bankowości, fintechów, e-commerce i płatności elektronicznych, również w kontekście bezpieczeństwa.

 

Łukasz Bobrek podzielił się doświadczeniem zebranym podczas testowania nowych aplikacji finansowych, związanych z nimi trendami i typowymi błędami popełnianymi podczas implementacji. Skupił się na na technicznych wyzwaniach związanych z bezpieczeństwem w kontekście PSD2, omawiając:

– podatności spotykane w funkcjonalności uwierzytelniania dwuskładnikowego (2FA),

– podatności autoryzacji transakcji (w tym w zastosowaniach biometrii),

– podatności w interfejsach API do usług bankowych,

– dobre praktyki implementacji 2FA i interfejsów PIS/AIS.

 

Zobacz prezentację.

 

Sprawdź, w jaki sposób poprawiamy bezpieczeństwo aplikacji, w zgodności z dyrektywą PSD2 i nie tylko.

 

Obejrzyj relację z wydarzenia i pozostań z nami w kontakcie i śledź kolejne wydarzenia – dołącz do newslettera

 

Inne artykuły

Bądź na bieżąco!

  • Artykuły i raporty
  • Narzędzia
  • Nasze prezentacje i relacje z konferencji na całym świecie
Podanie danych jest dobrowolne. Będziemy wysyłać newsletter do czasu cofnięcia zgody (Możesz cofnąć zgodę w każdym czasie). Dane będą przetwarzane przez okres czasu wskazany w Polityce Prywatności dostępnej pod adresem URL.
Administratorem danych jest SecuRing S.J. z siedzibą ul. Kalwaryjska 65/6, 30-504 Kraków. Mam prawo cofnąć zgodę w każdym czasie (można bezpośrednio kliknąć w e-mailu z newslettera lub wysłać informację na adres e-mail info@SecuRing.pl lub pod numerem telefonu: 12 425 25 75). Mam prawo dostępu do danych, sprostowania, usunięcia lub ograniczenia przetwarzania, prawo sprzeciwu, prawo wniesienia skargi do organu nadzorczego i prawo do przeniesienia danych. Podstawą prawną do przetwarzania danych osobowych jest art. 6 ust.1 lit. a) rozporządzenia o ochronie danych osobowych (RODO).
Administrator korzysta z różnych rozwiązań informatycznych, które pozwalają na sprawniejszą komunikację oraz wysyłkę newslettera (te firmy są tzw. odbiorcami danych/procesorami). Dane nie są przekazywane poza Europejski Obszar Gospodarczy. Firmy te mają podpisane stosowne umowy powierzenia przetwarzania danych osobowych.
Dziękujemy za zapisanie się do newslettera.
Wystąpił problem z przesłaniem wiadomości.
Prosimy o kontakt telefoniczny.