AtlSecCon 2014 - Präsentationen Jon Blanchard - 20 Top-Hacked und Defaced Maritime Websites Mark Stanislav - Augen auf IZON: surveilling IP Camera Security AtlSecCon 2014 - Agenda - Tag 1 - Donnerstag 27. März Time Track 1 Track 2 Track 3 08.30 Anmeldung 8 : 45 Uhr Eröffnung & Eröffnungs Keynote - Dr. Michael Geist 10.00 Henry Stern - Beyond Zone File Access: Discovering Novel Domain-Namen Passive DNS Colin O'Flynn - Hacking Embedded Systems: Power Analysis & Clock Glitching 10.45 Morgenpause 11.00 11.45 liefertes Mittagessen - Ergänzungen von HP und Mobia David Fraser - Datenschutz und Technologie Anwalt Thema: Compliance - Legal & Regulatory Requirements & Pflichten Patrick O'Byrne - Senior Solution Architect, HP Enterprise Security Thema: HP Enterprise Security ArcSight - Wie ArcSight-Technologie mit Audit & Compliance-Anforderungen helfen kann. 01.00 Russ Doucette - Advanced Malware: Do We Andere Schichten David Shipley benötigen - Die Sicherung der Ivory Tower Marc-Andre Belanger - EinsatzDer Schutz Ihrer Organisation das wertvollste Gut Norbert Griffin - - Threat Modeling Techniken, um die ultimative Keylogger 02.00 Natalie Oldfield zu entwickeln, die Blinky-Light-Syndrom und warum es nicht macht uns Sichere Peter Morin - Wie oft habe ich das Bad heute? Eine Einführung Quelle Intelligenz 02.45 Nachmittagspause 03.00 Jamie Rees zu öffnen - Information Assurance Mike Doherty - Rechtsfragen in Computer-Security Research Ryan Wilson - Advanced Evasion Techniques (AET), unter Umgehung NextGen Firewall, IPS und andere Netzwerk-Sicherheit Verteidigung . Wie halten Sie sich? 04.00 Kellman Meghu - weaponized Sicherheit 05.00 Palo Alto Networks Social Mixer 20.00 Lautsprecher Abendessen (Ticket erforderlich) AtlSecCon 2014 - Agenda - Tag 2 - Freitag, 28. März Time Track 1 - Zimmer 200B Track 2 - Zimmer 200D Track 3 - Zimmer 200C 9.00 Begrüßung und Einführung 09.15 Dale "Dr. Z" Zabriskie - The State of mobile Security Derek Manky - Beyond BYOD - Hacking das Internet der Dinge 10.00 Rick Vanover -Datenschutz Sicherheit Mishaps dass Sie Dale O'Grady vermeiden können - Anwendung Bezeichnung 10.45 Morgenpause 11.00 Matias Katz - Hacking the Cloud Ami Luttwak - Eine unbequeme Zeus: Der Aufstieg von SaaS Gezielte Malware Jean-Francois Gignac - Die Economics of Cyber-Kriminalität 11.45 liefertes Mittagessen - Ergänzungen von Varonis Vitaly Levin - Sicherung unstrukturierter Daten, die nächste Evolutionsstufe von eDiscovery und Data Loss Prevention 01.00 Mark Stanislav - Augen auf IZON: surveilling IP-Kamera-Sicherheits Jon Blanchard - 20 Top-Hacked und Defaced Maritime Websites James Placer - Payment Card Industry 3.0 Updates und Anforderungen aus Sicht der Industrie 02.00 Sandy Fadale - Wie Setup einen Rahmen für die Governance von Enterprise IT Joseph Malinka - ein Ring, sie alle "zu regieren - Verwenden der CPU-Funktionen Alle Geräte zu ermöglichen, sich durch Design Guillaume Ross zu schützen - URL-Schema Sicherheit auf iOS 2.45 Nachmittagspause 03.00 Closing Keynote - Brian Krebs 04.00 Schlusswort und VerlosungenAtlSecCon 2014 - Lautsprecher Eröffnungs-Keynote Speaker Dr. Michael Geist ist ein Jura-Professor an der University of Ottawa, wo er den Canada Research Chair in Internet und E-Commerce-Gesetz hält. Er hat einen Bachelor of Laws (LL.B.) Grad von Osgoode Hall Law School in Toronto, Master of Laws (LL.M.) Grad von der Universität Cambridge in Großbritannien und an der Columbia Law School in New York erhalten und ein Doktorat in Law (JSD) von der Columbia Law School. Dr. Geist ist ein Kolumnist auf Technologierecht Probleme mit seiner regelmäßigen Kolumne im Toronto Star und der Ottawa Citizen erscheinen. Dr. Geist Herausgeber mehrerer urheberrechtlich geschützte Bücher ist einschließlich der Urheberrechtspentalogie: Wie der Oberste Gerichtshof von Kanada die Grundlagen der kanadischen Urheberrechtsgesetz Shook (2013, Presse University of Ottawa), von "Radical Extremismus" auf "Balanced Urheberrecht": Canadian Urheberrecht und die Digitale Agenda (2010, Irwin Law) und im öffentlichen Interesse: die Zukunft des kanadischen Urheberrechtsgesetz (2005, Irwin Law). Er ist auch der Herausgebermehrere monatliche Technologierecht Publikationen, und der Autor eines populären Blog auf Internet und Recht des geistigen Eigentums Probleme. Dr. Geist dient auf vielen Boards, einschließlich der CANARIE Board of Directors, dem kanadischen Legal Information Institute Board of Directors, die Datenschutzbeauftragten der kanadischen Expert Advisory Board, die Electronic Frontier Foundation Advisory Board, und auf dem Informationsprogramm Sub-Board der Open Society Institute. Er hat zahlreiche Auszeichnungen für seine Arbeit mit dem Kroeger Award für Politik Führung und dem Public Knowledge IP3-Preis im Jahr 2010, dem Les Fowlie-Preis für Geistige Freiheit von der Ontario Library Association im Jahr 2009, der Electronic Frontier Foundation Pioneer Award 2008 Canarie des IWAY erhalten Öffentliche Leadership Award für seinen Beitrag zur Entwicklung des Internets in Kanada und er wurde im Jahr 2010 im Jahr 2003 einer von Kanadas Top 40 Under 40 genannt, Managing Intellectual Property nannte ihn einen der 50 einflussreichsten Menschen aufgeistiges Eigentum in der Welt und kanadischen Anwalt nannte ihn einen der 25 einflussreichsten Anwälte in Kanada im Jahr 2011, 2012 und 2013. Weitere Informationen finden Sie unter Schließen Keynote Speaker Brian Krebs als Reporter 1995-2009 für die Washington Post arbeitete erhalten werden, Authoring mehr als 1.300 Blog-Beiträge für den Fix Blog Sicherheit, sowie Hunderte von Geschichten für washingtonpost.com und der Washington Post Zeitung, darunter acht Front-Seite Stockwerke im toten Baum Ausgabe und einer Post Magazine Cover Stück auf Botnetz-Betreiber. Aber Sie wollten nicht wirklich mein Resümee zu lesen, nicht wahr? Was die meisten Leute wollen wissen, ist, wie ich in Computer-Sicherheit bekam, und ob ich einen technischen Hintergrund auf dem Feld. Die kurze Antwort ist "zufällig" und "nein", beziehungsweise. Ich erwarb einen Bachelor of Arts in International Studies von der George Mason University im Jahr 1994 und zu der Zeit war ich nicht daran interessiert, in Computern, obwohl ich ein bisschen auf einem Apple II programmiert hatte und ziemlich viel Zeit damit verbracht,Besuch Online-Bulletin Boards als Kind. Erst 2001 - als meine gesamte Heimnetzwerk von einem chinesischen Hacker-Gruppe überrannt wurde -, dass ich in der Computersicherheit intensiv interessieren. Ich hatte mit einer Standard-Installation von Red Hat Linux (6.2) auf einem alten Hewlett-Packard-System wurde nachäffen, weil aus irgendeinem Grund ich es in meinem Kopf hatte, dass es Spaß machen würde, mich zu lehren, wie die Ersatz Computer in einem überdimensionalen zu drehen Firewall [ah, die Ironie]. Das heißt, bis der Löwe Wurm kam um und sperrte mich aus meinem System. Zweimal. Nach diesem Vorfall habe ich mich entschlossen, so viel wie ich konnte über Computer und Internet-Sicherheit zu lernen, und lesen die meisten alles auf das Thema, das ich meine Hände auf zu der Zeit bekommen konnte. Es ist eine Obsession, die nicht zulassen, hat. Ein großer Teil meines Wissens über Computer und Internet-Sicherheit kommt aus auf dem Planeten regelmäßigen und direkten Zugang zu einigen der klügsten und clueful Geeks kultiviert haben. Den Rest habe ich wahrscheinlich von einer Bereitschaft kommt denken, Risiken zu übernehmen, machenFehler, und von ihnen lernen. Ich bin 40 Jahre alt und lebe mit meiner Frau Jennifer in Nord-Virginia. Wenn ich nicht am Computer bin ich meistens meine freie Zeit mit Lesen verbringen, Schreiben, Kochen, Gartenarbeit, Studium Russisch und Gitarre zu spielen. Ich genieße auch, mit den Lesern entspricht, so mir eine Notiz schießen und sagen Sie mir, was Sie von dem Blog denken (Sprecher Marc-André Bélanger Marc-André Bélanger ist in der IT seit 1997 und in Sicherheit seit dem Ende des Y2K Goldrausch. Er ist derzeit als Senior Risk Officer innerhalb der Versicherungsbranche tätig und arbeitete im Laufe seiner Karriere, in Retail und Banking. Er akkumuliert über umfangreiche Erfahrungen im Incident Management, Computer