Расписание

  • Время в программе указано для вашего часового пояса .

  • Analytics

    7
    • Тип доклада: Доклад

      Ошибки в коде: ожидания и реальность

      Программисты ожидают, что будут делать одни ошибки, а на практике делают другие. Это интересная тема, особенно в разрезе разработки статических анализаторов кода.

    • Тип доклада: Доклад

      Безопасность supply chain: противостоим опасным зависимостям

      Безопасность в цепочках поставок (supply chain) — это важная проблема, где самое слабое звено — open source-зависимости. Для эффективного противостояния подобным уязвимостям необходимо разбираться в современных методах и тактиках злоумышленников, а также быть в курсе актуальных стандартов безопасности в этой области.

    • Тип доклада: Доклад от партнера

      Могут ли программисты делать безопасность, и является ли DevSecOps панацеей?

      Многие типовые решения в области информационной безопасности неэффективны по ряду причин.

      Киберзащита после проектирования обречена на частичную полезность, т.к. не в состоянии выделить и защитить самое важное для заказчика.

      Мы топим за безопасность с самого начала — от расстановки приоритетов для защиты до архитектуры, заточенной на защиту самого дорогого.

    • Тип доклада: Доклад

      Развитие практик стандартизации Secure SDL: от международных лучших практик к «импортозамещенным» требованиям

      Рассмотрим эволюцию требований к безопасности приложений и разработки, размножение стандартов на примерах OWASP, PCI SSC и инициативах коммерческих компаний, проблематику использования стандартов, или какую проблему не снимают документы. Также обсудим, куда движется отечественная практика, и как это может накладываться на универсальную модель.

    • Тип доклада: Доклад

      JavaScript как конструктор безопасного языка

      На примерах существующих выступлений на конференции HolyJS посмотрим, можно ли сегодня писать код на языке JavaScript так, чтобы считать его безопасным.

    • Тип доклада: Доклад

      Страх и ненависть в мобильных приложениях: какие уязвимости актуальны до сих пор и как их найти?

      Почему безопасность мобилок, если не на первом месте, то должна быть вровень с серверной частью системы?

      Как открыть YouTube в банковском приложении? Как украсть внутренние файлы из приложения без взаимодействия с пользователем? Как обойти биометрическую аутентификацию? Почему компоненты с secure в имени самые уязвимые?

      Обо всем этом и о способах защиты поговорим во время доклада. Будет интересно и увлекательно!

    • Тип доклада: Доклад

      Архивы уязвимостей и как их готовить

      Сделаю обзор существующих форматов, схем и баз для агрегации уязвимостей. Расскажу про свой опыт участия в создании очередного формата для представления и хранения уязвимостей COSV и создания подобного архива, который стал официальным стандартом у China Computing Federation (CCF).

  • Инструменты

    6
    • Тип доклада: Доклад

      Fast recon — быстрая разведка при пентесте веб-приложения

      В ходе доклада рассмотрим, как быстро собрать информацию об исследуемом приложении для получения векторов эксплуатации уязвимостей с помощью популярных (и не очень) инструментов.

    • Тип доклада: Доклад

      Прорубаем окно в DevSecOps, внедряя ASPM

      Расскажу о наиболее важных функциях ASPM. Рассмотрю, почему проблема актуальна с двух сторон: пользователя платформы — аппсека и разработчика платформы.

    • Тип доклада: Доклад

      Как защитить ядро. Поговорим о безопасном коде на kernel space

      Поговорим о том, почему динамический и статический анализ в ядре сложнее, чем в user space, а фаззинг становится проблемой уровня мироздания. Обсудим, как в «ядреной» безопасности нам помогают разработчики процессоров.

    • Тип доклада: Доклад от партнера

      WAF — необходимое звено в защите веб-приложений или навязанная коробка? Взгляд интегратора

      Расскажу, какие функции защиты обычно возлагают на web application firewall; можно ли реализовать защиту другими средствами; какие типовые схемы защиты мобильных и веб-приложений встречались в ходе работ в различных организациях.

    • Тип доклада: Доклад

      Как аппсеки в Авито API собирали

      Доклад о том, какой ценой нам удалось собрать воедино маршрутизацию nginx, Envoy, API gateways и микросервисов, получив на выходе инструмент для управления ассетами API. Обсудим, какую пользу он смог принести.

