Что такое «правильный» ASOC?
Application Security Orchestration and Correlation (ASOC) – не самая тривиальная тема в реалиях отечественного подхода к обеспечению ИБ, но от этого не менее важная, и, что главное – не менее интересная. Поэтому, мне, кажется, мое мнение, как практикующего devsecops-инженера будет не лишним для...
Форензика Windows
При расследовании инцидентов одним из важнейших действий является грамотный сбор доказательств, ведь иначе мы рискуем упустить из виду что‑то важное, что впоследствии поможет нам разобраться в произошедшем. Не секрет, что компрометация большинства корпоративных сетей начинается с атак на...
Как измерить пользу AppSec для бизнеса: ключевые показатели
Как объяснить руководству, что AppSec — это не просто устранение уязвимостей, а важный инструмент для роста бизнеса? Как показать реальную пользу безопасности на языке цифр? Меня зовут Анастасия Арсеньева, я аналитик данных в AppSec Solutions (ГК Swordfish Security). В этой статье расскажу о...
Угрозы безопасности в DevOps: как интегрировать ИБ в процесс разработки?
По мере того, как компании переходят на практику DevOps для ускорения разработки и развертывания программного обеспечения, они неизбежно сталкиваются с множеством угроз информационной безопасности. Слияние процессов разработки (Dev) и эксплуатации (Ops) направлено на улучшение взаимодействия,...
Developer-центричный подход в обеспечении безопасности приложений
Привет, Хабр! Меня зовут Нияз Кашапов, я AppSec Lead в Купере. Недавно я рассказывал на ecom.tech Information Security meetup, как выстраивается процесс написания безопасного кода и разбора срабатываний статических анализаторов. Эта статья — изложение моего выступления с дополнительными...
Смешивать, но не взбалтывать. Как мы добавили Sec между Dev и Ops
Привет, Хабр! Меня зовут Натали Дуботолкова, я старший инженер по разработке безопасного программного обеспечения в Basis. Хочу рассказать о том, как мы задумались над интеграцией работы безопасников непосредственно в процесс разработки и к чему это привело, а также о том, какие методы и...
Новые инструменты в руках разработчика и эксперта: операция «Импортозамещение»
Привет, друзья! На прошлой неделе мы взяли обратный отсчет и в ожидании боя Курантов начали знакомить вас с трендами кибербеза и ИТ и делиться прогнозами на будущее. В прошлый раз поговорили про рынок российской кибербезопасности и с какими объективными трудностями он столкнулся. Это при том, что...
Атаки на GitHub-разработчика в 2024 году
Тренд «Platform Engineering», предложенный аналитическими агентствами, стал интересен не только компаниям, которые трансформируют свои процессы, команды и инструменты согласно новым подходам. Этот тренд также интересует и злоумышленников, которые используют возможности платформ разработки для...
Новая методология AppSec Table Top: как эффективно и безболезненно выстроить процессы безопасной разработки
Всем привет! Меня зовут Евгений Иляхин, я работаю архитектором процессов безопасной разработки в Positive Technologies, вместе с командой консалтинга в области безопасной разработки мы специализируемся на внедрении AppSec в различных компаниях и всячески продвигаем этот подход в массы. В отрасли ИБ...
Коммитить нельзя сканировать: как мы боремся с секретами в коде
Привет Хабр! Меня зовут Александр Карпов, я работаю в команде защиты приложений ИБ VK. Сегодня я хочу рассказать про наш процесс поиска секретов в каждом коммите в GitLab. У нас, как и у большинства компаний, был классический процесс борьбы с секретами – различные инструменты сканировали кодовую...
IaC и DevSecOps: выбираем лучшие инструменты анализа и защиты инфраструктурного кода
Привет, читатели Habr! С вами Анастасия Березовская, инженер по безопасности процессов разработки приложений в Swordfish Security. Сегодня мы вновь будем говорить об особенностях статического сканирования, но на этот раз переключим фокус с программного кода на код инфраструктурный. Частично этот...
Безопасная разработка на Python
Язык программирования Python получил широкую популярность среди разработчиков благодаря богатому функционалу и гибкости. Однако, как и у любого другого языка в Python имеются свои недостатки, связанные в том числе с безопасной разработкой. Python является интерпретируемым языком, он не работает...
Безопасная разработка: как обеспечить безопасность разрабатываемых продуктов
Руководитель направления безопасной разработки и инфраструктуры делится мнением об обеспечении безопасности разрабатываемых продуктов. За последние годы мы очень наглядно и на практике видим, что безопасность продуктов стала одним из важнейших критериев, который потребители ожидают от качественного...
Регуляторика РБПО. Часть 3 – Требования к КИИ (и немного ASPM)
Доброго дня, уважаемые! Идём по плану и сегодня делаем обзор требований регуляторов к практикам разработки безопасного ПО (РБПО) для отраслей, относящихся к критической информационной инфраструктуре. Такой регуляторики немного, пройдемся быстро. Читать далее...
Международные стандарты безопасной разработки: ликбез
DevSecOps — это не просто модное словечко, а целая философия, объединяющая разработку, безопасность и операции. Но как применить эту философию на практике? Здесь на помощь приходят международные стандарты. В этой статье мы рассмотрим пять основных международных DevSecOps-стандартов: DSOMM, BSIMM,...
Безопасность цепочек поставок ПО. Построение процессов с помощью OSS
Привет, Хабр! Рассказываем об одном из вариантов применения Open Source инструментов Software Supply Chain Security. Коллеги по цеху попросили выложить небольшой его обзор сюда:) Эта статья является краткой текстовой версией моего доклада с конференции PHD2. Если тема вас заинтересует, можете...
Регуляторика РБПО. Часть 2 – Требования в финансовой отрасли
Всем привет! С вами Альбина Аскерова, руководитель направления по взаимодействию с регуляторами в Swordfish Security. Мы продолжаем цикл статей, посвященный регуляторике разработки безопасного ПО (РБПО). Первая статья об общих требованиях доступна по ссылке (там же можно увидеть, что планируется в...
Keycloak. Мапинг учеток через mTLS c двойной проверкой в kubernetes
Продолжаем с делиться экспертизой отдела Security services infrastructure (департамент Security Services компании «Лаборатории Касперского»). В данном посте мы разберем, как легко настроить mTLS, обращаясь к ресурсам в k8s через ingress-контроллер, и подсоединить это все к keycloak. Пост будет...
Назад