und mobile Forensik und IT-Risikominderung. Serious Fan von Spielen und Wettbewerben Hacking, Hardware-Hacking und Kommissionierung sperren. Er hält derzeit Zertifizierungen in Fraud (CFE), Physical Security (CPO), Pen-Testing (CEPT) und Informationssystem Security (CISSP). mit Threat Modeling Techniken, um die ultimative Keylogger zu entwerfen Meistverwendet zu erarbeiten Strategien zur Risikominderung, Threat Modeling ist seit einiger Zeit gewesen ... Aber mal sehen, wie wir die Techniken Systemspezifikationen zu durchlaufen integrieren können. Und warum nicht einen Blick in die dunkle Seite und sehen, wie es uns helfen, die ultimative Keylogger gestalten können. Wir alle wissen, dass ein Keylogger protokolliert Schlüssel ... Aber wie können wir es besser machen? Was sind die Gefahren für den Keylogger? Offensichtlich detektiert wird, ist die am weitesten verbreitete. Aber nicht bekommen, vor uns hier ... Es gibt viele andere Funktionen sind wir in das Design integrieren wollen neben unsichtbar zu sein. Achtung: Dieser Vortrag ist nicht gonna lernen Sie, wie Threat Modeling zu tun, noch, wie es in Ihrem "unabhängig von Buchstaben Akronym Lifecycle" zu integrieren. Es geht um ziemlich farbige Graphen mit Anforderungen zu erleichtern, Scoring und Entscheidung über einen iterativen Prozess. Außerdem Trolle gewarnt werden, wird der Begriff "Threat Modeling" auch verwendet, um "Risk Modeling" und "Attack Modellierung" bezeichnen. Jon Blanchardist ein Lautsprecher, Technologie-Kolumnist mit Canada.com und der Globe and Mail, sowie die Ethik der Nova Scotia Technologie Guild Sitz in Halifax, Kanada Blei für. Herr Blanchard (@dexterdyne) ist eine regelmäßige und beliebte Moderator auf die Herausforderung und das Versprechen von hackism im Atlantic Security Conference (AtlSecCon), High-Tech Crime Investigation Association (HTCIA) und Atlantic Internet Marketing (AIM) Konferenzen - sowie Halifax Gebiet Sicherheit Klatch (HASK), Dritter mittwochs (3W) und Podcamp Halifax. 20 Top-Hacked und Defaced Maritime Websites in diesem Jahr beitreten Jon Blanchard, canada.com Technologie-Kolumnist und #SausageLove Insider für die 2. Jahres Top-20-Maritime Webseiten Bericht gehackt. Als Autor von #SausageLove, waren Herr Blanchard Kugeln in diesem Jahr die syrische Armee elektronische Übernahme von MicroSoft @ skype / skype.com und @ MSFTNews / blogs.technet.com - sowie exklusive Berichte bis 2013 auf gehackt kanadischen Websites von der kanadischen hin Die Naturforscher nach Manitoba PortalHydro-Backbone sowie Montreal Dawson College und die Universitäten von Ottawa, Toronto, Britisch-Kolumbien und Ryerson. Mike Doherty ist ein abgerundetes Computer Geek. Derzeit ein Informatik-Studium an der Universität Dalhousie Abschluss, wird er von Google-Site Reliability Engineering Team im Juli beitreten. Mike hat einen Hintergrund in der Psychologie und in der Schnittstelle zwischen Technologie mit anderen Bereichen der Studie interessiert. Als Ergebnis hat er nutzbare Privatsphäre und Sicherheit untersucht und ist der führende Veranstalter von CryptoPartyHFX, eine praktische Computersicherheit Tutorial für die Öffentlichkeit, die das Thema einer aktuellen CBC Radio-Interview war. Sie können ihn online unter Rechtsfragen in Computer-Sicherheitsforschung finden Wie funktioniert die Regierung Hacking definieren? Was sind die Linien sind Sie nicht zu überschreiten darf - und was passiert, wenn Sie das tun? Computer Security-Forscher stellen echte rechtliche Risiken, aber die meisten nicht erkennen, es. Unabhängige Forscher sind besonders gefährdet. Wenn Sie vorhaben, den Kaiser zu sagen, dass er hatkeine Kleidung, sollten Sie besser vorbereitet werden. Dieser Vortrag wird einen Überblick über die aktuelle Rechtslage Landschaft in Kanada bieten, auf Straf- und Urheberrecht konzentrieren, und es mit der US-Situation mit mehreren Fallstudien kontrastieren. Praktische Ratschläge zur Risikominimierung wird geteilt. Russ Doucet. Seit über 20 Jahren Herr Doucet gearbeitet hat mit mehr als 10 Jahren Fokus auf Security-Appliances in der Informationstechnik. Russ hat viele große Installationen in Unternehmen, Bildungseinrichtungen und Regierungsräume sowie Roll-Outs und die Unterstützung von Handelsketten und anderen verteilten Organisationen durchgeführt. sowie zertifizierte Lehrplan für verschiedene Plattformen für Hunderte von Sicherheitsexperten über die Jahre Russ ist auch ein versierter Trainer, individuell entwickelte geliefert zu haben. Russ wurde bei der ersten kanadischen Fortinet Xtreme-Team technische Ereignis als Xtreme-Team MVP in Montreal 2011. Neben dem Training, Implementierung erkannt und sowohl Pre-Sales und Post-Sales-Support, Herr Doucet auch häufig sprichtan den Sicherheits Seminaren und Konferenzen auf einer Vielzahl von vorausschauenden Sicherheitsthemen in Ontario und den östlichen Provinzen. Schließlich Herr Doucet gerichtlich anerkannter Experte ist, bezeugt bei zahlreichen Gelegenheiten für Zivil- und Strafsachen vor Gericht mit Sicherheit und Forensik beteiligt sind. Erweiterte Malware: Brauchen wir Andere Schichten Es gibt viel Gerede über Advanced Persistent Threat, kundenspezifische Malware und gezielte Angriffe. Nicht überraschend, viele Anbieter in Firewall, Antivirus, SIEM, IPS und anderen Marktsegmenten behaupten, können sie solche Angriffe zu blockieren. Die Frage ist: Sind sie das? Bei Insa: Erweiterte Malware: Brauchen wir Andere Schichten Präsentation werden wir einige der nächsten Generation Bedrohungen und die relative Fähigkeit (oder Unfähigkeit) herkömmlicher Technologien beschreiben, sie zu blockieren. Wir werden auch Zitat Industrie-Analysten, Regierungsorganisationen und Studien beschreiben nächste Generation von Bedrohungen und Möglichkeiten, in denen sie versuchen, Opfer-Organisationen zu durchbrechen und innerhalb Opfer Netzwerke mit dem ultimativen navigierenZiel der Ex-filtrating Daten. Sandy Fadale ist ein Senior Manager bei Bell Aliant, wo sie für führende Informationssicherheit in allen sechs Provinzen serviert von der Organisation mit einem Team von 14 hoch qualifizierten Sicherheits- und Compliance-Spezialisten verantwortlich ist. Sandy ist zuständig für die allgemeine Sicherheitsplanung, Schwachstellen-Management, Risikomanagement, Richtlinien und Standards, Sicherheitsbewusstsein, Sarbanes-Oxley-Compliance und Sanierung, PCI-Compliance und die Sanierung und logische Zugangskontrolle. Sandy hat mehr als 25 Jahren der eingehenden Informationstechnologie Erfahrung in den Bereichen Enterprise-Computing mit einem Schwerpunkt auf die Informationssicherheit, die IT-Sicherheit umfasst, Anwendungsentwicklung und Business Continuity. Vor der Glocke Aliant, Sandy war ein Manager bei Ernst & Young LLP und Visteon Corporation in ihre Informationssicherheit und Risk Advisory Praktiken. Sandy hat auch in der US-Militär in der Telekommunikation Verwendung verschiedener Verschlüsselungstechniken bedient. Sandy istderzeit Präsident der Information Security Audit and Control Association (ISACA), lehrt Atlantik-Provinzen Kapitel der CISM, CGEIT und CRISC und ist ein Experte und in der 2012, 2013 und 2014 CRISC Review Manual Veröffentlicht. Wie erstelle ich einen Rahmen für die Governance von Enterprise IT Durch den Verlauf dieser Sitzung werden wir die Prozesse, Wissen Anforderungen und Aufgaben, die für eine erfolgreiche Governance-Programm auf einem hohen Niveau zu diskutieren, wie nachstehend aufgeführt: • Die Definition, Einrichtung und Verwaltung von ein Rahmen für die Leitung der Unternehmens-IT in Ausrichtung mit der Mission, Vision und Werte des Unternehmens • die Anforderungen und Ziele für die Rahmen für die Leitung der Unternehmens-IT, Input von Enabler wie Prinzipien, Strategien und Frameworks enthält; Verfahren; Organisationsstrukturen; Kultur, Ethik und Verhalten; Information; Dienstleistungen, Infrastruktur und Anwendungen; Mitarbeiter, Fähigkeiten und Kompetenzen • Die strategische PlanungProzesse werden in den Rahmen für die Leitung des Unternehmens integriert IT • Die Einbindung von Enterprise Architecture (EA) in den Rahmen für die Leitung der Unternehmens-IT zu optimieren, um IT-basierte