От архитектуры сервисов до безопасности цепи поставок: о чем расскажут в треке разработки на Positive Hack Days 12 / forpes.ru

Главная
От архитектуры сервисов до безопасности цепи поставок: о чем расскажут в треке разработки на Positive Hack Days 12

От архитектуры сервисов до безопасности цепи поставок: о чем расскажут в треке разработки на Positive Hack Days 12

17.05.2023 14:34

ptsecurity 0 577 Источник

До грандиозного киберфестиваля Positive Hack Days 12 осталось всего ничего — уже 19 мая он стартует в московском Парке Горького. В этом году техническая программа объединяет сразу пять треков: Artificial Intelligence, Blockchain, Development, Offense и Defense.

В треке, посвященном разработке (в том числе и безопасной ????), вас ждут 17 крутейших выступлений. Мы попросили наших спикеров рассказать подробнее о себе и своих докладах.

Казнить нельзя помиловать: уязвимости из-за ошибок в бизнес-логике

Ксения Змичеровская

Более 6 лет практического опыта в ИБ в таких направления, как фарма, gamedev, разработка ПО, в том числе в роли системного и бизнес-аналитика

Илья Шаров

Более 6 лет опыта в системной интеграции в финтехе. Последние три года занимался развитием, масштабированием и популяризацией практик безопасной разработки в роли эксперта, архитектора и руководителя

При использовании веб-приложений стоит помнить, что значительная часть критических уязвимостей связана с недостатками на уровне бизнес-логики. С виду легитимная активность пользователя может оказаться критичной «дырой», а набор уязвимостей при этом является уникальным для каждого приложения.

Мы расскажем о подходах в борьбе с логическими уязвимостями, разберем, как применять их на практике, и дадим полезные советы по внедрению безопасной разработки в компаниях.

Как разработчики анализатора исходного кода с одной экспонентой боролись

Георгий Александрия

Чародей третьего круга, колдун шестого ранга и ныне преподающий теорию и практику заклинаний в магической башне Positive Technologies

Я раскрою вам несколько полезных мистических заговоров, позволяющих облегчить работу магического аппарата. Но будьте осторожны, не обманитесь простотой слова «заговор» — они отнюдь не просты и будут содержать определенные формулы и символы, требующие понимания и знания... ну, или усидчивости их переварить.

При абстрактной интерпретации (это такая магическая штука, анализирующая исходный код) возникает довольно большое количество путей ветвления, развилок судьбы, которые наш магический аппарат так или иначе должен обрабатывать. Пусть аппарат наш и магический, но он отнюдь не всесильный, и чем больше ему подсовывать реагентов, тем дольше он будет их преобразовывать. А мы, существа, наделенные магической силой, — жутко нетерпеливый народ, всего хотим побыстрее, да еще вчера, что вынуждает нас подкручивать и подшаманивать нашу машину, чтобы она работала быстрее.

Прослушав мое выступление, вы, товарищи маги, вероятно откроете возможности для ускорения вашей шайтан-машины, сэкономив себе кучу времени и магических сил.

Архитектура сервисов: снижение трудозатрат и повышение безопасности

Юрий Кардюков

Руководитель направления Identity и Open API в компании eKassir, Product Owner системы Identity Platform, спец в вопросах аутентификации и авторизации, а также один из создателей сертификационного стенда OpenAPI

В докладе расскажу о предоставлении API для пользователей и партнеров. Чем сервисы для пользователей отличаются от System-to-System взаимодействия? Как безопасно хранить чувствительную информацию, не распространять пароли на сервисы и делегировать аутентификацию на сторону API Gateway и Authorization Server (oAuth 2.0 и OpenID Connect)?

Вы узнаете:

???? как безопасно провести аутентификацию пользователя без сторонних библиотек и единой строчки кода;

???? чем отличается архитектура system-to-system от пользовательского API;

???? предоставить доступ к сервису без открытия доступов на межсетевом экране.

Руководство бравого докер-секьюрити мастера

Сергей Задорожный

Техлид, 14 лет работал в банке «Центр-инвест», занимался написанием бэкендов на Java и Kotlin для энтерпрайзного энтерпрайза в финтехе. Сейчас девопсит, техлидит, деврелит и выступает с докладами. Держит змей, пауков и прочих экзотических тварей. Любит котиков и блэк-метал

В энтерпрайзном энтерпрайзе нельзя просто так взять и занести какую-либо технологию, и Docker — не исключение. Несмотря на популярность Кубера и контейнеризации в целом, далеко не все еще к этому пришли. А энтерпрайз, особенно такой как финтех, накладывает требования к безопасности. И не у всех есть легендарные девсекопсы.

