Привет, Хабр!

24 и 25 августа в Москве в лофте GOELRO прошла четвертая международная конференция по практической кибербезопасности OFFZONE 2023. Вновь на одной площадке собралось мощное комьюнити безопасников и разработчиков, инженеров и исследователей, преподавателей и студентов из разных стран.

Если вкратце, конфа в очередной раз отличилась насыщенной программой. В нее вошли шесть треков докладов, один из них — CTF.Zone, здесь по традиции решались сложные таски от топовых авторов. Еще в программе были пять воркшопов, тату-зона для тех, кто приехал набить свежак или попробовать себя в роли мастера, и, конечно, активности, в том числе Game.Zone, а также квесты и конкурсы на стендах партнеров. 

В общем, всё супер, как всегда. Ну а мы хотим вам рассказать, как прошла подготовка и работа секции по безопасности приложений AppSec.Zone, какие выступления были в этом году и насколько сложно было попасть туда с докладом. Тем более, что наша команда принимала участие в ее организации, и у нас есть немного инсайдерской инфы :)

Что такое AppSec.Zone, и как эксперты отбирали доклады

AppSec.Zone — это секция для тех, кого хлебом не корми, дай поискать необычные уязвимости, построить безопасную архитектуру для приложений, внедрить инструменты защищенности в пайплайны разработки, наладить ИБ-процессы, поэкспериментировать с интересными подходами к тестированию и предупредить коллег о том, где зарыты «грабли». Иными словами, AppSec.Zone — это профессиональное комьюнити, где спецы обмениваются опытом и просто общаются.

В AppSec.Zone, как и в других секциях, были представлены доклады в форматах short talk (15 минут) и talk (45 минут). Материалы рассматривал CFP‑комитет, в него вошли ключевые эксперты ИБ-области, в их числе — Юрий Шабалин, ведущий архитектор ГК Swordfish Security и генеральный директор «Стингрей Технолоджиз». 

Докладчики привлекались через СМИ, социальные сети, информационные каналы OFFZONE и партнеров секции. Также члены CFP-комитета обращались напрямую к знакомым спикерам с приглашением выступить на AppSec.Zone. Таким образом, в отборе участвовали все поступившие заявки, а также релевантные доклады, которые не прошли в основные треки конференции и при этом не были заявлены в AppSec.Zone. 

Несмотря на узкую специфику секции, на AppSec.Zone пришлось около четверти от общего числа заявок. Подавались как матерые спикеры, так и новички, которым только предстояло впервые выступить перед увлеченной публикой OFFZONE. Если говорить о специализации спикеров — это всё те же безопасники и руководители ИБ-подразделений, пентестеры и специалисты по анализу защищенности технологических холдингов, интернет-сервисов, банков, финтех-игроков, ИТ-компаний и других организаций. 

Темы, обозначенные в заявках, перекликались с трендами индустрии. В этом году было много докладов про Bug Bounty, безопасность компонентов Open Source, а также атаки на системы машинного обучения и языковые модели и использование этих инструментов в задачах ИБ. Также по традиции многие спикеры из крупных компаний, которые строят процессы Application Security, подавались на AppSec.Zone, чтобы поделиться с коллегами своим ноу-хау и рассказать про то, как они справлялись со сложностями. 

Отбор докладов проходил методом голосования. Эксперты выставляли оценки, и в программу попадали материалы с наибольшим количеством голосов. Комитет в первую очередь обращал внимание на актуальность и новизну тем.

! Если вы надумаете податься в AppSec.Zone в следующем году, то вот вам совет от CFP‑комитета. Чтобы выбрать тему, сядьте и подумайте хорошенько, что вам облегчило задачи при построении процессов безопасной разработки или поиске уязвимостей, какие инструменты помогли оптимизировать работу и сэкономить время. Методы должны быть новыми или малоизвестными, а главное, полезными. Когда определитесь с темой, максимально точно, но коротко опишите ее, емко сформулируйте ключевые тезисы. Аннотация доклада должна отражать главные детали, быть понятной, чтобы эксперты уловили вашу мысль.

Спикеры AppSec.Zone — кто эти люди и с чем они пришли

Мы пообщались со спикерами AppSec.Zone и узнали, какой у них опыт в ИБ, как они готовились к выступлению, что хотели донести до публики и какие впечатления у них остались.

