Как стать автором
Обновить
82.26
Swordfish Security
Информационная безопасность, DevSecOps, SSDL

AppSec.Zone на OFFZONE 2023: как отбирались доклады, о чем рассказывали спикеры и как всё прошло

Время на прочтение13 мин
Количество просмотров1.3K

Привет, Хабр!

24 и 25 августа в Москве в лофте GOELRO прошла четвертая международная конференция по практической кибербезопасности OFFZONE 2023. Вновь на одной площадке собралось мощное комьюнити безопасников и разработчиков, инженеров и исследователей, преподавателей и студентов из разных стран.

Если вкратце, конфа в очередной раз отличилась насыщенной программой. В нее вошли шесть треков докладов, один из них — CTF.Zone, здесь по традиции решались сложные таски от топовых авторов. Еще в программе были пять воркшопов, тату-зона для тех, кто приехал набить свежак или попробовать себя в роли мастера, и, конечно, активности, в том числе Game.Zone, а также квесты и конкурсы на стендах партнеров. 

В общем, всё супер, как всегда. Ну а мы хотим вам рассказать, как прошла подготовка и работа секции по безопасности приложений AppSec.Zone, какие выступления были в этом году и насколько сложно было попасть туда с докладом. Тем более, что наша команда принимала участие в ее организации, и у нас есть немного инсайдерской инфы :)

Что такое AppSec.Zone, и как эксперты отбирали доклады

AppSec.Zone — это секция для тех, кого хлебом не корми, дай поискать необычные уязвимости, построить безопасную архитектуру для приложений, внедрить инструменты защищенности в пайплайны разработки, наладить ИБ-процессы, поэкспериментировать с интересными подходами к тестированию и предупредить коллег о том, где зарыты «грабли». Иными словами, AppSec.Zone — это профессиональное комьюнити, где спецы обмениваются опытом и просто общаются.

В AppSec.Zone, как и в других секциях, были представлены доклады в форматах short talk (15 минут) и talk (45 минут). Материалы рассматривал CFP‑комитет, в него вошли ключевые эксперты ИБ-области, в их числе — Юрий Шабалин, ведущий архитектор ГК Swordfish Security и генеральный директор «Стингрей Технолоджиз». 

Докладчики привлекались через СМИ, социальные сети, информационные каналы OFFZONE и партнеров секции. Также члены CFP-комитета обращались напрямую к знакомым спикерам с приглашением выступить на AppSec.Zone. Таким образом, в отборе участвовали все поступившие заявки, а также релевантные доклады, которые не прошли в основные треки конференции и при этом не были заявлены в AppSec.Zone. 

Несмотря на узкую специфику секции, на AppSec.Zone пришлось около четверти от общего числа заявок. Подавались как матерые спикеры, так и новички, которым только предстояло впервые выступить перед увлеченной публикой OFFZONE. Если говорить о специализации спикеров — это всё те же безопасники и руководители ИБ-подразделений, пентестеры и специалисты по анализу защищенности технологических холдингов, интернет-сервисов, банков, финтех-игроков, ИТ-компаний и других организаций. 

Темы, обозначенные в заявках, перекликались с трендами индустрии. В этом году было много докладов про Bug Bounty, безопасность компонентов Open Source, а также атаки на системы машинного обучения и языковые модели и использование этих инструментов в задачах ИБ. Также по традиции многие спикеры из крупных компаний, которые строят процессы Application Security, подавались на AppSec.Zone, чтобы поделиться с коллегами своим ноу-хау и рассказать про то, как они справлялись со сложностями. 

Отбор докладов проходил методом голосования. Эксперты выставляли оценки, и в программу попадали материалы с наибольшим количеством голосов. Комитет в первую очередь обращал внимание на актуальность и новизну тем.

! Если вы надумаете податься в AppSec.Zone в следующем году, то вот вам совет от CFP‑комитета. Чтобы выбрать тему, сядьте и подумайте хорошенько, что вам облегчило задачи при построении процессов безопасной разработки или поиске уязвимостей, какие инструменты помогли оптимизировать работу и сэкономить время. Методы должны быть новыми или малоизвестными, а главное, полезными. Когда определитесь с темой, максимально точно, но коротко опишите ее, емко сформулируйте ключевые тезисы. Аннотация доклада должна отражать главные детали, быть понятной, чтобы эксперты уловили вашу мысль.

Спикеры AppSec.Zone — кто эти люди и с чем они пришли

Мы пообщались со спикерами AppSec.Zone и узнали, какой у них опыт в ИБ, как они готовились к выступлению, что хотели донести до публики и какие впечатления у них остались.