Business-Lösungen • Der Rahmen für die Leitung der Unternehmens-IT verfügt über umfangreiche und wiederholbare Prozesse und Aktivitäten • die Rollen, Verantwortlichkeiten und Zuständigkeiten für Informationssysteme und IT-Prozesse etabliert werden • Probleme im Zusammenhang mit dem Rahmen für die Leitung der Unternehmens-IT überprüft werden, eine Überwachung, Berichterstattung und • die Organisationsstrukturen saniert sind, um ermöglichen eine effektive Planung und Durchführung von IT-gestützten Geschäftsinvestitionen Jean-Francois Gignac ist seit mehr als 10 Jahren in der IT-Industrie gewesen, mit großen Unternehmenskunden, multinationale Unternehmen, öffentlicher Sektor und Non-Profit arbeiten, während für gut bekannten Namen wie Canon arbeitet, Glocke , Fortinet und Websense. Mit einer Leidenschaft für die Sicherheit und hilft, ErhöhungBewusstsein für die Herausforderungen von heute in diesem Bereich er arbeitet jetzt für Cisco. Jean-Francois Hintergrund ist eklektisch und er stützt sich auf Erfahrungen aus der Vergangenheit und die Lehren aus der Industrie, die gekämpft, um IP werden aktiviert, sicher und neu zu erfinden, sich in der heutigen vernetzten Zeitalter. Jean-Francois kam vor kurzem zu Cisco von Sourcefire, die von Cisco übernommen wurde. Heute ist er der Security Account Manager für Cisco und ist für Eastern Canada verantwortlich. Er lebt in Montreal, ist ein Spieler, der Vater und liebt die Natur. Die Ökonomie der Cyber-Kriminalität Cyber-Kriminalität ist ein blühendes Geschäft, es `s global, es` s organisiert und es `s allgegenwärtigen" da draußen ". Um die Entwicklung von Cyber-Kriminellen zu verstehen, ihre Methoden und Ziele ist es, den Schluss zu ziehen, dass die wirkliche Motivation von Cyber-Kriminellen wirtschaftlicher Gewinn. Es ist eine tragfähige Wirtschaftsmodell für alle Klassen von Internet-Bürger, von Privatpersonen bis zu multinationalen Unternehmen und sogar Nationen. Da die Kosten für Bandbreite nach unten gegangen sind, stark vermehrt Internetzugang,und Online-Präsenz als notwendig oder sogar unverzichtbar gesehen. Wir bewegen uns nach dem letzten Jahrzehnt, eine Ära des Online-Banking, E-Commerce und in eine Ära der ständig wachsenden Ziele und viel breitere Szene für Kriminelle zu nutzen. Norbert Griffin ist ein Delivery Manager für Sicherheit bei ZEdit Solutions, einer der Atlantic Kanadas größte Informationstechnologie (IT) Dienstleistungen Firmen, die sowohl Strategie und Ausführung für Großunternehmen Kunden im öffentlichen und privaten Sektor. Mit mehr als 16 Jahre Berufserfahrung in der Branche hat Norbert ein breites Spektrum an Wissen und Erfahrung in der Informationssicherheit, Wirtschaftsprüfung, Penetrationstests und Sicherheitsoperationen und hält mehrere Industrie anerkannt Sicherheitszertifizierungen. Norbert hat Einschätzungen für Großunternehmen im gesamten Atlantik-Kanada durchgeführt und hat dazu beigetragen, Unternehmen priorisierte Sicherheit Roadmap entwickeln und Umsetzungspläne auf Basis von Erkenntnissen aus ihren Einschätzungen. Gründer der jährlichen BSidesStJohns Sicherheitskonferenz inSt. Johns, NL, Norbert wurde verbindet Sicherheitsexperten und Branchenexperten Ideen, Einsichten, zu teilen und langjährige Beziehungen mit anderen in der Provinz seit Jahren zu entwickeln. Der Blinky-Light-Syndrom und warum es nicht macht uns Sichere Wie viele Unternehmen, die Produkte kaufen Sicherheitsprobleme zu lösen, sind aber nicht mehr sicher und es ist nicht wegen des Produkts? Wie viele "Best Practices" tun sie sagen, sie folgen aber folgen nie wirklich? Jedes Jahr werden verschiedene Berichte aus der Industrie unterstreichen die Notwendigkeit, die Grundlagen zurück zu bekommen, also warum nicht mehr Unternehmen dies zu tun? Matias Katz ist eine Penetration Tester, die Web-Security-Analyse spezialisiert. Er verfügt über mehr als 10 Jahre Erfahrung auf dem Gebiet. Er ist der Gründer und CEO von MKIT Sicherheit, ein Unternehmen, das in Penetrationstests Dienstleistungen und Hacking-Training spezialisiert ist. Er liebt einfache Werkzeuge zu bauen Entdeckung und Ausbeutung auf Software oder Netzwerk auszuführen. Er hat an BlackHat gesprochen, H2HC, Campus Party, Ekoparty, OWASP undviele andere wichtige Konferenzen. Er ist der Gründer von Andsec Konferenz (www.andsec.org). Auch er ist Super Mario World Master !! Hacking the Cloud In dieser Demo wir über automatisierte Tools sprechen und wie sie leicht scheitern können, wenn sie durch das Ziel zu erwarten sind. Ich werde einen kompletten Angriff auf einen Hosting-Anbieter zeigen, ohne Werkzeug, um jede Art von signaturbasierten Erkennungssystems zu vermeiden. Der Angriff wird mit einer vollständigen Übernahme des Hosting-Anbieter abschließen. Das Hauptziel dieser Rede ist, zu zeigen, wie unzuverlässig automatisierte Tools manchmal sind und wie eine einfache manuelle Angriff ist wahrscheinlicher, erfolgreich zu sein. HTExploit unter Umgehung .htaccess und darüber hinaus! HTExploit ist ein Open-Source-Tool in Python geschrieben, die eine Schwäche in der Art und Weise ausnutzt, dass die .htaccess-Dateien konfiguriert werden kann, ein Web-Verzeichnis mit einem Authentifizierungsprozess zu schützen. Mit diesem Tool jemand wäre in der Lage, den Inhalt eines Verzeichnisses auf diese Weise geschützt aufzulisten, ohne das Passwort mit (und ohne es zu Rissbildung),unter Umgehung des gesamten Authentifizierungsprozess. Ich werde eine Live-Demo auf einem realen Server (meine eigenen), die Schaffung vor dem Publikum eine .htaccess geschützten Verzeichnis durchführen und zur Durchführung des Werkzeug, um die Beschränkung zu umgehen und die geschützten Dateien zuzugreifen. Das Tool ermöglicht die Integration für die Entdeckung und Post-Verwertung mit verschiedenen bekannten Werkzeugen, eine Angriffsstrategie bietet die SQLI, LFI, RFI, Shell Injektion, und jede andere Art von Web-Scan enthält. HTExploit führt als Proxy, die .htaccess-Beschränkungen zu umgehen und dann um es dem sekundären Scanner auf dem Ziel zu handeln. Das Hauptmerkmal dieses Werkzeugs ist, dass alle die Analyse durchgeführt innerhalb des geschützten Verzeichnis durchgeführt wird, nicht aus der öffentlich zugänglichen Ort. So ist die Höhe der möglichen Durchdringung ist extrem. Mit diesem Tool können Sie aus einem geschützten Verzeichnis zu gehen, um eine komplette Auflistung der Inhalte und mögliche SQL-Injection oder Remote-Datei enthalten, so dass Sie die Möglichkeit, über den Server zu übernehmen. HTExploit hatauf der Black Hat USA 2012/2013 vorgestellt und heute allgemein zugänglich durch www.htexploit.org ist, Backtrack, Samurai, Matriux, und in ein paar Wochen wird das Tool auf den Debian-Repositories hinzugefügt werden. Es ist jetzt zwischen den wichtigsten Tools Web-Analyse und wurde in der Hacking-Community hoch angerechnet. Vitaly Levin hat über 20 Jahre Erfahrung in der Finanzdienstleistungen, Behörden, Telekommunikation und Software-Industrie. Er verbrachte die letzten 15 Jahre Enterprise-Lösungen zu entwickeln und Strategien zur Risikominderung für multinationale Organisationen und der damit verbundenen Industriegruppen. Vitaly hat eine Kombination von Wirtschaft, Technologie und Rechtlicher Hintergrund und wurde eingeladen, um bei mehr als einem Dutzend Veranstaltungen durch-aus Nordamerika vorgestellt. Unstrukturierte Daten schützen, die nächste Evolutionsstufe von eDiscovery und Data Loss Prevention Die Bedeutung der Sicherung und Verwaltung sensibler und vertraulicher Daten wurde von den NSA / Snowden und Wikileak Vorfälle lebhaft verstärkt. Organisationen müssen die schnell schützenexponentiell wachsende Menge unstrukturierter und halb strukturierte Daten-Dokumente, Tabellen, Präsentationen, Mediendateien und andere Geschäftsdaten - die in den Dateiservern, NAS-Geräten gespeichert werden können, Sharepoint, virtuelle Rechenzentren, Cloud-basierte Storage-Plattformen, etc. Dies nimmt eDiscovery und Data Loss Prevention (DLP) auf die nächste Ebene. Die Teilnehmer werden über Lösungen für dieses wichtige Thema von Varonis, dem führenden Innovator und Anbieter von Zugang, Governance und Aufbewahrungslösungen für die Mensch-generierten Daten, die am