Скачать расписание
  1. 13 марта

    1. Начало в 12:00

    2. Начало в 12:15

      • Смотреть запись
        Доклад

        Ошибки в коде: ожидания и реальность

        Программисты ожидают, что будут делать одни ошибки, а на практике делают другие. Это интересная тема, особенно в разрезе разработки статических анализаторов кода.

      • Смотреть запись
        Доклад

        Секреты в безопасности: предотвращение утечек и компрометаций в большой компании

        Хранение паролей в открытом виде может привести к компрометации инфраструктуры компании. В подавляющем большинстве секреты утекают из-за человеческого фактора. Большинство людей знают, что секреты нельзя хранить в открытом виде, но пренебрегают правилами безопасности или оставляют их в открытом виде по невнимательности. Мы разработали ряд систем и методов для борьбы с человеческим фактором на уровне большой компании и добились успеха. Расскажу, как мы это сделали.

    3. Начало в 12:45

    4. Начало в 13:00

      • Смотреть запись
        Доклад от партнера

        Профилирование и защита современных приложений

        Современное ПО представляет собой взаимодействие множества компонентов, разделенных на микросервисы. Вместе эти компоненты создают поверхность для атак, потенциал для нецелевого использования ПО. Для защиты от атак необходимо сформировать понимание, что входит в состав ПО и что есть целевое использование такого ПО.

        На помощь для решения задачи приходит инструментарий профилирования, подписи и применения созданных профилей для защиты ПО от подмены и иных воздействий.

    5. Начало в 13:30

    6. Начало в 14:00

    7. Начало в 14:15

      • Смотреть запись
        Доклад от партнера

        Могут ли программисты делать безопасность, и является ли DevSecOps панацеей?

        Многие типовые решения в области информационной безопасности неэффективны по ряду причин.

        Киберзащита после проектирования обречена на частичную полезность, т.к. не в состоянии выделить и защитить самое важное для заказчика.

        Мы топим за безопасность с самого начала — от расстановки приоритетов для защиты до архитектуры, заточенной на защиту самого дорогого.

    8. Начало в 14:45

    9. Начало в 15:15

      • Смотреть запись
        Обсуждение

        Как разработке отбиться от очередного ИБ-отчета

        Когда разработка занимается реализацией важных фичей в вашем проекте, хочется, чтобы было минимум незапланированных изменений. А если уж какие-то дополнительные задачи прилетают, хочется, чтобы они были актуальными и понятными.

        Мы пригласили экспертов из области AppSec, чтобы они дали разработке пару советов о том, как оптимальнее отрабатывать различные запросы от ИБ. Как предоставлять информацию так, чтобы сэкономить время, и какими аргументами можно пользоваться для эффективных обсуждений с ИБ.

    10. Начало в 15:30

    11. Начало в 16:00

  2. 14 марта

    1. Начало в 07:45

    2. Начало в 08:00

    3. Начало в 08:20

      • Смотреть запись
        Доклад

        Практические рекомендации по автоматизированному анализу защищенности мобильных приложений

        Как автоматизировать анализ защищенности мобильных приложений, соблюсти все требования регуляторов, защитить свои приложения и быть спокойным за пользователей своих приложений.

        Платформа Стингрей позволяет в полностью автоматическом режиме выявлять самые сложные уязвимости в мобильных приложениях и существенно облегчать работу и команде безопасности, и разработке.

         

    4. Начало в 08:30

    5. Начало в 08:40

    6. Начало в 08:45

    7. Начало в 09:00

    8. Начало в 09:15

      • Смотреть запись
        Доклад

        Нестандартное применение Kyverno

        Рассмотрим ключевую роль PolicyEngine в обеспечении безопасности Kubernetes-кластеров. Покажу, что потенциал Kyverno простирается далеко за базовые сценарии использования, открывая практически безграничные возможности, зависящие от креативности и фантазии пользователя.

      • Смотреть запись
        Доклад

        Большой куш: баги в MLOps и моделях машинного обучения, которые приводят к тем самым последствиям

        Изучаем уязвимости в процессе MLOps: от рисков в данных и коде до проблем в продакшене, а также обсуждаем методы защиты для обеспечения безопасности AI-систем. Анализируем, как можно использовать white box- и black box-подходы для обнаружения и эксплуатации уязвимостей, и рассматриваем стратегии пост-эксплуатации и защиты данных.

      • Смотреть запись
        Доклад

        Ответственное использование авторизационных токенов

        Несмотря на популярность аутентификации и авторизации пользователей с помощью аутентификационных токенов, этот подход остается компромиссным решением, содержащим множество нюансов и правил использования в своих системах.

    9. Начало в 09:20

    10. Начало в 09:40

      • Смотреть запись
        Доклад

        Тестируем и сравниваем WAF за 15 минут

        Ролик о том, для чего стоит тестировать WAF, какие типичные ошибки встречаются при тестировании, откуда брать данные для составления тестов, как проверить WAF на качество парсинга и декодирования запросов. Специализированные утилиты для тестирования WAF и многое другое.

    11. Начало в 09:50

      • Смотреть запись
        Обсуждение

        СекЧемпы: показатель зрелости или бедности

        Большинство организаций приходит к необходимости внедрения лучших практик по безопасности в командах разработки независимо от того, что послужило причиной — изучение лучших практик, опыт коллег или дефицит ресурсов ИБ. Это, как и большинство инициатив лучших практик, продвигается как аксиома, но действительно ли есть эффект и польза от СекЧемпов (security-чемпионов)? Или это все инфоцыганство?

    12. Начало в 10:00

      • Смотреть запись
        Доклад от партнера

        Как построить DevSecOps по ГОСТу

        Обсудим, как построить CI/CD-конвейер с нуля, почему Sec сегодня — неотъемлемая часть DevOps и какие инструменты помогут быстро перейти к DevSecOps. Разберемся, какие из решений сегодня доступны на российском рынке и попробуем понять, нужен ли вам DevSecOps по ГОСТу Р. А еще обсудим AI в DevSecOps и сравним актуальные решения для анализа кода (SAST) и проверки уязвимостей в подключаемых библиотеках (SCA).

      • Смотреть запись
        Доклад

        Проверка open source: защита цепочки поставок и эффективный композиционный анализ

        На примере работы с платформой CodeScoring рассмотрим вопросы построения SBOM (software bill of materials), эффективной работы с графом зависимостей и уязвимостей. Рассмотрим варианты настройки политик для сокращения трудоемкости анализа open source-компонентов.

    13. Начало в 10:20

    14. Начало в 10:30

    15. Начало в 10:40

      • Смотреть запись
        Доклад

        Защита контейнерных сред

        Основные риски контейнерных сред. Возможности продукта Kaspersky Container Security при работе с выделенными рисками и встраивании на всех этапах жизненного цикла разработки. Ключевая функциональность: интеграция в CI, интеграция с container registry, runtime (admission controller + eBPF control). Сравнение с open source и проблемы использования такого подхода.

    16. Начало в 11:00

      • Смотреть запись
        Доклад

        Статический анализатор Svace: основные возможности

        Работа статического анализатора Svace и дополняющего инструмента для работы с результатами анализа Svacer. Типовой процесс анализа и разбор нескольких найденных ошибок, по которым можно судить об основных особенностях анализатора: межпроцедурный анализ с учетом отдельных путей выполнения. Описание свойств анализатора, предназначенных для его регулярного использования в CI/CD-системах (удаленный анализ, анализ с кэшем, более тонкая конфигурация). Работа с инструментом Svacer (роли, фильтры, отчеты, сравнение результатов анализа и прочее).

    17. Начало в 11:15