Зал AppSec.Zone
Зал AppSec.Zone

Андрей Борисов, руководитель направления в отделе информационной безопасности Дзена, VK

Андрей открыл секцию, представив доклад «AppSec на OSS — придется прогать (на основе реального опыта Дзена)». Эксперт рассказал, как команда платформы внедряла ПО с открытым исходным кодом, с какими сложностями столкнулась, как и с помощью каких инструментов анализировала безопасность таких элементов, как в целом организовала работу с Open Source.

Андрей Борисов, руководитель направления в отделе информационной безопасности Дзена, VK
Андрей Борисов, руководитель направления в отделе информационной безопасности Дзена, VK

«Я пришел в ИБ из разработки примерно два года назад. Начал свою карьеру в области безопасности в MTC, где вместе с командой строил AppSec-платформу. Этот опыт помог мне и ребятам из Дзена решить задачи, которые стояли перед нами в рамках построения процессов безопасности приложений на платформе.

Это мое первое публичное выступление, я получил интересный опыт, думаю, в этом направлении тоже нужно развиваться. Своим докладом я хотел показать, что, если хочется строить AppSec на Open Source, то придется глубоко погружаться в то, как этот Open Source работает. Не всем и не всегда это может подойти, потому что понадобятся значительные трудозатраты и определенная экспертиза либо время на ее получение. Компания должна быть готова к такому пути. У нас это сработало, и я рассказал — как. Также мне хотелось поделиться нашими лайфхаками по SCA-сканированию и в целом по выстраиванию AppSec-процессов.

Идея рассказать обо всем этом на AppSec.Zone пришла, можно сказать, естественным образом. Подумали, что коллегам будет интересно послушать. Доклад я подготовил в достаточно короткие сроки. Мне оставалось просто сесть и расписать мысли, которыми давно хотелось поделиться.

Удивило, что у публики было так много вопросов, честно говоря, не ожидал [довольно улыбается]. Вопросы хорошие прозвучали. В целом уровень экспертизы участников секции высокий, ребята делятся своими инсайдами, а мы своими. Планировал послушать спикера из Luntry [Сергей Канибор, R&D / Container Security], от этой компании обычно выступают с глубокими техническими докладами. В общем, классно, так и должно развиваться комьюнити. Думаю, что еще вернусь на AppSec.Zone», — поделился Андрей.

Савелий Красовский, инженер безопасности, разработчик, Х5 Group

Эксперт выступил с докладом «Повышаем безопасность GitLab CE». Савелий рассказал, как в CE можно безопасно работать с секретами и как использовать pre-receive хуки для повышения защищенности.

Савелий Красовский, инженер безопасности, разработчик, Х5 Group
Савелий Красовский, инженер безопасности, разработчик, Х5 Group

«2,5 года я работал в банке Golang-разработчиком. В продуктах краем глаза начал замечать уязвимости, ходил к безопасникам и просил их приглядеться к этим местам. В какой-то момент они пришли ко мне со словами: ‘’Слушай, а давай к нам?’’ Вот так я и попал в ИБ, в отдел, который занимался пентестом, через 1,5 года перешел в AppSec-подразделение, где консультировал разработчиков, показывал им, как нужно делать. А последние полгода я работаю в Х5 Group на позиции DevSecOps-инженера, занимаюсь построением SSDLC.

Это было мое первое публичное выступление. В докладе я подсветил две основные темы, связанные с секретами. К сожалению, в CE с ними сложно работать безопасно. Мы специально изучили, как в нашей инфраструктуре применяется Vault, и выяснили, что подавляющее большинство разработчиков его используют недостаточно корректно. Чтобы решить эту проблему, мы написали собственное мини-решение, им я и поделился в своем выступлении. Также я рассказал про server-хуки, которые позволяют предотвращать появление нежелательных вещей в Git-репозитории. На мой взгляд, этой возможности нет даже в премиум-подписке. GitLab Premium позволяет загружать секреты в репозиторий, а потом выдает отчеты о том, что эти секреты там лежат. То есть постфактум, когда злоумышленник уже мог поставить репозиторий на мониторинг и все секреты украсть. Серверные хуки как раз помогают этого избежать: на этапе пуша разработчику в консоли выпадает ошибка. Это распространяется не только на секреты, но секреты — самый простой кейс, который можно закрыть предложенным решением.