schnellsten wachsende und empfindlichste Klasse von digitalen Informationen zu lernen. Basierend auf einer patentierten Technologie und eine hochgenaue Analyse-Engine, Varonis Lösungen Organisationen vollständige Transparenz und Kontrolle über ihre Daten geben, um sicherzustellen, dass nur die richtigen Benutzer haben Zugriff auf die richtigen Daten jederzeit von allen Geräten, wird der gesamte Einsatz überwacht und Missbrauch Liste steht. Ami Luttwak ist Mitbegründer und CTO von Adallom, eine komplette Cloud-Security-Lösungsanbieter für SaaS-Anwendungen. vorwar er ein leitender Software-Architekt bei Phonaris, wo er die Architektur entworfen und leitete die Entwicklung der Phonaris Mittel für das iPhone und Android-Plattformen. Luttwak ist Alumnus der Israeli Defense Force 8200-Einheit. Eine unbequeme Zeus: Der Aufstieg von SaaS gezielte Malware-Schwachstellen innerhalb von SaaS-Anwendungen zunehmend in der Verantwortung des Endbenutzers geworden sind. Wie es Popularität gewinnt, da sie in den letzten paar Jahren hat, ist es immer ein Teil unseres täglichen Arbeitsleben. Jedoch unter Verwendung von SaaS-Anwendungen - obwohl hervorragende Steigerung der Produktivität - eine große Angriffsfläche verlässt. Also, was ist das Risiko? Es ist schwer, sich vorzustellen, wie SaaS-Anbieter eine Bank Maß an Sicherheit liefern kann, und noch schwerer, ihre Kunden zu akzeptieren, sich das vorzustellen. Je mehr zwingende Stück hier ist die implizierte Schwäche in der gemeinsamen Verantwortung Modell. Es gibt nur so viel, dass ein SaaS-Anbieter tun können, auch wenn ihre Kontrollen aufgerüstet werden, ist ihre Kunden Sicherheit Haltung der Schlüsselbestimmender Faktor, diesen Angriff abzuwehren. Was zum Kern der Sache führt, sehen die meisten Kunden als eine Möglichkeit, SaaS Verantwortung zu entlasten, aber sie müssen auch ihre eigenen Systeme zu erinnern, kann das Ziel sein. Wir schlagen vor, eine Sitzung, wo Adallom neue Vektoren einer Cyber-Attacke in den wilden speziell auf Unternehmen SaaS-Anwendungen gefunden präsentieren wird. Joseph Malinka ist der Direktor des Systems Engineering bei Bromium. Er trat Bromium im Juni des Jahres 2012, als das Unternehmen noch im Stealth-Modus, und spielte eine entscheidende Rolle bei der Bromium frühen Kundenbasis und die anschließende Rekordwachstum zu etablieren. Vor Bromium, war Joe bei EMC seit 11 Jahren, von denen die letzten drei Jahre mit RSA waren, die Security Division von EMC. Er hat Maschinenbau, beratende und architektonische Know-how in vielen verschiedenen Sicherheitsdomänen zur Verfügung gestellt, arbeitet intensiv mit mittleren bis großen Unternehmen in der New York City U-Bahn-Bereich in den Finanz-, Rechts- und Gesundheitswesen Verticals. Er ist einCertified Information Systems Security Professional (CISSP) und erhielt eine B.S. in Applied Physics von der Brigham Young University. "Ein Ring, sie alle zu knechten" - CPU-Funktionen ein beliebiges Gerät verwendet zu ermöglichen, sich von Design Schützen Sie unsere Gesellschaft hat nie mehr wertvolle Informationen online zur Verfügung, und die Folgen und Kosten der erfolgreichen Kompromisse nie mehr stark gewesen. Können wir dieses Problem beheben? Ja. Wir können jeden Endpunkt ermöglichen, sich durch Design zu schützen mit bestehenden Funktionen der CPU, und vielleicht noch wichtiger ist, können wir Hardware-unterstützter Schutz für bestehende (Legacy) Anwendungen und Betriebssysteme liefern: CPU-Funktionen auf Commodity-Server, PC und mobile Geräte bieten alles, was benötigt wird, das Blatt zu wenden. Mikro-Virtualisierung - - Dieser Vortrag wird ein radikal neues Konzept für die Sicherheit des Systems beschreiben, die Nutzung von CPU-Funktionen für die Virtualisierung auf Hardware-Isolat Aufgaben innerhalb eines laufenden (jeder) OS, die sich auf CPU Mechanismen macht das System von jeder Malware zu schützen. Der KernTechnologie ist die Open-Source-Xen-Hypervisor, deren Gemeinschaft weiterhin Innovation in den Bereichen Virtualisierung und Isolation zu führen. Dieser Vortrag ist auch ein Call-to-Arme der Forschung und Sicherheit Ökosysteme Mikro Virtualisierung zu verwenden, Sicherheitsforschung, Angriffsanalyse zu fördern und weiter die Anwendungsfälle für die Mikro-Virtualisierung erweitern. Derek Manky formuliert Sicherheitsstrategie basiert auf jahrelanger Bedrohung und Branchenwissen, mit dem Ziel, einen positiven Einfluss auf die globalen Krieg gegen den Cyber-Kriminalität zu machen. Manky hat die Forschung und Strategie weltweit bei vielen Sicherheitskonferenzen, einschließlich Treffen mit führenden politischen Persönlichkeiten vorgestellt, die die Zukunft der Cyber-Sicherheit helfen definieren. Er arbeitet global innerhalb der Sicherheitsbranche und Computer Emergency Response (CERT) die Punkte zu verbinden, bietet Milderung Beratung und Bedrohungsprognosen auf Basis von korrelierten Daten und persönliche Kenntnis. Diese Strategie kann in neue, fortschrittliche Technologie integriert werden, um Cyber-Attacken zu bekämpfen. Er wurde als eine anerkannteVordenker in der Branche. Manky entwickelt, um eine Offenlegung der Sicherheitsanfälligkeit Rahmen, der verantwortungs seit Jahren zuverlässig verwendet wurde, um Sicherheitsprobleme zu beheben, bevor Kriminelle entdecken und sie angreifen. Manky sitzt auch auf einem Computerprogrammkomitee mit einer Institution führenden Technologie in Kanada, auf der nächsten Generation Sicherheitsanforderungen zu beraten. Er fährt fort, seine Karriere zu Sicherheit, Forschung und Bildung zu widmen. Jenseits von BYOD - Hacking kennt das Internet der Dinge, die jeder, das Geschäft, die Strafe und Finsternis. Es gibt Bedrohungen im Internet, und viele von ihnen in vielen Formen und Form - Würmer, die über Jahre hinweg haben, grundlegende Trojaner, die noch durchführen, und natürlich Advanced Persistent Threat (APTs). Wenn die Sicherung noch Windows-basierte Systeme eine Herausforderung heute beweist, was ist morgen? Sind Linux und Mac-Systeme wirklich so viel sicherer? Und was ist Android vs. iOS vs. Windows Mobile mit BYOD? Angriffe gegen Home-Router, Home-Automation-Systeme, Überwachungskameras,Drucker, intelligente Fernsehgeräte und Embedded-System existieren heute und sind sicher, die Sicherheitslandschaft und Verteidigungsstrategie im Jahr 2014 und darüber hinaus zu verschieben. Cyber ​​Angreifer lernen es vorteilhaft ist, in mehr Ecken zu verstecken, und warf einen breiteren Netz andere populäre hook Plattformen vom Markt angenommen wird. Als Ergebnis wird eine größere Angriffsfläche geschaffen. Derek Manky, Global Security Strategist, wird Fortinet die Herausforderungen der Multi-Plattform-Sicherheit zu untersuchen, wie es heute existiert und was können wir morgen erwarten. Fallbeispiele werden beweisen, niedrig hängenden Früchte hervorgehoben für den Angriff auf diesen Systemen reif ist. Die Strategie wird in einer interaktiven Sitzung in dem Bemühen, diskutiert werden, um weiterzukommen, was unweigerlich kommen wird. Kellman Meghu hat für die Ausbildung von Schülern und Lehrern, sowie öffentliche Veranstaltungen, darunter SecureWorld Seattle, Check Point Experience, bsides St. Johns, bsides San Francisco, bsides Gespräche Sicherheit in privaten Firmen fokussierte Veranstaltungen, in der Schule Internet-Sicherheitsklassen geliefertChicago, bsides Detroit, Secure360, Dreierkonferenz, und Sector Mittagessen Keynote für das Jahr 2012 Kellman hat dazu beigetragen, TV-Interviews in der Gegend von Toronto mit CP24, Citynews und CHCH TV, sowie Radiosender Interviews und Nachrichtenartikel in ganz Kanada zu leben. Weaponized Sicherheit Wie gefährlich können Sie nur mit den Sicherheits-Tools erhalten Sie heute? Haben Sie Zugang zu einer Technologie, die sehr einfache Muster von Daten im Netzwerk macht die Suche? Ich wette, Sie tun. Jetzt möchte ich Ihnen zur Umsetzung dieser Technologie auf einem offenen WiFi vorzustellen und zu sehen, was Sie finden. Dieser Vortrag beschreibt, wie ein Werkzeug, um Menschen zu sichern gegen sie, und die Ergebnisse der zufälligen Menschen gedreht werden, Daten über ihre Computer undicht ist, und sich selbst. Dies alles wird mit öffentlich zugänglichen getan