  • Практика

    6
    • Тип доклада: Доклад

      Секреты в безопасности: предотвращение утечек и компрометаций в большой компании

      Хранение паролей в открытом виде может привести к компрометации инфраструктуры компании. В подавляющем большинстве секреты утекают из-за человеческого фактора. Большинство людей знают, что секреты нельзя хранить в открытом виде, но пренебрегают правилами безопасности или оставляют их в открытом виде по невнимательности. Мы разработали ряд систем и методов для борьбы с человеческим фактором на уровне большой компании и добились успеха. Расскажу, как мы это сделали.

    • Тип доклада: Доклад

      Уязвимости бизнес-логики, которые могут стоить вам миллионы

      На реальных примерах разберем различные ошибки бизнес-логики и как их можно было избежать.

    • Тип доклада: Доклад

      Как защитить ядро. Поговорим о безопасном коде на kernel space

      Поговорим о том, почему динамический и статический анализ в ядре сложнее, чем в user space, а фаззинг становится проблемой уровня мироздания. Обсудим, как в «ядреной» безопасности нам помогают разработчики процессоров.

    • Тип доклада: Доклад

      Ответственное использование авторизационных токенов

      Несмотря на популярность аутентификации и авторизации пользователей с помощью аутентификационных токенов, этот подход остается компромиссным решением, содержащим множество нюансов и правил использования в своих системах.

  • DevSecOps

    5
    • Тип доклада: Доклад от партнера

      Профилирование и защита современных приложений

      Современное ПО представляет собой взаимодействие множества компонентов, разделенных на микросервисы. Вместе эти компоненты создают поверхность для атак, потенциал для нецелевого использования ПО. Для защиты от атак необходимо сформировать понимание, что входит в состав ПО и что есть целевое использование такого ПО.

      На помощь для решения задачи приходит инструментарий профилирования, подписи и применения созданных профилей для защиты ПО от подмены и иных воздействий.

    • Тип доклада: Доклад

      Прорубаем окно в DevSecOps, внедряя ASPM

      Расскажу о наиболее важных функциях ASPM. Рассмотрю, почему проблема актуальна с двух сторон: пользователя платформы — аппсека и разработчика платформы.

    • Тип доклада: Доклад

      Безопасность контейнерных сред. Как мы встали на путь разработки собственного решения и что из этого получилось

      Расскажем, как, используя open source-инструменты и облачные технологии, можно написать собственный инструмент для анализа контейнерной инфраструктуры. Поделимся опытом архитектуры и реализации сервиса.

    • Тип доклада: Доклад

      Нестандартное применение Kyverno

      Рассмотрим ключевую роль PolicyEngine в обеспечении безопасности Kubernetes-кластеров. Покажу, что потенциал Kyverno простирается далеко за базовые сценарии использования, открывая практически безграничные возможности, зависящие от креативности и фантазии пользователя.

    • Тип доклада: Доклад от партнера

      Как построить DevSecOps по ГОСТу

      Обсудим, как построить CI/CD-конвейер с нуля, почему Sec сегодня — неотъемлемая часть DevOps и какие инструменты помогут быстро перейти к DevSecOps. Разберемся, какие из решений сегодня доступны на российском рынке и попробуем понять, нужен ли вам DevSecOps по ГОСТу Р. А еще обсудим AI в DevSecOps и сравним актуальные решения для анализа кода (SAST) и проверки уязвимостей в подключаемых библиотеках (SCA).

  • ML

    4
    • Тип доклада: Доклад

      Разглядываем MITRE ATLAS

      Рассмотрим MITRE ATLAS на кейсах безопасности ML-систем.

    • Тип доклада: Доклад от партнера

      Безопасность ML-моделей при анализе сетевого трафика

      Актуальность защиты моделей ML при анализе трафика. Поверхности атаки. Среды исполнения моделей и их уязвимость. Способы защиты. Выбор компонентов для реализации моделей ML.

    • Тип доклада: Доклад

      Большой куш: баги в MLOps и моделях машинного обучения, которые приводят к тем самым последствиям

      Изучаем уязвимости в процессе MLOps: от рисков в данных и коде до проблем в продакшене, а также обсуждаем методы защиты для обеспечения безопасности AI-систем. Анализируем, как можно использовать white box- и black box-подходы для обнаружения и эксплуатации уязвимостей, и рассматриваем стратегии пост-эксплуатации и защиты данных.

  • Люди и карьера

    1
    • Тип доклада: Доклад

      Как вовлечь разработчиков в фикс уязвимостей. Рецепт от СберМаркета

      Разберем, как в СберМаркете внедрили практики безопасной разработки и заинтересовали разработчиков участвовать в этих практиках. Обратим внимание, как метрики помогают мотивировать не только AppSec-команду, но и самих разработчиков и тимлидов.

  • Без темы

    5