Андрей Борисов, руководитель направления в отделе информационной безопасности Дзена, VK

Андрей открыл секцию, представив доклад «AppSec на OSS — придется прогать (на основе реального опыта Дзена)». Эксперт рассказал, как команда платформы внедряла ПО с открытым исходным кодом, с какими сложностями столкнулась, как и с помощью каких инструментов анализировала безопасность таких элементов, как в целом организовала работу с Open Source.

«Я пришел в ИБ из разработки примерно два года назад. Начал свою карьеру в области безопасности в MTC, где вместе с командой строил AppSec-платформу. Этот опыт помог мне и ребятам из Дзена решить задачи, которые стояли перед нами в рамках построения процессов безопасности приложений на платформе.

Это мое первое публичное выступление, я получил интересный опыт, думаю, в этом направлении тоже нужно развиваться. Своим докладом я хотел показать, что, если хочется строить AppSec на Open Source, то придется глубоко погружаться в то, как этот Open Source работает. Не всем и не всегда это может подойти, потому что понадобятся значительные трудозатраты и определенная экспертиза либо время на ее получение. Компания должна быть готова к такому пути. У нас это сработало, и я рассказал — как. Также мне хотелось поделиться нашими лайфхаками по SCA-сканированию и в целом по выстраиванию AppSec-процессов.

Идея рассказать обо всем этом на AppSec.Zone пришла, можно сказать, естественным образом. Подумали, что коллегам будет интересно послушать. Доклад я подготовил в достаточно короткие сроки. Мне оставалось просто сесть и расписать мысли, которыми давно хотелось поделиться.

Удивило, что у публики было так много вопросов, честно говоря, не ожидал [довольно улыбается]. Вопросы хорошие прозвучали. В целом уровень экспертизы участников секции высокий, ребята делятся своими инсайдами, а мы своими. Планировал послушать спикера из Luntry [Сергей Канибор, R&D / Container Security], от этой компании обычно выступают с глубокими техническими докладами. В общем, классно, так и должно развиваться комьюнити. Думаю, что еще вернусь на AppSec.Zone», — поделился Андрей.

Савелий Красовский, инженер безопасности, разработчик, Х5 Group

Эксперт выступил с докладом «Повышаем безопасность GitLab CE». Савелий рассказал, как в CE можно безопасно работать с секретами и как использовать pre-receive хуки для повышения защищенности.

«2,5 года я работал в банке Golang-разработчиком. В продуктах краем глаза начал замечать уязвимости, ходил к безопасникам и просил их приглядеться к этим местам. В какой-то момент они пришли ко мне со словами: ‘’Слушай, а давай к нам?’’ Вот так я и попал в ИБ, в отдел, который занимался пентестом, через 1,5 года перешел в AppSec-подразделение, где консультировал разработчиков, показывал им, как нужно делать. А последние полгода я работаю в Х5 Group на позиции DevSecOps-инженера, занимаюсь построением SSDLC.

Это было мое первое публичное выступление. В докладе я подсветил две основные темы, связанные с секретами. К сожалению, в CE с ними сложно работать безопасно. Мы специально изучили, как в нашей инфраструктуре применяется Vault, и выяснили, что подавляющее большинство разработчиков его используют недостаточно корректно. Чтобы решить эту проблему, мы написали собственное мини-решение, им я и поделился в своем выступлении. Также я рассказал про server-хуки, которые позволяют предотвращать появление нежелательных вещей в Git-репозитории. На мой взгляд, этой возможности нет даже в премиум-подписке. GitLab Premium позволяет загружать секреты в репозиторий, а потом выдает отчеты о том, что эти секреты там лежат. То есть постфактум, когда злоумышленник уже мог поставить репозиторий на мониторинг и все секреты украсть. Серверные хуки как раз помогают этого избежать: на этапе пуша разработчику в консоли выпадает ошибка. Это распространяется не только на секреты, но секреты — самый простой кейс, который можно закрыть предложенным решением.