Многие доработки, о которых я рассказал в докладе, я внес сам, потому что знаю Go. Все утилиты, которые я представил, написаны на этом языке. Вообще меня часто тянет в код — это my passion, а security — скорее, хобби, подумываю над тем, чтобы когда-нибудь вернуться в разработку, используя свой бэкграунд в ИБ. В целом же, мне кажется, что хороший AppSec-специалист должен знать хотя бы один язык, чтобы понимать, как работают программисты, и замечать проблемы. Когда ты знаешь, с какими подводными камнями сталкиваются разработчики, ты сразу представляешь, где могут быть ошибки. Например, часто встречается неправильное использование стандартных библиотек.

Возвращаясь к server-хукам, я их начал исследовать еще во время работы в банке, в Х5 Group продолжил. Поделился с новым руководителем своими идеями, и он предложил мне выступить с докладом. Так как я был глубоко погружен в тему, подготовка не отняла у меня много времени. Я быстро набросал презентацию, отрепетировал несколько раз и пришел на AppSec.Zone. После доклада мне так много вопросов задали, а я-то думал, там будет перекати-поле, положу микрофон и всё, пока [смеется].

Если говорить в целом про OFFZONE, я здесь в первый раз. Больше всего меня привлекает именно образовательная часть, доклады коллег, в частности по AppSec по понятным причинам. Ну и так как я работал пентестером, мне интересны доклады CTF.Zone про то, как ребята что-то поломали, нашли уязвимости в реальных системах», — рассказал Савелий.

Рамазан Рамазанов (r0hack), багхантер, руководитель отдела внешних пентестов DeteAct

Рамазан представил доклад «Багхантинг: кейсы, инструменты и рекомендации». Спикер рассказал о причинах неудач в багхантинге и способах поиска уязвимостей, поделился полезными кейсами и поговорил о том, как сегодня обстоят дела в российской индустрии. В конце Рамазан провел для участников небольшой квиз, победитель получил худи от Госуслуг (весной на портале завершилась первая программа Bug Bounty, белые хакеры нашли 34 уязвимости).

Рамазан Рамазанов (r0hack), багхантер, руководитель отдела внешних пентестов DeteAct
Рамазан Рамазанов (r0hack), багхантер, руководитель отдела внешних пентестов DeteAct

«В ИБ я с лета 2018 года. На тот момент был разработчиком, проходил собесы после участия в CTF, устроился в компанию DeteAct, в которой работаю по сегодняшний день. Сейчас у нас уже достаточно большая команда технарей. Активно багхантить я начал где-то с конца 2019 года и с того момента занимаюсь этим стабильно 2–3 раза в год. Также я активно развиваю эту сферу, особенно сейчас, когда она стала, скажем так, важной для всей страны, — продвигаю ее в своем Telegram-канале Bounty On Coffee и на других площадках, багханчу сам и показываю молодым, как надо. 

Я выступал уже более 10 раз на разных конференциях. В этом году для AppSec.Zone я специально подготовил лайтовый доклад без сложных технических деталей, чтобы он был понятен новичкам, которым пока сложно разобраться в теме. Часто ребята пишут мне в личку и говорят в чатах о том, что нет понимания, с чего начать свой путь в багхантинге, как всё это работает, почему не получается. Поэтому я решил рассказать молодым, что и как сегодня можно ломать, ну и поделиться с ними небольшими секретами, гайдами. В целом новичкам могу посоветовать вот что: набирайтесь знаний и опыта, делайте то, что вам нравится, и тогда у вас точно всё получится. 

Сейчас багхантинг активно развивается. В своем докладе я привел статистику по платформам Standoff 365 и BI.ZONE Bug Bounty: примерно 50 млн руб. было выплачено багхантерам только в 2023 году. В прошлом году еще мало кто этим занимался, тогда программы только набирали силу. Учитывая текущий рост, будущее багхантинга видится безоблачным. 24 августа на OFFZONE была пресс-конференция [BI.ZONE Bug Bounty: итоги года], где со стороны компании-клиента выступил вице‑президент, директор департамента информационной безопасности «Тинькофф» Дмитрий Гадарь, а со стороны разработчика платформы — директор по стратегии BI.ZONE Евгений Волошин и руководитель продукта BI.ZONE Bug Bounty Андрей Левкин. Эксперты ожидают рост рынка багбаунти до 5 раз в ближайшем году по количеству компаний. Мне этот прогноз кажется достаточно оптимистичным, но тенденции таковы, что рост в течение года в любом случае будет как минимум в 2–3 раза. Это скажется и на количестве публичных программ на платформе BI.ZONE Bug Bounty.