und gemeinsam umgesetzt Unternehmens-Sicherheit, nur in ungewöhnlichen Art und Weise implementiert. Peter Morin ist Senior Information Security Specialist bei Bell Aliant. Seine Position konzentriert sich auf die Informationssicherheit Risikomanagement, PenetrationTests, Cyber-Bedrohung Antwort, Anwendung Code-Analyse, Analyse von Malware und Computer-Forensik. Peter verfügt über mehr als 18 Jahre in ausführlichen Informationstechnologie Erfahrung in den Bereichen Enterprise Computing und Networking mit Schwerpunkt auf IT-Sicherheit, Anwendungsentwicklung, Business Continuity, Incident Response und Forensik. Vor der Glocke Aliant hat Peter gehaltenen Positionen bei KPMG LLP und Ernst & Young LLP als Senior Manager in der IT-Sicherheit, Risk Advisory & Forensic Praktiken, sowie mit zahlreichen Tech-Start-up-Unternehmen und verschiedene Regierungs- und Militärbehörden gearbeitet. Peter ist ein gefragter Redner zum Thema Schutz kritischer Infrastrukturen, Risikomanagement, Penetrationstests, Malware-Analyse und Forensik und bei zahlreichen Veranstaltungen der HTCIA, Black Hat, DEFCON, PMI, Computer Security Institute, Interop, SANS gehalten präsentiert und ISACA. Peter ist ein gefragter Gastdozent an zahlreichen Hochschulen und Universität in ganz Nordamerika und hat auch gewesenin zahlreichen Publikationen, darunter SC Magazine. Peter sitzt auf zahlreichen Vorständen einschließlich der High Technology Crime Investigation Association International Board of Directors, HTCIA International Conference, ISC2 und ISACA - Atlantik-Provinzen Kapitel. Peter hält zahlreiche sicherheitsrelevanten Bezeichnungen einschließlich der CISSP, CISA, CGEIT, CRISC und GCFA. Wie oft habe ich benutze das Bad heute? Eine Einführung Quelle Intelligence Öffnen Diese Präsentation wird die ständig wachsende Thema Open Source Intelligence (OSINT) diskutieren. OSINT ist die Data-Mining-Intelligenz aus öffentlich zugänglichen Quellen - eine Form einer "Cyber-Intelligence". Während dieser Präsentation werden wir die verschiedenen Datenpunkten Online-Diskussion, die verwendet werden können, Informationen über eine Person zu sammeln, eine Organisation, usw. einschließlich Blogs, Foren, persönliche Webseiten, Business Intelligence-Websites wie Salesforce.com, LittleSis und Crowdsourcing-Puzzle und Social-Media-Sites wie Facebook, LinkedInund Twitter. Wir werden die verschiedenen Verwendungen dieser Daten einschließlich Aufklärung für Hacker, ausländische Regierungen / Nationalstaaten, Penetration Tester und Competitive Intelligence diskutieren. Wir werden bei Demos von einigen der beliebtesten automatisierte Analyse-Tools aussehen wie Maltego und die Verwendung von benutzerdefinierten Python-Skripte verwendet OSINT Daten zu sammeln und zu analysieren. Colin O'Flynn analysiert die Sicherheit von eingebetteten Systemen und hat ausführlich über seine Open-Source-ChipWhisperer Werkzeug gesprochen, die als Teil seiner laufenden Doktorarbeit an der Universität Dalhousie erstellt wurde. Er zuvor mit einer Vielzahl von Embedded-System-Designs, einschließlich Wireless-Protokolle, die in intelligente Energiezähler beteiligt. Seine Arbeit an Embedded Security hat dazu geführt, ihn bei einer Reihe von Sicherheitskonferenzen einschließlich Blackhat EU / USA zu sprechen. Hacking Embedded Systems: Power Analysis & Clock Glitching Embedded-Systeme haben in der Vergangenheit alle Arten von "interessant" Sicherheitslücken in ihnen entdeckt hatte. Sie können oft nicht die Ingenieure die Schuld, diedie Anlagen konzipiert: es ist extrem schwierig, mit den neuesten Angriffen auf dem Laufenden zu halten. 3rd-Party-Tests durchführen können horrend teuer sein, so viele Unternehmen einfach die exotischere Angriffsvektoren zu ignorieren. Ein solcher "exotischen" Angriffsvektor ist Seite-Kanal-Leistungs-Analyse, zusammen mit Glitch-Attacken. In der Leistungsanalyse, misst man die Energie ein Gerät auf jeden Befehl verbraucht, und verwendet diese Informationen, Verschlüsselung oder andere Sicherheitslauf auf dem Gerät zu brechen. Die Verwundbarkeit der Systeme für solche Angriffe ist seit fast 15 Jahren bekannt. Aber die Schwierigkeit in ein Labor einrichten hat diese Angriffe weniger weit verbreitet in der realen Welt. Mit Glitching Angriffe, sehr präzise und kurze Impulse werden in einen Geräte Stromschienen oder Takteingänge eingesetzt. Es ist ein gut theoretisches Risiko kennen, aber die Kosten für die Ausrüstung, die geeignete Störungen erzeugen können, ist zu teuer für die meisten Angreifer. Diese Präsentation wird einige Open-Source-Tools umfassen, die für die Forschung in diesem Bereich verwendet werden kann,die für $ 100 bis $ 1500 erbaut oder gekauft je nach Anforderung werden kann. Dale O'Grady ist Senior Systems Engineer bei Palo Alto Networks mit umfangreicher Erfahrung in der Schicht 2-7 Sicherheit. Als 20 Jahre Erfahrung in der Informationstechnologie-Sektor, hat Dale das Glück der Arbeit als weltweites Produktmanager für Sicherheitslösungen wie Firewalls, Proxies, Intrusion Detection / Prevent Systems, Verkehrsklassifizierungssysteme, Mobile Security und Network Access hatte Steuern. Im Jahr 2011 entschied sich Dale zu einem dedizierten Kundenkontakt Rolle zu bewegen, Kunden zu helfen, ihre reale Sicherheit Herausforderungen. Applikationsidentifikation Verkehrsklassifizierung ist das Herzstück jeder Firewall, da Klassifizierung der Grundlage von Sicherheitsrichtlinien und Nutzungsbedingungen bildet. Portnummern, Protokolle und IP-Adressen für Netzwerkgeräte nützlich, aber nichts darüber, was auf dem Netzwerk ist. Nicht zu wissen, was im Netzwerk schafft eine Organisation Dilemma - sichern das Netzwerk und habenunproduktiven Benutzer oder haben produktive Anwender mit einem erhöhten Angriffsfläche? Detaillierte Informationen über die Anwendungen, Benutzer und Content-Netzwerke durchqueren können Unternehmen, schnell zu ermitteln und Risiken zu bewerten. die tatsächliche Anwendung identifizieren können Unternehmen schnell mehr über Aktivitäten im Netzwerk lernen und Begebenheiten aus einem aktuellen oder vergleichenden Perspektive zu analysieren. Bitte besuchen Sie uns für diese Sitzung, da wir einen tiefen Einblick in die Vorteile der Anwendung Identifikation nehmen. Wir werden Konzepte abdecken wie zum Beispiel, wie Anwendungsidentifikation erreicht wird, die Anwendung im Vergleich zu Anwendungsprotokoll Identifizierung, was für die Identifizierung Motoren als auch in Anwendung zu sehen, wie die Zukunft der Verschlüsselung Auswirkungen Applikationsidentifikation und natürlich Überlegungen auf Performance und Skalierung für reale Szenarien . Natalie Oldfield als leidenschaftlicher und energischen Sprecher bekannt ist, Natalie hat, um das Publikum in ganz Nordamerika, Europa und Asien präsentiert. Natalie hatin Marketing-Kommunikation und Vertrieb in multinationalen Unternehmen seit 20 Jahren gearbeitet. Natalies Erfahrung in der Arbeit mit internationalen ICT-Organisationen zog sie zu dem Schluss, dass das Vertrauen ist das wichtigste Kapital ein Geschäft zu schützen. Diese Schlussfolgerung veranlasste sie umfangreiche Studie im Bereich ihres Master-Abschluss, wie Organisationen Vertrauen aufbauen mit ihren externen Stakeholdern. Sie erleichtert Workshops und Schulungen und berät Unternehmen, die Einnahmen zu verbessern, zu schützen und zu vertiefen und einen Wettbewerbsvorteil zu erlangen. Natalies Sitzungen bieten den Teilnehmern Strategien und praktische Tools Beziehungen zu verbessern, Kundenerfahrungen und die untere Linie. Natalie hat auch ein Teilzeit Mitglied der Fakultät am Mount St. Vincent-Universität in der Kommunikation und Public-Relations-Abteilung gewesen, und ein Teilzeit Mitglied der Fakultät an der School of Business an der Nova Scotia Community College. Sie ist ein Absolvent der University of New Brunswick (Bachelor of Arts),Der Mount Saint Vincent University (Bachelor of Public Relations), die Dupree College of Management, Georgia Institute of Technology (Certificate in Management) und ist ein Kandidat für einen Master in Communications. Ihre Organisation das wertvollste Gut Schutz hinter der digitalen Sicherheit Fallen kann extrem teuer