Конференция, полностью посвященная инженерным процессам и практикам

6 причин заняться безопасной разработкой

TechLeadConf: Безопасность

Доклад принят в программу конференции

Мнение Программного комитета о докладе

Автор доклада рассказывает про несколько неочевидных способов взломать вашу систему, украсть персональные данные или пароли, которым может быть подвержено ваше приложение, и даст советы, как их избежать.

Целевая аудитория

Доклад будет полезен тем, кто обеспечивает или проверяет безопасность приложения: техлиды, разработчики, DevOps, AppSec.

Тезисы

Как обеспечить безопасность своего продукта? Как соответствовать требованиям заказчиков и внутренней ИБ-команды?

Кажется, что ответ простой: нужно несколько сканеров кода, два крепких AppSec-инженера и быстро настроенная инфраструктура. Но проходит время, продукт обновляется, и возникают простые Low-уязвимости, которые игнорируются при анализе результатов сканирования, а рекомендуемые сроки исправления растягиваются из-за горящего бэклога.

Мы хотим показать, к каким последствиям приводит недостаток экспертизы команды разработки в безопасности — неустановленная галочка, невнимательное ревью, неверные настройки кэша — и как их можно исправить:
* аккаунты пользователей вдруг массово подвергаются взлому;
* мошенники узнают данные доступа к удаленным рабочим столам, потому что в незакрытом таск-менеджере оказались фотографии листочков с паролями;
* машины разработчиков, тестовые среды и даже прод оказываются захвачены злоумышленниками, потому что в конфигурациях пакетного менеджера случайно попал неверный пакет;
* и ещё несколько интересных примеров.

* 5 лет в информационной безопасности, участвовал в различных CTF и проводил аудит защищенности приложений;
* разрабатывает методологию эффективного обучения разработчиков информационной безопасности в Start X;
* один из авторов практических тренажеров по безопасности в Start X;
* участник тематических конференций, в том числе в качестве спикера на семинаре «Безопасная разработка программного обеспечения: зачем нужен DevSecOps».

Start X

Start X (ex-Антифишинг) — разработчик программного обеспечения в сфере кибербезопасности. С 2016 года делает продукты, которые помогают снизить риски человеческого фактора. Их продукты помогают научить сотрудников распознавать и предотвращать цифровые атаки, а разработчиков — писать безопасный код и выпускать защищенные приложения, чтобы сохранять бюджет и имидж компании. Среди клиентов: VK, Райффайзенбанк, QIWI, банк «Санкт-Петербург», группа «М.Видео-Эльдорадо», «Русский свет».

Видео