Многие доработки, о которых я рассказал в докладе, я внес сам, потому что знаю Go. Все утилиты, которые я представил, написаны на этом языке. Вообще меня часто тянет в код — это my passion, а security — скорее, хобби, подумываю над тем, чтобы когда-нибудь вернуться в разработку, используя свой бэкграунд в ИБ. В целом же, мне кажется, что хороший AppSec-специалист должен знать хотя бы один язык, чтобы понимать, как работают программисты, и замечать проблемы. Когда ты знаешь, с какими подводными камнями сталкиваются разработчики, ты сразу представляешь, где могут быть ошибки. Например, часто встречается неправильное использование стандартных библиотек.

Возвращаясь к server-хукам, я их начал исследовать еще во время работы в банке, в Х5 Group продолжил. Поделился с новым руководителем своими идеями, и он предложил мне выступить с докладом. Так как я был глубоко погружен в тему, подготовка не отняла у меня много времени. Я быстро набросал презентацию, отрепетировал несколько раз и пришел на AppSec.Zone. После доклада мне так много вопросов задали, а я-то думал, там будет перекати-поле, положу микрофон и всё, пока [смеется].

Если говорить в целом про OFFZONE, я здесь в первый раз. Больше всего меня привлекает именно образовательная часть, доклады коллег, в частности по AppSec по понятным причинам. Ну и так как я работал пентестером, мне интересны доклады CTF.Zone про то, как ребята что-то поломали, нашли уязвимости в реальных системах», — рассказал Савелий.

Рамазан Рамазанов (r0hack), багхантер, руководитель отдела внешних пентестов DeteAct

Рамазан представил доклад «Багхантинг: кейсы, инструменты и рекомендации». Спикер рассказал о причинах неудач в багхантинге и способах поиска уязвимостей, поделился полезными кейсами и поговорил о том, как сегодня обстоят дела в российской индустрии. В конце Рамазан провел для участников небольшой квиз, победитель получил худи от Госуслуг (весной на портале завершилась первая программа Bug Bounty, белые хакеры нашли 34 уязвимости).

«В ИБ я с лета 2018 года. На тот момент был разработчиком, проходил собесы после участия в CTF, устроился в компанию DeteAct, в которой работаю по сегодняшний день. Сейчас у нас уже достаточно большая команда технарей. Активно багхантить я начал где-то с конца 2019 года и с того момента занимаюсь этим стабильно 2–3 раза в год. Также я активно развиваю эту сферу, особенно сейчас, когда она стала, скажем так, важной для всей страны, — продвигаю ее в своем Telegram-канале Bounty On Coffee и на других площадках, багханчу сам и показываю молодым, как надо. 

Я выступал уже более 10 раз на разных конференциях. В этом году для AppSec.Zone я специально подготовил лайтовый доклад без сложных технических деталей, чтобы он был понятен новичкам, которым пока сложно разобраться в теме. Часто ребята пишут мне в личку и говорят в чатах о том, что нет понимания, с чего начать свой путь в багхантинге, как всё это работает, почему не получается. Поэтому я решил рассказать молодым, что и как сегодня можно ломать, ну и поделиться с ними небольшими секретами, гайдами. В целом новичкам могу посоветовать вот что: набирайтесь знаний и опыта, делайте то, что вам нравится, и тогда у вас точно всё получится. 

Сейчас багхантинг активно развивается. В своем докладе я привел статистику по платформам Standoff 365 и BI.ZONE Bug Bounty: примерно 50 млн руб. было выплачено багхантерам только в 2023 году. В прошлом году еще мало кто этим занимался, тогда программы только набирали силу. Учитывая текущий рост, будущее багхантинга видится безоблачным. 24 августа на OFFZONE была пресс-конференция [BI.ZONE Bug Bounty: итоги года], где со стороны компании-клиента выступил вице‑президент, директор департамента информационной безопасности «Тинькофф» Дмитрий Гадарь, а со стороны разработчика платформы — директор по стратегии BI.ZONE Евгений Волошин и руководитель продукта BI.ZONE Bug Bounty Андрей Левкин. Эксперты ожидают рост рынка багбаунти до 5 раз в ближайшем году по количеству компаний. Мне этот прогноз кажется достаточно оптимистичным, но тенденции таковы, что рост в течение года в любом случае будет как минимум в 2–3 раза. Это скажется и на количестве публичных программ на платформе BI.ZONE Bug Bounty.