sein; andernfalls Vertrauen zu schützen kann tödlich sein. Vertrauen kann Jahre dauern, zu bauen und zu einem Verschluss in Sekunden zerstören kann. Sicherheitsexperten wissen, wo die Wertpapiere Bedrohungen sind. Wo sind Ihre Vertrauenslücken? Jede Organisation hat sie. Die Ermittlung der Schwachstellen und kritische Vertrauenspunkte in Ihrer Organisation ist entscheidend für Ihren Erfolg. Vertrauen ist die Nummer eins Prädiktor für die Zufriedenheit der Verbraucher und die kritische Zutat zu Ihrem Wettbewerbsvorteil. Es legt fest, wie Kunden, Lieferanten, Mitarbeitern, Banken und die öffentliche Entscheidungen über Ihre Organisation. Sie fragen: Wen soll ich glauben? Welche Organisationen kann ich vertrauen? Sind sie kompetent? Werden sie halten meinevertrauliche Informationen sicher? Werden sie das Richtige zu tun? Aufbauend auf der Forschung, wird Natalie mit Ihnen teilen, wie einige der weltweit führenden Marken aufzubauen und das Vertrauen ihrer Stakeholder zu schützen. Die Sitzung werden die Teilnehmer Strategien bieten und praktische Instrumente kritische Vertrauenspunkte zu identifizieren. Natalie wird die Praxis der Aufbau und Schutz Vertrauen sowie einige Tipps teilen, wie das Vertrauen wieder aufbauen, wenn es eine Sicherheits Verschluss ist. Die Teilnehmer werden mit Montagmorgen Strategien verlassen, um das Vertrauen in ihren Organisationen aufzubauen und zu schützen. James Placer ist ein Informationssicherheit und Datenschutz-Berater mit einem besonderen Schwerpunkt auf Netzwerkarchitekturen und internationalen Compliance-Anforderungen. Er hat in den letzten 20 Jahren vor allem mit Fortune 100-Unternehmen in den Vereinigten Staaten arbeiten bei der Bewertung und Architecting konforme Sicherheitslösungen Er war einer der Hauptredner auf Präsentationen in Bezug auf Datenschutzgesetze Veränderungen auf Landes- und Bundesebene im Mittleren Westen VereinigtenStaaten zusammen mit außerordentlicher Professor in Information Assurance an Davenport University in Michigan zu sein. Er spaltet derzeit seine Zeit zwischen Residenzen in Tatamagouche, NS und Allegan, Michigan, als er nicht auf den Skipisten ist seine Skirennsport Tochter zu jagen. Payment Card Industry 3.0 Updates und Anforderungen aus Sicht der Industrie Compliance ist der große Stick in der Unternehmenssicherheit Welt und einer der stärksten Fahrer ist der Payment Card Industry (PCI) Standards. Die neueste Aktualisierung des Industriestandard-Kreditkarte wurde veröffentlicht und tritt mit der Jan1st 2014 Unternehmen über einen Zeitraum von 14 Monaten haben mit den neu veröffentlichten Anforderungen zu erfüllen. Wie wird dies Ihr Unternehmen auswirken und was tun müssen Sie nun für die nächste PCI-Audit vorzubereiten tun werden. Diese Präsentation erläutert die Änderungen in PCI 3.0 und was sie von einem Unternehmen zentrierten Sicht bedeuten für Ihr Unternehmen und was sie für die Sicherheit Praktiker bedeuten. Hat Ihr Unternehmen an Ort und Stelle haben dieAnforderungen, sowohl in Kanada und im Ausland, verarbeiten die neuen Anforderungen gerecht zu werden? Jamie Rees Mit 20 plus Jahren in der Informationstechnologie, die Mehrheit der in der Informationssicherheitsrollen in der Kommunikations- und Finanzdienstleistungsorganisationen zusammen. Derzeit Jamie ist der Direktor des Informationssicherung - Chief Information Security Officer und der Chief Security Strategist für die Provinz New Brunswick, Kanada, die sich für den Exekutivrat Büro. Die Idee, dass zu erklären Sicherheit im Hinblick auf die Auswirkungen auf die Unternehmen erwarteten Ergebnisse wurde zu Jamie früh in seiner Karriere deutlich. Führende ihm seine Sicht der Sicherheitsprogramme zu ändern und den Wert, den sie zu Geschäft zu bringen, gefolgt von den Stellenbeschreibungen zu schreiben und den Aufbau der Programme verwendet, um Informationssicherheit Funktionen liefern. Der Wertbeitrag in die Umsetzung dieser Rollen verwendet wurde, war seine Ausbildung Boden auf, wie Wert in Sicherheit zu kommunizieren. Information Assurance New Brunswick hat erfolgreich ein InformationsSicherungsteam im Rahmen des Büros der Regierung des CIO, die Sicherheitsziele mit der Regierung die Strategie und Planung ausgerichtet ist. Diese Ausrichtung unterstützt die Entscheidungen der Regierung und ermöglicht die Bereitstellung von sicheren und rechtzeitige Dienstleistungen. Dies ist ein Multi-Säulen-Programm mit Eingängen an verschiedenen Teilen des Informationslebenszyklus. Sicherheitsziele werden in die Planung und Priorisierung Prozesse der Regierung errichtet. IT-Kaufanfragen geprüft werden für entsprechende Sicherheitsanforderungen und Informationsrisikomanagement wirkt sich auf die Balanced Scorecards der Organisation, mit Maßnahmen, die öffentliche Stellen ihre Initiativen berichten, verwenden. Dies wurde durch zeigt den Wert getan, was wir für das Unternehmen in Bezug auf und Sprache von der Wirtschaft verwendet hinzuzufügen. Wir beraten und gewonnen, Gruppe für Gruppe, die verschiedenen Gremien der öffentlichen Einrichtungen. Es werden jedem von ihnen den Wert, den wir angeboten, und sie in unsere Prozess- und Führungsgremien als Akteure zu bringen. Die Präsentation wird die Modelle teilen wirdie Herausforderungen verwendet, wir konfrontiert und überwanden und die Lektionen auf dem Weg gelernt. Guillaume K. Ross ist ein Informationssicherheitsberater mit einem Hintergrund in der IT. Er kann in der Regel in der Montréal Bereich gefunden werden, Unternehmen von großer Hilfe zu zu groß mit ihren Informationssicherheitsprogramme. Er glaubt, bei der Herstellung von Sicherheit so transparent wie möglich an die Mitarbeiter und die IT-Mitarbeiter sowie mit Hilfe der Fähigkeiten in der Welt des Cloud Computing gefunden, die eine sichere Systeme anders helfen können, und manchmal besser als wie es auf physischen Systemen durchgeführt wird. Nichts davon ist in Bezug auf seine Rede bei AtlSecCon 2014, wo nur sein Beglaubigungsschreiben als Apple Geek nützlich sind. URL-Schema Sicherheit auf iOS geklickt haben Sie schon einmal eine Telefonnummer in Safari das Telefon App zu bekommen, dass store / Autohaus / Pizzeria rufen Sie für die Suche? In iOS, geschieht diese Interaktion zwischen Anwendungen über URL-Schemata, die Apple-Anwendungen zur Verfügung stehen sowie Anwendungen von Drittanbietern. Jeder nutzt sie, ohne zu merkenSie existieren. URL-Schemata sind groß. Sie sind jedoch eine Quelle von Benutzereingaben, die niemals als sicher vertraut werden sollte. In dieser Präsentation werden wir Beispiele aus der Praxis von Implementierungen von URL-Schemata suchen, die zu Themen wie die Zerstörung von Daten oder helfen eine böswillige Person identifizieren ein iOS-Benutzer führen könnten. Wir werden auch auf einfache Art und Weise URL-Schema Sicherheit für die Nutzer Ihrer Anwendungen als auch zu verbessern, wie man Schwachstellen URL-Schema zu finden, die für diejenigen gibt, die helfen möchten. David Shipley ist ein Mitglied der IT-Sicherheitsteam an der University of New Brunswick. Er ist verantwortlich für UNB die Netzwerke und Systeme überwachen, die Reaktion auf Vorfälle und die Unterstützung der langfristigen Sicherheitsstrategie und Planung. David hilft auch bei der Benutzerschulung und Verhaltensänderung. David ist ein ehemaliger Wirtschaftsjournalist mit dem New Brunswick Telegraph-Journal. Er verfolgt derzeit seinen Master of Business Administration an der UNB, mit einem Fokus auf Informationstechnologie. Die Sicherung der ElfenbeinTurm Universitäten gehören zu den höchsten Risikoziele für Cyber-Bedrohungen aufgrund ihrer Natur als Orte, die den Austausch von Informationen zu fördern. Die Förderung und Unterstützung 10000+ Köpfe zusammenarbeiten und Forschung zu einer Reihe von Themen ist eine anspruchsvolle Aufgabe für jede IT-Organisation. Nachdem diese Umgebung zu sichern, ist noch härter. Die Universität von New Brunswick IT-Sicherheits-Action Team steht vor einer Reihe von Bedrohungen auf einer täglichen Basis. Von hactivists zu Denial-of-Service-Angriffe (DDoS), von der Ziel Einbrüche zu versuchen, die tägliche Flut von bösartiger Software zu handhaben, hat dieses Team alles gesehen. In diesem