Свой доклад я готовил вплоть до последнего момента, сначала сформировал скелет, а потом дополнял его в течение нескольких дней. Всегда отношусь серьезно к подготовке. На мой взгляд, у нас на конференциях по ИБ есть небольшой, скажем так, косяк, когда организаторы ничего не проверяют серьезно, поэтому спикеры пишут доклады в последний момент. Для сравнения можно привести конференции для разработчиков, где материал должен быть готов за два месяца. Спикерам выделяют ораторов, зовут их на сцену и просят прогнать выступление перед экспертами. Всё это помогает сделать финальный выход более четким, аккуратным. 

Для квиза частично я использовал готовые задания с кусками кода, которые давал на конференции для разработчиков HighLoad++ (там участники, на самом деле, справились лучше), частично придумал новые вопросы, связанные с тематикой доклада, добавил задания с логическими багами, прокомментировал Рамазан.

Николай Хечумов, Staff Security Engineer, «Aвито»

Спикер выступил с докладом «Поиск и управление находками в «Авито»: расширяемый shift‑left, который нельзя построить с DefectDojo». Николай поделился результатами, которых удалось достичь за несколько лет построения гибкой системы оркестрации поиска уязвимостей и управления находками.

Николай Хечумов, Staff Security Engineer, «Aвито»
Николай Хечумов, Staff Security Engineer, «Aвито»

«После окончания института я год поработал фулстек-разработчиком, узнал, как всё это устроено в enterprise, затем перешел в безопасность. Последние семь лет непрерывно занимаюсь AppSec, и здесь мне часто пригождается опыт в разработке. У нас возникают проблемы в части безопасности приложений, для которых нет готовых решений, поэтому приходится разрабатывать для ИБ.

Я стараюсь чаще выступать на конференциях, также мы проводим в «Авито» внутренние митапы по безопасности. Но на OFFZONE, честно говоря, мне нравится больше всего. Я выступал здесь в 2022 году и вот вернулся вновь. На мой взгляд, в этом году, по сравнению с прошлой конференцией, больше сочных докладов, публика AppSec.Zone подросла, да и популярность OFFZONE тоже. Еще кажется, что аудитория стала более серьезной, ее уже не так-то просто раскрутить на шутку [смеется].

В своем докладе я поделился принципом отслеживания находок сканеров и управления ими на всем этапе жизненного цикла разработки. Это как раз та история, которой сейчас нет, наверное, ни в одном продукте. У компаний есть отдельные инструменты, которые сканируют, верифицируют срабатывания и т. д., но нет системы, которая склеивала бы все эти процессы и могла бы рассказывать об историчности каждой находки. Такая штука позволяет разгружать AppSec-команду от текучки и собирать метрики, которые дают понимание, в какую сторону движется безопасность, где нужны доработки. Собственно, для этого мы и разработали свою систему, она в первую очередь расширяет знания о процессах и повышает эффективность целеполагания в рамках обеспечения защищенности.

Наша базовая идея состоит в том, чтобы выложить систему в Open Source. Мы сравнили ее с DefectDojo и пришли к выводу, что сделана она хорошо и даже лучше. Правда, пока наша разработка «авитоспецифична», для начала ее нужно отвязать от нас, добавить интеграций, сделать более общей — еще думаем над этим и над тем, как ее «открыть». Вероятно, открывать будем по частям.

Судя по тому, что я видел за последний год в мире, зарубежные компании двигаются как раз в эту сторону — на рынке появляются полноценные системы управления находками. Российские организации, вероятно, тоже идут в этом направлении, потому что проблема однозначно есть, она уже давно назрела, и AppSec-спецы страдают. Думаю, в ближайшем будущем таких продуктов на рынке будет становиться всё больше, и, наверное, в течение пяти лет проблема решится.

Мой доклад зрел довольно долго. На прошлом OFFZONE я показывал целый слайд на эту тему и сказал, что про нее лучше рассказать в отдельном докладе. То есть я еще в том году примерно знал, с чем приду сегодня [25 августа]. До настоящего момента всё это выкристаллизовалось в цельную конструкцию, которая показала наш принцип организации процессов, позволяющий масштабироваться практически без ограничений. После выступления я понял, что тема попала в самую жилу, вызвала большой интерес у публики. Мне задали много хороших вопросов, хотя в прошлом году их тоже было немало», — поделился Николай.

Также в секции AppSec.Zone выступили спикеры Swordfish Security. В частности, Юрий Шабалин представил доклад «5 лайфхаков для Mobile DevSecOps». Эксперт поговорил о том, как устроена разработка мобильных приложений, какие нюансы и особенности нужно учитывать при внедрении и использовании инструментов безопасности, чтобы повысить эффективность сканирований.