Из моего выступления вы узнаете:

???? как встать на путь DevSecOps и настроить Docker так, чтобы удовлетворить ибэшников;

???? что такое СIS Docker Benchmark, как его реализовать и какие способы усилить контейнеры еще есть (Gvisor, Firecracker, дополнительные требования по развертыванию контейнеров от ИБ...);

???? как продать Docker безопасникам.

Supply chain security

Дмитрий Шмойлов

Head of software security Kaspersky, 17 лет в ИБ, последние 5 лет в Kaspersky отвечает за безопасную разработку, развитие SDLC и DevSecOps, а также bug bounty. Ежедневно сталкивается с темой своего доклада на практике

Я рассмотрю проблемы безопасности программных компонент и процессов, которые организации вынуждены получать от внешних поставщиков (софт, ЦОД, услуги, open source). Риски, связанные с цепочками поставок, были всегда, но за последние несколько лет привели к ряду инцидентов в разных компаниях в мире.

Вместе разберем, в чем причины данных рисков и на что они влияют, создадим проект модели угроз для выбора корректных митигаций.

Вы сможете:

???? CISO — посмотреть на угрозы под другим углом, актуализировать концепцию ИБ и понять, как донести риски до руководства;

???? DevSecOps — проверить, все ли необходимые контролы реализованы либо есть в вашем бэклоге;

???? DevOps либо Developer — узнать о рисках, которые оставались незамеченными;

???? Security Officer — найти «серые зоны в безопасности» внутри вашей инфраструктуры.

Как применять подходы ZeroTrust при построении процесса безопасной разработки

Светлана Газизова

Руководитель направления аудита безопасной разработки в Swordfish Security. За последние годы собрала коллекцию «как надо» и «как не надо» делать DevSecOps, поработав с несколькими десятками компаний. Автор и тренер курсов по безопасной разработке, ведет канал по безопасной разработке с обзорами последних новостей, полезностями и мемами

Мой доклад будет посвящен тому, как интегрировать концепцию Zero Trust в безопасную разработку. Пока все предлагают сделать DevSecOps «на минималках» и уже хоть как-то обезопасить приложения. Но пора признать: надо двигаться дальше. Киберсреда такова, что без адекватных контролей и использования всего потенциала инструментов, гарантировать сохранность информации невозможно.

Вы сможете найти для себя ответы на следующие вопросы:

1. Насколько реально подружить две концепции и как это отразится на time to market?

2. Кому нужно «не доверять» и почему?

3. Как изменится цикл безопасной разработки?

Я реверсер, я так вижу

Дмитрий Скляров

Head of Reverse Engineering, Positive Technologies. Ковыряет бинарщину, ищет все плохое, чтобы сделать его хорошим...

За те годы, что я занимаюсь Reverse Engineering, я повидал много разного кода, иногда даже в исходниках. Пообщался со многими людьми, имеющими отношение к разработке ПО, зачастую очень умными. Прочитал много статей и книг, местами даже полезных. Наблюдал появление новых техник и технологий для повышения безопасности приложений, вполне себе эффективных...

Но ошибки в коде все не исчезают. Не то чтобы каждый бинарь содержит критические уязвимости, но шанс найти что-то «плохое» все еще очень велик...

В выступлении я хочу донести свой реверсерский взгляд на причины проблем с кодом и процессы, которые эти проблемы призваны ликвидировать.

Язык запросов к коду... не нужен?

Владимир Кочетков

Руководитель направлений экспертизы безопасности приложений и разработки анализаторов кода, Positive Technologies. Организатор POSIdev и трека разработки на PHDays

Сергей Подкорытов

Тимлид разработки анализаторов кода, Positive Technologies

В нашем докладе мы поделимся опытом решения задачи по отчуждению экспертизы в PT Application Inspector, рассмотрим такие популярные инструменты, как Semgrep и CodeQL, и расскажем о непростом пути, пройденном командой PT Application Inspector через несколько версий языка запросов к совершенному иному способу описания базы знаний статического анализатора.

Доклад будет полезен не только тем, кто давно хотел получить возможность практически произвольным образом расширять логику статического анализатора, но и интересующимся техническими аспектами выделения экспертной составляющей программного продукта.

И это еще не весь список. ???? Полную программу трека разработки можно посмотреть на нашем сайте. Приходите послушать доклады вживую 19 и 20 мая в Парк Горького!

Эксперты представят их в зоне территории безопасности на набережной — для ее посещения необходимо приобрести билет ????. Он также позволит вам попасть в закрытую часть киберфестиваля, принять участие в дискуссиях и конкурсах, а еще понаблюдать за перипетиями кибербитвы Standoff. Обо всем в деталях рассказали в предыдущем посте.