Pull to refresh
232.71
JUG Ru Group
Конференции для Senior-разработчиков

Что о безопасности приложений расскажут на SafeCode

Reading time11 min
Views745

В декабре мы представили Хабру нашу новую онлайн-конференцию SafeCode. А теперь, когда до неё осталось две недели и программа готова, можем подробнее рассказать, о чём именно будут доклады.

Если ограничиться одной фразой, то на конференции подойдут к application security с разных сторон: от JavaScript до ассемблера, от DevSecOps до ML, от «уязвимости мобильных приложений» до «пентеста веб-приложения».

А полные описания всех докладов — под катом :

Содержание

  • Аналитика

  • Практика

  • Инструменты

  • DevSecOps

  • ML

  • Другое


Аналитика

Ошибки в коде: ожидания и реальность

Андрей Карпов

PVS-Studio

Используя статический анализатор кода, пользователь может находить в коде вовсе не те ошибки, которые ожидал. Это не хорошо и не плохо, а интересная тема для обсуждения. Особенно с учётом того, что говорить о ней будет @Andrey2008 — Хабру уже известны многие его посты о статическом анализе.

Поговорим о том, почему синтетические тесты врут и почему их сложно составлять. Затронем ложные ожидания при разработке и использовании статических анализаторов кода, а также интересные закономерности в обнаруживаемых ошибках.


Безопасность supply chain: противостоим опасным зависимостям

Татьяна Куцовол

ГК «Солар»

У цепочки поставок (supply chain) большая площадь для атак. К тому же подобные атаки часто обходят традиционные меры безопасности, что затрудняет их обнаружение и предотвращение.

Разберем, что в ответ на эту проблему предлагают нам мировые стандарты SLSA, OWASP SCVS, CIS SSCSG и попытаемся сузить тему до цепочки поставок сторонних зависимостей. Почему в этот раз ограничим себя этой темой? Если злоумышленник нацеливается на цепочку поставок, он пойдет по пути наименьшего сопротивления, а open source-компоненты — самое слабое звено в этой системе.

Разберем методы и тактики, которые используют злоумышленники для манипуляций с зависимостями, проанализируем репозитории некоторых компонентов, определим их состояние и оценим степень риска компрометации системы через эти зависимости.


Развитие практик стандартизации Secure SDL: от международных лучших практик к «импортозамещенным» требованиям

Рустам Гусейнов

ПК «РАД КОП»

Практики DevSecOps и AppSec стремительно развиваются, и это порождает объективную потребность в стандартизации. Но есть проблема — различные отраслевые организации, государственные регуляторы, комитеты по стандартизации, неформальные сообщества видят только какую-то часть «слона». Вдобавок существует страновая специфика, а также интересы вендоров и коммерческих организаций в создании собственных практик.

Проходят годы, и хотя стандартов становится больше, проблемы информационной безопасности и оцениваемые риски лишь возрастают. И возникает закономерный вопрос — не пора ли нам стандартизировать стандартизацию? И что можно использовать из существующих практик, с учетом специфики отечественного законодательства, чтобы сфокусироваться на продуктивной работе и не запутаться в предлагаемом многообразии вариантов?


JavaScript как конструктор безопасного языка

Виктор Вершанский

R-Vision

За прошедшие несколько лет на конференции HolyJS мы проводили обзор возможностей метапрограммирования в JavaScript. С момента появления языка он считается непригодным для создания безопасного кода. Но на самом деле это уже давно не так, и в этом докладе Виктор покажет, как может выглядеть безопасный код на JavaScript.

Конечно, основной упор будет на типобезопасности (безопасности типов), к которой у сообщества больше всего вопросов. Кроме этого рассмотрим безопасность системы наследования и жизненного цикла — в комплексе обозначим подход к разработке безопасного кода на JavaScript.


Страх и ненависть в мобильных приложениях: какие уязвимости актуальны до сих пор и как их найти?

Юрий Шабалин

Стингрей Технолоджиз

Поговорим о проблемах безопасности в мире мобильных приложений. Почему их безопасность важна? Почему безопасность мобилок, если не на первом месте, то должна быть вровень с серверной частью системы?

Помимо рассуждений о безопасности поговорим про ряд уязвимостей, которые встречаются в мобильных приложениях. Будут простые уязвимости, которые компания Юрия находит практически в каждом мобильном приложении. Будут и более опасные атаки, которые затрагивают в том числе серверную часть. Также будут наиболее интересные срабатывания, которые было тяжело найти, но о которых крайне интересно рассказать.

