Безопасность

Многим известно, что в разрабатываемых продуктах существуют уязвимости, а для их поиска используются специальные инструменты безопасности. Однако мало кто обращает внимание, что сами инструменты могут служить источником проблем. В ходе доклада мы поговорим про атаки путем эксплуатации уязвимостей в инструментах безопасности (они там тоже есть), зараженные инструменты, легчайший способ сломать CI/CD, а самое главное, как не допустить всего вышеперечисленного.

По статистике на 2022 года количество кибератак на различные сайты выросло на 22%. В связи с этим начинаешь задумываться, а как же можно не допустить подобные ситуации, тестируя сайты или приложения?

В своем докладе я хотела бы поделится свои опытом вхождения в тестирование безопасности. В частности, разберем, как хорошо всем знакомые инструменты DevTools и Postman могут быть использованы для поиска слабых мест в приложении. Также подробней рассмотрим HTTP запросы на предмет уязвимостей. И, конечно, узнаем, что такое payload и как его использовать.

Рассмотрим практики и процессы Application Security / DevSecOps в разрезе:

1. Уровень "с нуля"

2. Уровень зрелости "начальный"

3. Уровень зрелости "средний"

4. Уровень зрелости "продвинутый"

На каждом уровне зрелости рассматриваем процессы и необходимые практики для внедрения.

1) Что такое контейнеры? - разберемся что это такое

2) Оркестрация контейнеров - зачем надо и какая бывает

3) Взгляд регуляторов на контейнерные среды - PCI DSS, 118 приказ, ГОСТ 57580.1-2017

4) Подходы к безопасности контейнерных сред - от жизненных стадий приложения, до разных слоев с разными функциями ИБ

5) Уникальная специфика безопасности Kubernetes - на примере RBAC Kubernetes, сетевая безопасность, безопасность Kubernetes ресурсов

Рассмотрим на живом примере проблемы и уязвимости современных жейтинг сервисов. Как мы можем угнать личную информацию и какие выводы сделаем из этой истории.

Сканирование хостов и подсетей для поиска сервисов не такая простая задача как может показаться на первый взгляд. Уже достаточно давно существуют методы для противодействия сканированию, об одном из них и поговорим. Рассмотрим ситуацию как со стороны сканирующего, так и со стороны защищающегося.

В этом докладе я расскажу:

- Что такое TCP TARPIT и как его применять для защиты своих узлов.

- О технике противодействия сканированию портов.

- Как учесть фактор хостов с tarpit при сканировании подсетей?

- О вариантах обхода защиты от сканирования.

По своей сути IT и кибербезопасность – антиподы. Как и их стремления сделать что-то удобнее и безопаснее. Оптимальный баланс для самого себя выработать не так сложно, но вот в компании все гораздо сложнее.

В этом докладе я расскажу:

- Об актуальных угрозы бизнесу от малого до энтерпрайза.

- Какие бывают подходы к кибербезу в компаниях и что с ними не так.

- Почему баланс всегда в движении и будет нарушаться.

- Как взаимодействовать с пользователями и владельцами бизнеса.

- Почему не работают только технические методы.

- И как наконец найти тот самый стабильный баланс, подходящий именно вашей компании.

1. Как двигается с точки зрения процессов? Где мы сейчас и что будет дальше? (канва почем SecChamp не нужен)

2. Культура безопасной разработки. Опыт, итоги и что будет дальше?

3. Интеграция AppSec и других процессов ИБ. К примеру SOC+Appsec и автоматизация этой интеграции?

4. API Security и API Manegent сейчас и дальше? Инвентаризация API, процессы, выявление неизвестных

5. AppSec Platform - развитие Security Board. Что есть сейчас и куда двигаемся.

Как меняются интернет-угрозы в современном окружении?

Закрыть базовые потребности ИБ, не нагружая излишним функционалом

Низкая нагрузка и быстродействие нужны всем

Контроль устройств и приложений по-прежнему актуален

Забота об админах: функциональная консоль и информативный дашборд