Что такое «правильный» ASOC?

Application Security Orchestration and Correlation (ASOC) – не самая тривиальная тема в реалиях отечественного подхода к обеспечению ИБ, но от этого не менее важная, и, что главное – не менее интересная. Поэтому, мне, кажется, мое мнение, как практикующего devsecops-инженера будет не лишним для...

Все блоги / Про интернет

Форензика Windows

При расследовании инцидентов одним из важнейших действий является грамотный сбор доказательств, ведь иначе мы рискуем упустить из виду что‑то важное, что впоследствии поможет нам разобраться в произошедшем. Не секрет, что компрометация большинства корпоративных сетей начинается с атак на...

Все блоги / Про интернет

Как измерить пользу AppSec для бизнеса: ключевые показатели

Как объяснить руководству, что AppSec — это не просто устранение уязвимостей, а важный инструмент для роста бизнеса? Как показать реальную пользу безопасности на языке цифр? Меня зовут Анастасия Арсеньева, я аналитик данных в AppSec Solutions (ГК Swordfish Security). В этой статье расскажу о...

Все блоги / Про интернет

Угрозы безопасности в DevOps: как интегрировать ИБ в процесс разработки?

По мере того, как компании переходят на практику DevOps для ускорения разработки и развертывания программного обеспечения, они неизбежно сталкиваются с множеством угроз информационной безопасности. Слияние процессов разработки (Dev) и эксплуатации (Ops) направлено на улучшение взаимодействия,...

Все блоги / Про интернет

Developer-центричный подход в обеспечении безопасности приложений

Привет, Хабр! Меня зовут Нияз Кашапов, я AppSec Lead в Купере. Недавно я рассказывал на ecom.tech Information Security meetup, как выстраивается процесс написания безопасного кода и разбора срабатываний статических анализаторов. Эта статья — изложение моего выступления с дополнительными...

Все блоги / Про интернет

Смешивать, но не взбалтывать. Как мы добавили Sec между Dev и Ops

Привет, Хабр! Меня зовут Натали Дуботолкова, я старший инженер по разработке безопасного программного обеспечения в Basis. Хочу рассказать о том, как мы задумались над интеграцией работы безопасников непосредственно в процесс разработки и к чему это привело, а также о том, какие методы и...

Все блоги / Про интернет

Новые инструменты в руках разработчика и эксперта: операция «Импортозамещение»

Привет, друзья! На прошлой неделе мы взяли обратный отсчет и в ожидании боя Курантов начали знакомить вас с трендами кибербеза и ИТ и делиться прогнозами на будущее. В прошлый раз поговорили про рынок российской кибербезопасности и с какими объективными трудностями он столкнулся. Это при том, что...

Все блоги / Про интернет

Атаки на GitHub-разработчика в 2024 году

Тренд «Platform Engineering», предложенный аналитическими агентствами, стал интересен не только компаниям, которые трансформируют свои процессы, команды и инструменты согласно новым подходам. Этот тренд также интересует и злоумышленников, которые используют возможности платформ разработки для...

Все блоги / Про интернет

Новая методология AppSec Table Top: как эффективно и безболезненно выстроить процессы безопасной разработки

Всем привет! Меня зовут Евгений Иляхин, я работаю архитектором процессов безопасной разработки в Positive Technologies, вместе с командой консалтинга в области безопасной разработки мы специализируемся на внедрении AppSec в различных компаниях и всячески продвигаем этот подход в массы. В отрасли ИБ...

Все блоги / Про интернет

Коммитить нельзя сканировать: как мы боремся с секретами в коде

Привет Хабр! Меня зовут Александр Карпов, я работаю в команде защиты приложений ИБ VK. Сегодня я хочу рассказать про наш процесс поиска секретов в каждом коммите в GitLab. У нас, как и у большинства компаний, был классический процесс борьбы с секретами – различные инструменты сканировали кодовую...

Все блоги / Про интернет

IaC и DevSecOps: выбираем лучшие инструменты анализа и защиты инфраструктурного кода

Привет, читатели Habr! С вами Анастасия Березовская, инженер по безопасности процессов разработки приложений в Swordfish Security. Сегодня мы вновь будем говорить об особенностях статического сканирования, но на этот раз переключим фокус с программного кода на код инфраструктурный. Частично этот...

Все блоги / Про интернет

Безопасная разработка на Python

Язык программирования Python получил широкую популярность среди разработчиков благодаря богатому функционалу и гибкости. Однако, как и у любого другого языка в Python имеются свои недостатки, связанные в том числе с безопасной разработкой. Python является интерпретируемым языком, он не работает...

Все блоги / Про интернет

Безопасная разработка: как обеспечить безопасность разрабатываемых продуктов

Руководитель направления безопасной разработки и инфраструктуры делится мнением об обеспечении безопасности разрабатываемых продуктов. За последние годы мы очень наглядно и на практике видим, что безопасность продуктов стала одним из важнейших критериев, который потребители ожидают от качественного...

Все блоги / Про интернет

Регуляторика РБПО. Часть 3 – Требования к КИИ (и немного ASPM)

Доброго дня, уважаемые! Идём по плану и сегодня делаем обзор требований регуляторов к практикам разработки безопасного ПО (РБПО) для отраслей, относящихся к критической информационной инфраструктуре. Такой регуляторики немного, пройдемся быстро. Читать далее...

Все блоги / Про интернет

Международные стандарты безопасной разработки: ликбез

DevSecOps — это не просто модное словечко, а целая философия, объединяющая разработку, безопасность и операции. Но как применить эту философию на практике? Здесь на помощь приходят международные стандарты. В этой статье мы рассмотрим пять основных международных DevSecOps-стандартов: DSOMM, BSIMM,...

Все блоги / Про интернет

Безопасность цепочек поставок ПО. Построение процессов с помощью OSS

Привет, Хабр! Рассказываем об одном из вариантов применения Open Source инструментов Software Supply Chain Security. Коллеги по цеху попросили выложить небольшой его обзор сюда:) Эта статья является краткой текстовой версией моего доклада с конференции PHD2. Если тема вас заинтересует, можете...

Все блоги / Про интернет

Регуляторика РБПО. Часть 2 – Требования в финансовой отрасли

Всем привет! С вами Альбина Аскерова, руководитель направления по взаимодействию с регуляторами в Swordfish Security. Мы продолжаем цикл статей, посвященный регуляторике разработки безопасного ПО (РБПО). Первая статья об общих требованиях доступна по ссылке (там же можно увидеть, что планируется в...

Все блоги / Про интернет

Keycloak. Мапинг учеток через mTLS c двойной проверкой в kubernetes

Продолжаем с делиться экспертизой отдела Security services infrastructure (департамент Security Services компании «Лаборатории Касперского»). В данном посте мы разберем, как легко настроить mTLS, обращаясь к ресурсам в k8s через ingress-контроллер, и подсоединить это все к keycloak. Пост будет...

Все блоги / Про интернет

Назад