Как открыть YouTube в банковском приложении? Как украсть внутренние файлы из приложения без взаимодействия с пользователем? Как обойти биометрическую аутентификацию? Почему компоненты с secure в имени самые уязвимые? Юрий раскажет об этом и о том, как это можно найти и как защититься от всего этого.


Архивы уязвимостей и как их готовить

Андрей Кулешов

Huawei

В мире существует множество баз данных и форматов для хранения уязвимостей. Многие из вас знакомы с такими аббревиатурами, как CVE и CWE. Некоторые слышали о NVD и OWASP, а кто-то, возможно, даже умеет рассчитывать векторы атак по CVSS. Однако в глобальном мире, где программистам важно быстро анализировать свой код и узнавать об уязвимых зависимостях, существует множество баз данных для лучшей агрегации и поиска по существующим проблемам безопасности.

Есть целые комитеты, которые разрабатывают форматы — такие, как OSV — для лучшего представления и репортинга проблем с безопасностью в базах GitHub Advisory, Ubuntu Security Notices, Android Vulnerability Database и других. В итоге очень сложно уследить за всеми новыми аббревиатурами и обновлениями, которые появляются почти ежедневно.

Андрей обобщит знания об уже существующих форматах, схемах и репозиториях для уязвимостей. Он поделится опытом создания нового формата для представления и хранения уязвимостей под названием COSV. Кроме того, Андрей расскажет про личный опыт разработки базы данных уязвимостей, построенной на основе этого формата, которая стала стандартом для China Computing Federation (CCF).


Практика

Секреты в безопасности: предотвращение утечек и компрометаций в большой компании

Ольга Рачич

Kaspersky

Хранение паролей в открытом виде может привести к компрометации инфраструктуры компании. Зачастую киберпреступники для своих атак используют именно скомпрометированные секреты: строки подключения к БД, токены, API-ключи, сертификаты и т. д. Именно поэтому важно не хранить секреты в открытом виде и проактивно предотвращать их утечки.

Вы узнаете:

каким образом детектируются секреты в компании;
как выстроен процесс обработки найденных секретов;
как Ольга и команда боролись с фолсой;
как они научились предотвращать компрометацию секретов до их публикации с помощью локального автообновляемого хука.

Будет интересно тимлидам, менеджерам проектов, руководителям подразделений.


Уязвимости бизнес-логики, которые могут стоить вам миллионы

Азиз Алимов

Яндекс

В масштабных проектах с большим количеством микросервисов в процессе развития появляется все больше сложных и трудно анализируемых бизнес-процессов. Продукт обрастает логикой, в том числе и легаси.

Во время доклада вы увидите примеры реальных уязвимостей в рамках жизненного цикла различных продуктов. Получите ответ на вопрос: как минимизировать количество таких ошибок и избавиться от некоторых из них?


Проектируем безопасный сервис аутентификации

Александр Савин

Wildberries

Александр рассмотрит проблематику проектирования самописного сервиса аутентификации для большой ИТ-компании. В таком сервисе нужно учесть большое количество аспектов ИБ, а также он должен решать проблему единой точки входа для компании — как для внутренних сотрудников, так и для внешних пользователей продукта.


Как защитить ядро. Поговорим о безопасном коде на kernel space

Анна Мелехова

Kaspersky

Ядро операционной системы — это всегда часть TCB, и потому к нему повышены требования безопасности. Однако построить даже базовые практикам SDL совсем не просто.

Анна подробно расскажет, почему безопасный код в ядре стоит дороже, чем в приложении. Поговорим об ограничении инструментов, про применимость практик и специфические аппаратные возможности.

В докладе будут намеки на ассемблер, ведь безопасный код — он «до самого низа».


Ответственное использование авторизационных токенов

Кирилл Мухов

VK Tech

Поговорим о токенах в целом, о плюсах и минусах использования каждого типа. Вспомним структуру JSON Web Token, посмотрим на нее со стороны устойчивости к взломам. Обратимся к техническим спецификациям, описывающим процесс аутентификации и авторизации, чтобы понять, какие проблемы могут возникнуть в процессе проектирования таких систем.

Поговорим об известных процессах взлома авторизационных токенов и о том, как такие проблемы решать. Обязательно коснемся процесса проектирования систем аутентификации и авторизации: на что следует обращать внимание, какие компромиссные решения могут быть. Определим основные практики проектирования.


Анализ поверхности атаки приложений и программных систем

Павел Довгалюк

ИСП РАН

Анализ поверхности атаки необходим для тестирования и сертификации ПО. Одна из частей поверхности атаки — это потенциально уязвимые функции и модули, обрабатывающие пользовательский ввод или чувствительные данные. Эти части программного кода могут быть найдены экспертно или с помощью средств статического и динамического анализа.