Vortrag David Shipley UNB wird das Team Ansatz zur Sicherung dieser lebendigen Umgebung diskutieren, während die Universität helfen, erreichen es ist Bildungs- und Forschungsziele. Mark Stanislav ist die Sicherheit Evangelist für Duo Serie, ein Ann Arbor, Michigan ansässige Startup konzentriert sich auf die Zwei-Faktor-Authentifizierung und mobile Sicherheit. Mit einer Karriere mehr als einem Jahrzehnt überspannt, hat Mark in kleinen gearbeitetWirtschaft, Wissenschaft, Inbetriebnahme und Unternehmensumgebungen, konzentriert sich hauptsächlich auf Linux-Architektur, Informationssicherheit, und die Entwicklung von Webanwendungen. Mark hat national bei über 70 Veranstaltungen, darunter RSA, IVSS, B-Sides, GrrCon, InfraGard und dem Rochester Sicherheitsgipfel gesprochen. Marks Sicherheitsforschung hat sich auf Web-Sites, einschließlich CSO Online, Sicherheits Ledger, und Slashdot gekennzeichnet worden. Außerdem ist Mark ein aktiver Teilnehmer an lokalen und Angehörige Sicherheitsorganisationen einschließlich IVSS, InfraGard, HTCIA, ArbSec und MiSec. Mark erwarb seinen Bachelor of Science in Netzwerk und IT-Administration und seinen Master of Science Degree in Technology Studies, konzentrierte sich auf Informationssicherung, die beide von der Eastern Michigan University. Während seiner Zeit an der WWU, baute Mark das Curriculum für zwei Kurse konzentriert sich auf Linux-Administration und als Lehrbeauftragter für zwei Jahre gelehrt. Mark hält CISSP, Security , Linux und CCSK Zertifizierungen. Eyes on IZON: surveilling IP-Kamera-Sicherheits-AusgangsIP-Kameras werden immer häufiger durch schlankes Design, WiFi-Konnektivität und intuitive mobile Anwendungen. Bisher wurden solche IP-Kameras meist bei der Verwendung von Home-Security-Liebhaber und Inhaber kleiner Unternehmen. Nun aber mit zunehmender Videoqualität und einfache Bedienung, diese Kameras werden immer beliebter für den durchschnittlichen Hausbesitzer, die ein bisschen mehr Vertrauen will, dass alles gut ist, wenn sie nicht vorhanden sind. Diese Präsentation wird einen Einblick in die Sicherheitsmechanismen von der Kamera IZON verwendet wird, einige der Schwächen in der Forschung, und ein paar Empfehlungen für sie (oder jemand anderem die Entwicklung dieser Art von Kameras) profitieren von gefunden. Die Aufmerksamkeit wird auf Themen wie Netzwerkprotokolle zu zahlen, iOS-App Sicherheit, APIs und andere Aspekte der Plattform der Kamera, die Angriffsfläche hat. Rick Vanover (vExpert, MCITP, VCP) ist eine Produktstrategie Spezialist für Veeam Software mit Sitz in Columbus, Ohio. Rick ist ein beliebter Blogger, Podcaster und aktives Mitglied derVirtualisierung Gemeinschaft. Rick IT-Erfahrung umfasst die Systemadministration und IT-Management; Virtualisierung vor kurzem das zentrale Thema seiner Karriere zu sein. Datenschutz Sicherheit Mishaps, dass Sie vermeiden können, wenn es um den Datenschutz geht, sind die Risiken hoch. Zu viele Male Unternehmen nehmen ausreichend Schutz für die Live-Workloads; aber werden die gleichen Standards für die Haltbarkeit des Datenschutzregelung angewendet? Verschiedene Backup-Technologien bieten unterschiedliche Chancen und Risiken für die Sicherheit der Backup-Daten. In dieser Breakout-Session, an der Backup-Experte Rick Vanover für praktische Sicherheitstipps für den Datenschutz Administratoren ist die nächste Schlagzeile zu vermeiden. Themen in dieser Sitzung behandelt: • Speicher-Sicherheitsstrategien für Backups • mehrere Sicherheitstechniken verwalten • Identifizieren von Backdoors von Datenschutzlösungen • Implementierung von Kontrollmechanismen für jeden Schritt des Datenschutzprozesses Hinweis: Lautsprecher arbeitet für Veeam, aber dies ist kein Veeam Spur . Seineallgemeine Gedanken Führung für den Datenschutz und Sicherheit. Ryan Wilson ist ein erfahrener Sicherheits Praktiker und Führer mit mehr als 10 Jahren der Informationssicherheit Beratungserfahrung. Bei McAfee ist Ryan verantwortlich für die Erhebung und die Stone McAfee NextGen Firewall auf dem kanadischen Markt. Vor seiner Tätigkeit bei McAfee unter der Annahme, Ryan war Director of Security Presales und Engineering bei TELUS Security Solutions und verschiedene sicherheitsrelevante Positionen bei Allstream gehalten. Erweiterte Evasion Techniques (AET), unter Umgehung NextGen Firewall, IPS und andere Netzwerk-Sicherheit Abwehrkräfte. Wie halten Sie sich? Erweiterte Evasion Techniques (AET) stellen eine ernsthafte Bedrohung für Organisationen heute noch IPS / NGFW und anderer Technologien, die wir nutzen in der Regel nicht bieten Schutz vor diesen Bedrohungen. Evasion-Techniken sind ein Mittel, Cyber-Angriffe, um zu verschleiern, Erkennung und Blockierung von Systemen der Informationssicherheit zu vermeiden. Evasions ermöglichen Cyber-Kriminelle schädliche Inhalte ein zu liefernanfälliges System ohne Nachweis, dass die Bedrohung normalerweise aufhören würde. In dieser Sitzung werden: · definieren AET · Umriss, wie Sie vor diesen Bedrohungen schützen können, und · ein kostenloses Tool demonstrieren Evader genannt, mit dem Sie die Effektivität Ihrer Sicherheitsinfrastruktur von AET zu testen. In dieser Sitzung wird zeigen, wie AET bewährte IPS-Signaturen entziehen kann man sich verlassen, und Sie erhalten Zugang Remote-Shell auf einem infizierten Computer einen bekannten 5-jährigen Wurm namens Conficker (erstmals im Jahr 2008 entdeckt) verwendet wird. Dale "Dr. Z "Zabriskie als Evangelist für Symantec Corporation, Dale" Dr. Z "Zabriskie berät sich mit IT-Experten auf der ganzen Welt, über die Strategien der Beratung zur Sicherung und ihre Informationen verwalten. Er ist ein CISSP (Certified Information Systems Security Professional) zertifiziert in Cloud Security Knowledge (CCSK) und ist bekannt für seine Fähigkeit bekannt, sowohl technisch als auch konzeptionell in einem autoritativen noch unterhaltsam zu beziehen. In seiner 13-jährigen Amtszeit mit Symantec, hat Herr Zabriskiemit Organisationen in mehr als vierzig Ländern, darunter einem Wohnsitz in Europa gearbeitet. Er hat auch ein beliebter Moderator und Teilnehmer in zahlreichen Industrietafeln gewesen. Sein Know-how wird von mehr als dreißig Jahre Berufserfahrung in der Informationstechnologie, die Einhaltung gesetzlicher Vorschriften, Forschung und Entwicklung, Gesundheitswesen, Fertigung und Vertrieb mit Unternehmen wie IBM, SunGard, IKON und VERITAS unterstützt. Der Staat Mobile Security Nie zuvor haben die Menschen gewesen bewusster Sicherheit, wenn es um ihren mobilen Geräten kommt. Fußball-Mammen zu CISO fragen sich jetzt "ist mein mobiles Gerät sicher und kann jemand meine Daten zugreifen?" Symantec Evangelist Dale Zabriskie, CISSP, CCSK die Herausforderungen diskutieren heutigen mobilen Anwender konfrontiert, seien sie die Verbraucher sehr technischen IT-Experten im Durchschnitt. Die Realität ist, dass Kriminelle diese Geräte angreifen, da sie ein Portal in Banken und in vielen Fällen von Unternehmensdaten sind. Zabriskie umfaßt Forschungsarbeiten auf das, was diese Verbrecher, wenn sie mit dem Gerät zu tunerhalten Zugang. AtlSecCon 2014 - Sponsoren Platin-Sponsoren Symantec bei der Bereitstellung von Sicherheits-, Storage- und Systemmanagement-Lösungen für unsere Kunden helfen, ein weltweit führendes Unternehmen ist - von den Verbrauchern und kleinen Unternehmen zu den größten globalen Organisationen - Sicherung und Verwaltung ihrer Informationen vor mehr Risiken an mehr Punkten mehr vollständig und effizienter als jedes andere Unternehmen. Unsere Gesellschaft einzigartigen Fokus ist es, Risiken zu Informationen, die Technologie zu beseitigen und Prozesse unabhängig von der Vorrichtung, Plattform, Interaktion oder Standort. Gold-Sponsoren Fortinet (NASDAQ: FTNT) schützt die wertvollsten Ressourcen von einigen der größten Unternehmen, Dienstleister und Regierungsorganisationen in der ganzen Welt. Das Unternehmen ist das schnelle, sichere und globale Cyber-Security-Lösungen bieten umfassende, leistungsstarke Schutz vor dynamischen Sicherheitsbedrohungen, während die IT-Infrastruktur zu vereinfachen. Sie zeichnen sich durch die höchste Ebene der Virenforschung, Intelligenz und Analytik der Branche gestärkt. Anders