Micro Focus iSecurity

COVID-19 смог отложить наше ежегодное мероприятие, но остановить его не в силах! Компания Micro Focus Вас приглашает на серию виртуальных сессий Форум пользователей ArcSight. Мы соберём пользователей продуктов ArcSight в новом формате виртуального мероприятия которой продлится со 2 июня по 10 июля 2020. Нас ждут технические доклады от лучших специалистов отрасли, новости о последних изменениях и планах на развитие продуктов, уже ставший традиционным Quizz для внимательных участников и знатоков ArcSight...

Ежегодная международная конференция Micro Focus Universe в этом году будет проводиться виртуально и бесплатно для всех желающих с 17-19 марта. Участники получат доступ к качественному контенту, предоставляемому экспертами Micro Focus, экспертами по продуктам, партнерами и клиентами. Приглашаю всех! Вот небольшая инструкция как присоединиться к конференции: 1. Зарегистрироваться на конференции. Необходимо будет ввести корпоративную почту, имя и должность. Весь процесс занимает 5 минут. https://universe...

Micro Focus® fortify webinspect это инструмент для динамического тестирования web приложений - dynamic application security testing (DAST).

Какая основная сложность при анализе результатов сканирования? Ложные срабатывания! Серьезным недостатком статического анализа кода всегда была необходимость проверки его результатов силами квалифицированных специалистов. Нельзя просто так взять и вывалить результаты сканирования на разработчиков. Это является одной из главных причин неудач при внедрении процесса AppSec. ИБ не может провалидировать все уязвимости, а разработчики не хотят тратить на это много времени. С другой стороны, алгоритмически...

Программное обеспечение давно уже не пишется программистами от начала и до конца. ПО создается из готовых строительных блоков, которые располагаются в различных публичных репозитариях. Эти части вашего ПО создаются, поддерживаются и постоянно изменяются другими людьми, а доступ к этим частям имеют множество людей во всем мире. Вот интересная статья объясняющая как Open Source меняет мир и меняется сам. https://techcrunch.com/2019/01/12/how-open-source-software-took-over-the-world/ В 60% приложений объем Open Source компонент составляет более 75%...

Интересный обзор от GitLab о современных тенденциях в DevSecOps: 1. Изменение способа компоновки и исполнения по: open source, cloud computing, cloud native app, Dockers, orchestrators, serverless applications такие как AWS Lambda изменили ландшафт...

Обучение Что может быть проще, чем сразу писать правильный, идеальный, безопасный код? Для этого надо много учиться и тренироваться. Среди партнерских решений интегрируемых в Fortify есть решение от компании https://securecodewarrior.com/ Они занимаются созданием обучающих материалов, курсов, тренингов, соревнований по теме AppSec Вот пример одного из их видео про SQL injection. Больше видео можно посмотреть на их канале в Yotube. Конечно, курсы это гораздо больше чем просто видео с объяснением...

AppSec - это набор процессов, инструментов и практик, направленных на защиту приложений от угроз на протяжении всего жизненного цикла. Киберпреступники часто организованы, специализированы и мотивированы на поиск и использование уязвимостей в корпоративных приложениях для кражи данных, интеллектуальной собственности и конфиденциальной информации. Безопасность приложений может помочь организациям защитить все виды приложений (таких как устаревшие, настольные, веб, мобильные или микросервисы), используемых внутренними и внешними заинтересованными сторонами, включая клиентов, деловых партнеров и сотрудников...

Как обычно происходит взаимодействие ИБ и разработки? "Мы тут провели пентест, вот критичные уязвимости, исправляйте, а то хрен вам а не релиз" или "Ваши 100500 уязвимостей найденных сканером, надо бы их исправить... пожалуйста" В обоих случаях недопонимание, конфликты и задержки, а все потому, что ИБ не понимает и не должно понимать в программировании...а ещё их мало, а кодеров много Вот подход, который, как мне кажется, позволяет выстроить продуктивно взаимодействие. Таким образом, вокруг...

Data Access And Governance – контроль над файловыми хранилищами, какие данные где лежат, кто когда и как их использует. Вот что есть у нас: a. ControlPoint. Решение, предназначенное для анализа различных типов неструктурированной информации: файловых серверов, почтовых систем, сред коллективной работы и многих других. Позволяет осуществить классификацию данных на основе их смысла, встроенных словарей и регулярных выражений. Также поддерживается автоматизация различных действий: копирование, удаление, тегирование, перенос в специализированные системы. https://www.microfocus.com/en-us/products/file-analysis-dark-data-cleanup/overview...