Свой доклад я готовил вплоть до последнего момента, сначала сформировал скелет, а потом дополнял его в течение нескольких дней. Всегда отношусь серьезно к подготовке. На мой взгляд, у нас на конференциях по ИБ есть небольшой, скажем так, косяк, когда организаторы ничего не проверяют серьезно, поэтому спикеры пишут доклады в последний момент. Для сравнения можно привести конференции для разработчиков, где материал должен быть готов за два месяца. Спикерам выделяют ораторов, зовут их на сцену и просят прогнать выступление перед экспертами. Всё это помогает сделать финальный выход более четким, аккуратным. 

Для квиза частично я использовал готовые задания с кусками кода, которые давал на конференции для разработчиков HighLoad++ (там участники, на самом деле, справились лучше), частично придумал новые вопросы, связанные с тематикой доклада, добавил задания с логическими багами, — прокомментировал Рамазан.

Николай Хечумов, Staff Security Engineer, «Aвито»

Спикер выступил с докладом «Поиск и управление находками в «Авито»: расширяемый shift‑left, который нельзя построить с DefectDojo». Николай поделился результатами, которых удалось достичь за несколько лет построения гибкой системы оркестрации поиска уязвимостей и управления находками.

«После окончания института я год поработал фулстек-разработчиком, узнал, как всё это устроено в enterprise, затем перешел в безопасность. Последние семь лет непрерывно занимаюсь AppSec, и здесь мне часто пригождается опыт в разработке. У нас возникают проблемы в части безопасности приложений, для которых нет готовых решений, поэтому приходится разрабатывать для ИБ.

Я стараюсь чаще выступать на конференциях, также мы проводим в «Авито» внутренние митапы по безопасности. Но на OFFZONE, честно говоря, мне нравится больше всего. Я выступал здесь в 2022 году и вот вернулся вновь. На мой взгляд, в этом году, по сравнению с прошлой конференцией, больше сочных докладов, публика AppSec.Zone подросла, да и популярность OFFZONE тоже. Еще кажется, что аудитория стала более серьезной, ее уже не так-то просто раскрутить на шутку [смеется].

В своем докладе я поделился принципом отслеживания находок сканеров и управления ими на всем этапе жизненного цикла разработки. Это как раз та история, которой сейчас нет, наверное, ни в одном продукте. У компаний есть отдельные инструменты, которые сканируют, верифицируют срабатывания и т. д., но нет системы, которая склеивала бы все эти процессы и могла бы рассказывать об историчности каждой находки. Такая штука позволяет разгружать AppSec-команду от текучки и собирать метрики, которые дают понимание, в какую сторону движется безопасность, где нужны доработки. Собственно, для этого мы и разработали свою систему, она в первую очередь расширяет знания о процессах и повышает эффективность целеполагания в рамках обеспечения защищенности.

Наша базовая идея состоит в том, чтобы выложить систему в Open Source. Мы сравнили ее с DefectDojo и пришли к выводу, что сделана она хорошо и даже лучше. Правда, пока наша разработка «авитоспецифична», для начала ее нужно отвязать от нас, добавить интеграций, сделать более общей — еще думаем над этим и над тем, как ее «открыть». Вероятно, открывать будем по частям.

Судя по тому, что я видел за последний год в мире, зарубежные компании двигаются как раз в эту сторону — на рынке появляются полноценные системы управления находками. Российские организации, вероятно, тоже идут в этом направлении, потому что проблема однозначно есть, она уже давно назрела, и AppSec-спецы страдают. Думаю, в ближайшем будущем таких продуктов на рынке будет становиться всё больше, и, наверное, в течение пяти лет проблема решится.

Мой доклад зрел довольно долго. На прошлом OFFZONE я показывал целый слайд на эту тему и сказал, что про нее лучше рассказать в отдельном докладе. То есть я еще в том году примерно знал, с чем приду сегодня [25 августа]. До настоящего момента всё это выкристаллизовалось в цельную конструкцию, которая показала наш принцип организации процессов, позволяющий масштабироваться практически без ограничений. После выступления я понял, что тема попала в самую жилу, вызвала большой интерес у публики. Мне задали много хороших вопросов, хотя в прошлом году их тоже было немало», — поделился Николай.

Также в секции AppSec.Zone выступили спикеры Swordfish Security. В частности, Юрий Шабалин представил доклад «5 лайфхаков для Mobile DevSecOps». Эксперт поговорил о том, как устроена разработка мобильных приложений, какие нюансы и особенности нужно учитывать при внедрении и использовании инструментов безопасности, чтобы повысить эффективность сканирований.