Юрий Шабалин, ведущий архитектор ГК Swordfish Security и генеральный директор «Стингрей Технолоджиз»
Юрий Шабалин, ведущий архитектор ГК Swordfish Security и генеральный директор «Стингрей Технолоджиз»

«Все привыкли к стандартным веб-приложениям и всему, что с ними связано: frontend, backend, middleware, CI/CD и т. д. Но когда дело доходит до мобильных приложений, возникают различные нюансы. Об этих особенностях либо не знают, либо не представляют, как их использовать во благо. Кроме этого, к мобильным приложениям можно по-разному применять ИБ-практики из-за особенностей архитектуры таких продуктов.

Так как мы с ребятами из «Стингрей Технолоджиз» разрабатываем систему динамического анализа безопасности мобильных приложений, нам приходится плотно взаимодействовать с разработчиками мобилок и глубоко погружаться в их процессы. Довольно часто специалисты из отдела ИБ задают нам вопросы про особенности мобильных продуктов. Поэтому я решил подготовить обзорный доклад про самые популярные моменты, чтобы больше людей были в курсе того, как всё это функционирует, чтобы они не боялись мобилок, а, наоборот, использовали их фишки для повышения удобства работы.

В этом году я выступил на OFFZONE в третий раз. Это моя любимая конференция из российских мероприятий. И организаторы стараются, и доклады высокого уровня, и, главное, атмосфера крутая. Большой плюс в том, что на конфе очень мало продающих материалов и бизнес-части. А на AppSec.Zone можно встретить разных людей из enterprise-компаний и небольших стартапов. Также сюда приходят исследователи, багхантеры. Это здорово: ты можешь со всех сторон посмотреть, как в разных компаниях устроены процессы security, и перенять опыт коллег. Но главное всё-таки — комьюнити, которое здесь образовалось.

К слову о комьюнити: мы с командой уже во второй раз представили на конференции стенд канала по мобильной безопасности Mobile AppSec World. Круто, что организаторы OFFZONE дают возможность различным сообществам проявить себя — это вызывает уважение», — прокомментировал Юрий.

Активности по безопасности приложений

В этом году на OFFZONE снова было много активностей на любой вкус. Часть из них перекликались с тематикой AppSec.Zone. Расскажем кратко о самых интересных и запоминающихся.

В зоне инсталляции CUB_3 можно было не только познакомиться с главным артефактом OFFZONE 2023, но и порешать таски. За самое хардкорное хак-задание давали 2000 offcoin. Кстати, организаторы скрупулезно подошли к воплощению идеи с кубом. Они даже подготовили отчет по итогам «лабораторных наблюдений» за этой загадкой. В нем рассказывается, как куб попал на OFFZONE и какие у него есть способности.

CUB_3
CUB_3

Также участники попробовали свои силы в знаменитой (на OFFZONE) активности HACK IN 15 MIN. Гости получали задачу на взлом системы и всего 10 минут на решение. Тем, кто не успевал, давали еще 5 минут, но за каждые дополнительные 60 секунд выписывался штраф — горячительный шот.

HACK IN 15 MIN
HACK IN 15 MIN

На стенде «Совкомбанк Технологии» были проведены CTF-соревнования в формате Jeopardy с разными категориями заданий. Наши ребята на стенде Swordfish Security также организовали классический Jeopardy Web CTF для разработчиков и начинающих спецов по безопасности.

Еще у гостей была возможность взломать стенд Positive Technologies и разместить на нем свой никнейм, а также сыграть в «Миссию Мидори White Hat» от «Лаборатории Касперского» и проанализировать устойчивость инфраструктуры умного города. На стенде Start X участники проверяли свои навыки безопасной разработки в рамках теста из 20 кейсов о том, как ошибки разработчиков приводили к взлому известных приложений. А на площадке компании «Инфосистемы Джет» гости могли проэксплуатировать уязвимости галактической инфраструктуры и захватить сеть.

Вместо вывода

В этом году еще ярче прослеживается стремление организаторов подогнать AppSec.Zone под тренды индустрии и превратить ее в хаб для обмена практической информацией, которая поможет противостоять современным угрозам. В программе секции было много докладов, посвященных точечным вопросам, кейсам, дающим конкретные алгоритмы для решения назревших проблем. Это говорит о том, что индустрия оставила шоковое состояние позади и теперь активно борется за то, чтобы встать на собственные прочные рельсы.

В целом, на наш взгляд, секция удалась.

Увидимся на OFFZONE 2024!

Теги:
Хабы:
Всего голосов 4: ↑4 и ↓0+4
Комментарии0

Публикации

Информация

Сайт
swordfish-security.ru
Дата регистрации
Дата основания
Численность
101–200 человек
Местоположение
Россия
Представитель
Andrey Krasovskiy