В докладе — обзор методов анализа кода и их применение для определения поверхности атаки.


Инструменты

Fast recon — быстрая разведка при пентесте веб-приложения

Никита Распопов

Уральский центр систем безопасности

Доклад раскрывает тему проведения быстрой разведки и поиска «низко висящих фруктов». Рассмотрим утилиты для парсинга веб-кэша, используемые для генерации словаря для перебора директорий, с помощью которого ищут директории и файлы, «забытые» на сервере, а также уязвимости SSRF, SQLi и прочие в URL-адресах.
Рассмотрим технику быстрого составления словарей через утилиты subfinder, httpx, anew, hakrawler. На основе полученных данных также рассмотрим расширения Burp Suite для генерации словарей, основанных на истории запросов и конечных точек API.
Главная идея доклада — осветить основные темы, чтобы провести комплексную разведку с быстрыми и результативными проверками. Возможно, после доклада вы захотите поделиться с коллегами из сферы безопасной разработки техниками из пентеста, с помощью которых они могут быстро проверять веб-приложение или внешний периметр. Никита расскажет, что можно проверять защищенность не только сканером, подобным Acunetix.
Будет интересно джунам и мидлам, знакомым с безопасностью приложений с точки зрения аппсека, но не имеющим знаний и навыков пентеста.


Прорубаем окно в DevSecOps, внедряя ASPM

Артем Пузанков

MTC Digital

Артем расскажет о том, что такое ASPM идеологически. Рассмотрит систему со стороны пользователя — аппсека и со стороны разработчика, так как однажды они пришел в аппсек, но стал разработчиком ASPM. Поговорим о месте технологии на рынке и о том, какие требования он предъявляет.

Обсудим, почему «вызов из пайплайна GitLab'а — это не оркестратор» и «дашборды бесполезны, если нет функциональности». На своем примере Артем докажет, что ASPM это (не)больно и (не)страшно, но очень важно. Он проведет краткий обзор существующих решений и сравнит их, заострив внимание на наиболее важной функциональности.

На основе собственного опыта, сравнения и воздействия рынка (требований заказчиков) спикер поделится мнением, в каком направлении двигаться разработчикам решений, компаниям, которые решили разрабатывать оркестратор самостоятельно, а также тем, кому только предстоит выбрать, по какому пути они будут развиваться.


Как аппсеки в Авито API собирали

Александр Трифанов

Авито

Если у вас монолит — у вас одна точка входа, можно генерировать OpenAPI-файл с описанием всего API. Сразу понятны рейт-лимиты, наличие авторизации легко проверить, даже сходу можно запустить DAST с высоким покрытием. Мир меняется, когда появляется пара тысяч микросервисов, несколько гейтвеев, внутренние и внешние балансеры, сотни доменов — разобраться в том, какие именно ограничения действуют на API-ручку, становится сложно.

Александр расскажет о том, как в компании научились строить дерево роутинга для всего API с покрытием более 95%, реализовали обнаружение небезопасных конфигураций API и научились предоставлять данные по API для динамических сканеров безопасности. Рассмотрим, какие результаты принесла эта система.


DevSecOps

Безопасность контейнерных сред. Как мы встали на путь разработки собственного решения и что из этого получилось

Игорь Вербицкий

Lamoda Tech

Александр Рахманный

Lamoda Tech

Доклад будет полезен и интересен всем, кто задумывался о выборе сканера уязвимостей для контейнеризации. Вот и в Lamoda Tech подошли к этому вопросу, начав выбирать подходящий инструмент.

Столкнулись с несколькими сложностями: решения вендоров полноценно не поддерживали существующую в компании версию Kubernetes, а опенсорсные решения не до конца отвечали запросам Lamoda Tech. «Почему бы не написать собственное решение?» — подумали они.

Так и сделали. Александр и Игорь расскажут, как реализовывали разработку, поделятся ее итогами и планами на будущее.


Нестандартное применение Kyverno

Сергей Канибор

Luntry

Сейчас трудно представить безопасный Kubernetes-кластер без использования PolicyEngine. Kyverno — одно из самых популярных решений этого класса.

Политики Kyverno могут валидировать, мутировать, генерировать и удалять Kubernetes-ресурсы, а также проверять подписи образов и артефактов для обеспечения безопасности цепочки поставок. Однако на этих тривиальных способах использования Kyverno его возможности не заканчиваются. Во время доклада вам покажут, что они практически безграничны и могут быть ограничены лишь полетом ваших мыслей и фантазий.

Технологии: Kubernetes, Kyverno. Будет интересно AppSec-/DevSecOps-инженерам, DevOps.