«Все привыкли к стандартным веб-приложениям и всему, что с ними связано: frontend, backend, middleware, CI/CD и т. д. Но когда дело доходит до мобильных приложений, возникают различные нюансы. Об этих особенностях либо не знают, либо не представляют, как их использовать во благо. Кроме этого, к мобильным приложениям можно по-разному применять ИБ-практики из-за особенностей архитектуры таких продуктов.

Так как мы с ребятами из «Стингрей Технолоджиз» разрабатываем систему динамического анализа безопасности мобильных приложений, нам приходится плотно взаимодействовать с разработчиками мобилок и глубоко погружаться в их процессы. Довольно часто специалисты из отдела ИБ задают нам вопросы про особенности мобильных продуктов. Поэтому я решил подготовить обзорный доклад про самые популярные моменты, чтобы больше людей были в курсе того, как всё это функционирует, чтобы они не боялись мобилок, а, наоборот, использовали их фишки для повышения удобства работы.

В этом году я выступил на OFFZONE в третий раз. Это моя любимая конференция из российских мероприятий. И организаторы стараются, и доклады высокого уровня, и, главное, атмосфера крутая. Большой плюс в том, что на конфе очень мало продающих материалов и бизнес-части. А на AppSec.Zone можно встретить разных людей из enterprise-компаний и небольших стартапов. Также сюда приходят исследователи, багхантеры. Это здорово: ты можешь со всех сторон посмотреть, как в разных компаниях устроены процессы security, и перенять опыт коллег. Но главное всё-таки — комьюнити, которое здесь образовалось.

К слову о комьюнити: мы с командой уже во второй раз представили на конференции стенд канала по мобильной безопасности Mobile AppSec World. Круто, что организаторы OFFZONE дают возможность различным сообществам проявить себя — это вызывает уважение», — прокомментировал Юрий.

Активности по безопасности приложений

В этом году на OFFZONE снова было много активностей на любой вкус. Часть из них перекликались с тематикой AppSec.Zone. Расскажем кратко о самых интересных и запоминающихся.

В зоне инсталляции CUB_3 можно было не только познакомиться с главным артефактом OFFZONE 2023, но и порешать таски. За самое хардкорное хак-задание давали 2000 offcoin. Кстати, организаторы скрупулезно подошли к воплощению идеи с кубом. Они даже подготовили отчет по итогам «лабораторных наблюдений» за этой загадкой. В нем рассказывается, как куб попал на OFFZONE и какие у него есть способности.

Также участники попробовали свои силы в знаменитой (на OFFZONE) активности HACK IN 15 MIN. Гости получали задачу на взлом системы и всего 10 минут на решение. Тем, кто не успевал, давали еще 5 минут, но за каждые дополнительные 60 секунд выписывался штраф — горячительный шот.

На стенде «Совкомбанк Технологии» были проведены CTF-соревнования в формате Jeopardy с разными категориями заданий. Наши ребята на стенде Swordfish Security также организовали классический Jeopardy Web CTF для разработчиков и начинающих спецов по безопасности.

Еще у гостей была возможность взломать стенд Positive Technologies и разместить на нем свой никнейм, а также сыграть в «Миссию Мидори White Hat» от «Лаборатории Касперского» и проанализировать устойчивость инфраструктуры умного города. На стенде Start X участники проверяли свои навыки безопасной разработки в рамках теста из 20 кейсов о том, как ошибки разработчиков приводили к взлому известных приложений. А на площадке компании «Инфосистемы Джет» гости могли проэксплуатировать уязвимости галактической инфраструктуры и захватить сеть.

Вместо вывода

В этом году еще ярче прослеживается стремление организаторов подогнать AppSec.Zone под тренды индустрии и превратить ее в хаб для обмена практической информацией, которая поможет противостоять современным угрозам. В программе секции было много докладов, посвященных точечным вопросам, кейсам, дающим конкретные алгоритмы для решения назревших проблем. Это говорит о том, что индустрия оставила шоковое состояние позади и теперь активно борется за то, чтобы встать на собственные прочные рельсы.

В целом, на наш взгляд, секция удалась.

Увидимся на OFFZONE 2024!