als pure-playNetzwerk-Security-Anbieter, können Fortinet Organisationen lösen "wichtigsten Herausforderungen im Sicherheitsbereich, ob in der vernetzten, Anwendung oder mobilen Umgebungen - es virtualisierten / Cloud oder physisch sein. Mehr als 210.000 Kunden einige der größten und komplexesten Organisationen, darunter vertrauen Fortinet weltweit, um ihre Marken zu schützen. Erfahren Sie mehr unter der Fortinet Blog oder FortiGuard Labs. eSentire® ist der führende Innovator in Active Threat Protection-Plattform, die umfassendste Möglichkeit, Unternehmen zu verteidigen, von fortgeschrittenen, nie zuvor gesehene Cyber-Bedrohungen. Unser Flaggschiff, Netzwerk-Interceptor, fordert Vermächtnis Sicherheitsansätze, die Kombination von verhaltensbasierte Analysen, sofortige Linderung und verwertbare Informationen über eine 24x7x365 Basis. Unser engagiertes Team von Sicherheitsexperten überwacht kontinuierlich Kundennetze Cyber-Attacken in Echtzeit zu erkennen und zu blockieren. Der Schutz über $ 1200000000000 in kombinierten Vermögenswerte, ist eSentire die vertrauenswürdige Wahl der Sicherheits Entscheidungsträger in FinanzDienstleistungen, Gesundheitswesen, im Bergbau, Energie, Engineering und Bau, juristische Dienstleistungen und Technologie-Unternehmen. Für weitere Informationen besuchen und folgen @esentire. Silber-Sponsoren Palo Alto Networks, Inc. hat die nächste Generation von Netzwerksicherheit mit unserer innovativen Plattform Pionierarbeit geleistet, die Sie zur Sicherung des Netzwerks ermöglicht und ermöglichen sicher eine immer komplexer und schnell wachsende Zahl von Anwendungen. Im Kern dieser Plattform ist unsere Firewall der nächsten Generation, die innerhalb der Firewall durch eine hochoptimierte Hard- und Softwarearchitektur Transparenz und Kontrolle über Anwendungen, Benutzer und Inhalte liefert. Veeam® ist moderne Data Protection ™. Wir glauben, dass die heutigen IT-Anforderungen geändert haben und dass "3C" Legacy-Backup-Probleme hohen Kosten, erhöht die Komplexität und fehlende Fähigkeiten-nicht mehr akzeptabel sind für jede Organisation. Veeam bietet leistungsstarke, einfach zu bedienende und kostengünstige Lösungen, die für Virtualization ™ und der Cloud-eine perfekte Passform für die moderne Daten Errichtet werdenCenter. Varonis Mission ist es, Unternehmen zu helfen, Daten erkennen, Nutzen aus ihren Menschen verursachten. Varonis steigert die Produktivität nachhaltig Risiko reduziert und senkt die Kosten im Unternehmen. Unsere Produkte zeitaufwändige Datenmanagement und Schutzaufgaben und extrahieren wertvolle Erkenntnisse aus dem menschlichen erzeugten Daten automatisieren. Die Varonis Data Governance Suite unterstützt Unternehmen beim Management und Schutz ihrer unstrukturierten und semistrukturierte Daten-Dokumente, Tabellen, Präsentationen, Mediendateien und andere geschäftliche Daten in File-Server, NAS-Geräten, Sharepoint und Exchange. Diese kritischen Datenbestände sind massiv und schnell wächst. Bei Cisco (NASDAQ: CSCO) Kunden an erster Stelle und ein integraler Bestandteil unserer DNA ist die Schaffung langfristige Kundenpartnerschaften und die Zusammenarbeit mit ihnen, ihre Bedürfnisse zu erkennen und Lösungen, die ihren Erfolg unterstützen. Cisco hat die Zukunft des Internets durch die Schaffung von noch nie da gewesenen Wert und Chance für unsere Kunden, Mitarbeiter, Investoren und Ökosystem geformtPartner und ist heute weltweit der führende Anbieter von Netzwerk geworden - Transformation, wie Menschen zusammenkommen, kommunizieren und zusammenarbeiten. HP Enterprise Security-Software und Lösungen bieten einen proaktiven Ansatz für die Sicherheit, die Informationen Protokollierung und Korrelation, Anwendungsanalyse und Netzwerkebene Verteidigung integriert. Mit Gartner Magic Quadrant Führer in Sicherheit Information und Event Management (SIEM), Next-Generation Intrusion Prevention und Managed Application Security-Tests auf Anfrage erhältlich, hat HP die Lösungen Ihre Sicherheitsposition in die nächste Generation zu übernehmen. Bronze Sponsoren Educational Sponsoren Erleben Sie die branchenweit realistische Penetrationstests, Schulungen und Zertifizierungen. Unterrichtet durch die Kern-Entwickler von Kali Linux, unsere Informationssicherheit Ausbildung werden Sie in das tiefe Ende der realen Welt Penetrationstests einzutauchen. Wir wissen, Penetrationstests. Zwischen Offensive Security Training, Kali Linux und der Exploit-Datenbank, können Sie darauf vertrauen, dass wir das Know-how haben,Wissen und Erfahrung, die Sie mit High-End-Penetrationstests Dienstleistungen zu erbringen. Offensive Sicherheitsfonds und entwickelt mehrere prominente Informationssicherheit Nischen, wie Kali Linux, der Exploit-Datenbank, Google Hacking Database und Metasploit Framework Unleashed (MSFU) freies Training. Die Hacker Academy bietet eine einzigartige Lernerfahrung, Lehr infosec aus Sicht der Hacker. Man könnte den Satz gehört haben, "es braucht eine eine Mentalität zu kennen". Unsere Philosophie ist, unsere Mitglieder mit dem Wissen zu bewaffnen notwendig zu üben, zu implementieren und zu implementieren, was sie sofort und effektiv gelernt. Alle Trainingsmodule stehen zur Verfügung 24/7 und sind perfekt für jede Spielstärke. Pentester Academy plant Online infosec Ausbildung zu revolutionieren, indem sie umfassende, hoch technische, praktische Kurse am meisten erschwinglichen Preis! Unser Traum infosec machen Training für jedermann erschwinglich kann nur wahr werden mit Ihrer Unterstützung! Weitere Sponsoren Lunch Sponsor Tag 1Lunch Sponsor Tag 2 Sozialmischer Palo Alto Networks Sponsor, Inc. hat die nächste Generation von Netzwerksicherheit mit unserer innovativen Plattform Pionierarbeit geleistet, die Sie zur Sicherung des Netzwerks ermöglicht und sicher ermöglichen eine immer komplexer und schnell wachsende Zahl von Anwendungen. Im Kern dieser Plattform ist unsere Firewall der nächsten Generation, die innerhalb der Firewall durch eine hochoptimierte Hard- und Softwarearchitektur Transparenz und Kontrolle über Anwendungen, Benutzer und Inhalte liefert. Swagtasche Point Software Technologies Ltd. Überprüfen Sie Sponsor (www.checkpoint.com), der weltweit führende Anbieter im Bereich Internetsicherheit, die Kunden mit kompromisslosen Schutz vor Bedrohungen aller Art bietet, reduziert die Komplexität der Sicherheit und senkt die Gesamtbetriebskosten. Check Point Pionier zuerst die Industrie mit FireWall-1 und der patentierten Stateful-Inspection-Technologie. Gemeinschaft Sponsoren Die High Technology Crime Investigation Association (HTCIA) gebildet wurde, Aufklärung und die Zusammenarbeit zuunsere globale Mitglieder für die Verhinderung und Verfolgung von High-Tech-Verbrechen. Als solche sind wir eine Organisation, die durch die Bereitstellung umfangreicher Informationen, Bildung, kollektive Partnerschaften, die gegenseitige Vorteile für Mitglieder, kluge Vorstand Führung und das professionelle Management aller in der High-Tech-Bereich zu helfen, anstrebt. Die High-Tech Crime Investigation Verband besteht aus acht Regionen in den Vereinigten Staaten und 6 internationalen Regionen, darunter auch Kanada. Das Atlantic Kapitel ist eines von fünf Kapiteln in der kanadischen Region. Auf internationaler Ebene gibt es insgesamt 38 Kapiteln. Die Halifax Area Sicherheit Klatch (HASK), bietet ein Forum für Experten in das Verständnis über die neuesten Trends und Sicherheitsbedrohungen Diskussion und Austausch von Fachwissen zu fördern Computer mit Blick auf Netzwerke, Systeme und Daten. Unsere Mitgliedschaft beinhaltet Information Security Praktiker, Manager, Netzwerkadministratoren, Studenten und alle, die in das Lernen mehr über die Sicherung Informationen interessant ist. Wir treffen uns am HalifaxClub in Halifax, Nova Scotia. Normalerweise treffen wir auf den letzten Montag des Monats, außer für März, Juni, Juli, August und Dezember; sofern nicht anders mitgeteilt. Die Halifax Hack Labs ist eine Möglichkeit, die lokale Informationen zu Sicherheits-Community zu engagieren Fähigkeiten von anderen Veranstaltungen wie die Halifax Area Sicherheit Klatch und den Atlantischen Sicherheitskonferenz gelernt anzuwenden.