Привет, Хабр! 

Это снова мы, команда Swordfish Security. Уже почти 10 лет внедряем процессы безопасной разработки и практики DevSecOps, заботимся о безопасности приложений. 

А еще Swordfish Security - давний и любимый (ну так нам хотелось бы думать) партнер конференции OFFZONE, которая проводится с 2018 года. Совсем скоро ивент состоится вновь — 25 и 26 августа 2022 года. Мы приготовили для гостей мероприятия много зажигательного и интересного. Наши спикеры тоже постарались — написали крутые и полезные доклады. А теперь переходим непосредственно к спойлерам! 

Программа OFFZONE делится на несколько секций. Так вот, команда Swordfish Security плотно помогает в организации  одной из них — AppSec.Zone. Эта секция создана для того, чтобы погрузить гостей в мир безопасной разработки и рассказать им, как создавать приложения, которые не смогут взломать надоедливые хакеры. 

Еще мы организуем на OFFZONE стильный стенд от информационного партнера конференции, телеграмм-канала Mobile AppSec World. Там мы будем общаться на тему безопасности мобильных приложений, а также представим Стингрей — нашу платформу автоматизированного анализа защищенности приложений. Гости смогут посмотреть демонстрацию продукта, протестировать свои приложения на безопасность, сразу же получить отчет о найденных уязвимостях и пообщаться с нашей командой. Чтобы запланировать встречу, можно заполнить форму. В дополнение, на стенде вас ожидает увлекательный мобильный CTF, в рамках которого нужно будет проанализировать iOS и Android-приложения и найти в них флаги. Еще можно будет ответить на вопросы небольшой викторины, пообщавшись с нашим ботом в Telegram и сыграть в аналог “Своей игры”. Для всех посетителей мы готовим крутой мерч (наклейки, значки и футболки), а победителям CTF достанутся ценные призы.

Также Swordfish Security организует на конференции СТF для любителей веба. Мы не только снабдим всех посетителей полезной информацией, но и представим нашего маскота — Security Champion. Его стиль перекликается с эстетикой киберпанка — уверены, он придется вам по душе. Приходите на конференцию, чтобы поучаствовать вместе с ним в небольшой фан-активности от OFFZONE. 

А теперь про наши выступления на конфе, куда же без них. Ведь это еще один повод пообщаться с нашими ребятами и погрузиться в тему безопасной разработки. Итак, во-первых, на секции AppSec.Zone 26 августа в 13:00 выступлю я, уже знакомый вам Юрий Шабалин, ведущий архитектор Swordfish Security, генеральный директор и один из основателей Стингрей Технолоджиз. Представлю доклад «Учение свет, Или как построить центр компетенций AppSec». Эта тема сегодня крайне актуальна: с ее помощью можно решить такую важную проблему, как разобщенность разработчиков и безопасников. В условиях частых и мощных хакерских атак нельзя допускать несерьезное отношение к защищенности ПО и выпускать на рынок небезопасные продукты. Но именно это сейчас и происходит во многих компаниях, которые занимаются разработкой. Такой подход может привести к значительным финансовым и репутационным потерям. Чтобы избежать этих последствий, нужно подружить разработку и безопасность — с этим поможет центр компетенций. Его можно создать собственными силами или обратиться за помощью к сторонним экспертам. В любом случае, главное — действовать последовательно и использовать все доступные инструменты. В своем выступлении поделюсь ценными практическими рекомендациями. 

А Светлана Газизова, ведущий аудитор Swordfish Security, представит на OFFZONE доклад «Моделирование угроз без головной боли». Она также выступит на секции AppSec.Zone 26 августа в 12:00. Модель угроз информационной безопасности — обязательный документ, необходимость его наличия определена законом. А порядок разработки моделей описан в документах ФСТЭК, в том числе в «Методике оценки угроз безопасности информации», опубликованной в 2021 году. В прошлом году ФСТЭК рассмотрела около 700 моделей, написанных по новой методике. 67% из этих документов были отправлены на доработку. Возможно, проблема в методике, а может, и в самих компаниях. Зачастую организации относятся к моделированию угроз, как к бесконечной волоките с документами, которая нужна только для того, чтобы удовлетворить запросы ФСТЭК. Но на самом деле с помощью грамотно написанной модели угроз можно повысить уровень ИБ в компании и даже сократить затраты на безопасность. 

Светлана в рамках своего выступления на OFFZONE расскажет подробнее, почему моделирование угроз - полезный и интересный процесс, покажет, возможно ли подготовить документ собственными силами. Эксперт объяснит, почему классические подходы к моделированию устарели и больше не решают проблемы безопасности. Светлана на примере реального кейса расскажет слушателям, как разобраться с нестандартным запросом с помощью тривиальных методов. 

Чтобы послушать интересные доклады, увидеть наши стенды и поучаствовать в крутых активностях вместе с нашим маскотом, приходите на конференцию 25 и 26 августа. Купить билеты можно здесь.

До встречи на OFFZONE!