ML

Разглядываем MITRE ATLAS

Павел Филонов

Независимый консультант

MITRE ATT&CK — хорошо известный фреймворк для классификации угроз безопасности ПО. А вот его специфичный для ML вариант под названием ATLAS известен гораздо меньше.

Павел считает, что вероятность появления в системах каких-либо элементов машинного обучения будет со временем только возрастать. А следовательно, их разработчикам стоит на ранних стадиях задуматься об обеспечении безопасности ML-based решений.

В докладе будут рассмотрены конкретные примеры уязвимостей из избранных элементов ATLAS-матрицы. В том числе кейс, к добавлению которого Павел приложил свои усилия.


Уязвимости и защита мультимодальных LLM

Евгений Кокуйкин

Raft

Евгений представит анализ рисков безопасности, связанных с использованием мультимодальных LLM-технологий в корпоративной среде. Обсудим конкретные случаи использования LLM для разработки продуктов и автоматизации, выявление и митигацию инъекций промптов, а также стратегии противодействия скрытым механизмам атак в виде троянских коней и уязвимостей плагинов.

Вам расскажут, как применять рекомендации OWASP для идентификации уязвимостей в LLM и разработки соответствующих контрмер. Доклад рассчитан на специалистов по информационной безопасности, разработчиков и IT-руководителей, заинтересованных в повышении устойчивости их систем к современным атакам. Участники узнают о практических аспектах защиты LLM и получат рекомендации по эффективной интеграции защитных механизмов в свои IT-системы.


Большой куш: баги в MLOps и моделях машинного обучения, которые приводят к тем самым последствиям

Артём Семенов

Positive Technologies

Разработчик «Четыре Пальца» должен был безопасно переправить модели из стадии разработки в production. Однако из-за ряда непродуманных действий — отсутствия проверки кода моделей на уязвимости и безопасной настройки пайплайна — он оказывается втянут в цепь непредвиденных событий: adversarial-атаки, кража модели и ее модификации. Это, в свою очередь, приводит к образованию сложной «интриги» с множеством уязвимостей.

В докладе продемонстрируют методологию проведения пентеста и анализа защищенности для выстроенного MLOps pipeline. Проведут анализ типичных недостатков конфигурации, а также рассмотрят уязвимости моделей машинного обучения, при помощи которых пентестер или злоумышленник может получить «большой куш» — тот самый критический риск, который может причинить большой вред компании. Помимо самих атак будут даны рекомендации по защите от атак на MLOps.

Доклад может быть интересен специалистам по тестированию на проникновение, AppSec-инженерам и DevSecOps.


Люди и карьера

Как вовлечь разработчиков в фикс уязвимостей. Рецепт от СберМаркета

Нияз Кашапов

СберМаркет

Доклад о том, как организовали систему оценки зрелости команд и создали инструменты для их мотивации и оценки.

Есть разработчики, которые понимают, почему надо фиксить уязвимости. А есть те, кому time to market важнее всего остального. Как поддержать первых и убедить вторых в том, что безопасность нужна? Как понять, что команда лояльна к безопасности или наоборот требует повышенного внимания? Как связать уровень безопасности сервисов и уровень зрелости команд? Нияз ответит на эти вопросы во время выступления.


Другое

WAF — необходимое звено в защите веб-приложений или навязанная коробка? Взгляд интегратора

Аскар Добряков

К2 Кибербезопасность

Web application firewall — отдельное решение для защиты приложений, которое часто воспринимается как «черный ящик». У специалистов, которые не работают с WAF, возникает вопрос, насколько необходимо и эффективно это решение. В ходе дискуссии с коллегами у нас в команде выработалось определенное видение, которым хочет поделиться Аскар.

В докладе Аскар расскажет:

Какие функции защиты обычно возлагают на web application firewall.
Можно ли реализовать защиту другими средствами.
Какие типовые схемы защиты мобильных и веб-приложений встречались в ходе работ в различных организациях.


Напоследок

Что нужно знать, если раньше не участвовали в наших конференциях? Для нас важно, чтобы даже в онлайне они не превращались в одно лишь «смотреть видеопоток». Поэтому, например, после каждого доклада спикера можно как следует помучить вопросами в формате видеосозвона. А кроме докладов, в онлайне происходят и другие активности.

Так что, если откладывать «позже на YouTube записи увижу», пропускаешь часть происходящего. Остаётся напомнить даты: 13-14 марта, онлайн. Все остальные подробности, а также билеты — на сайте.

Tags:
Hubs:
Total votes 12: ↑12 and ↓0+12
Comments0

Articles

Information

Website
jugru.org
Registered
Founded
Employees
51–100 employees
Location
Россия
Representative
Алексей Федоров