AppSec Journey

А я не забыла!
Сегодня #мемнаясреда из мемов, старых и забытых, но таких родных…

Обнаружила, что не показывала вам отчет по безопасности AI.

Кстати, на фоне все растущего интереса (иногда нездорового) к искуственному интеллекту, обращать внимание на его безопасность - это уже не выбор и опция, а блин обязанность любой компании. Пока большая часть исследований выглядит сумбурными, но куски полезной информации вытаскивать можно (прикольно про обучение юных хакерят с помощью ИИ и циферки:
• 60% компаний из Fortune 500 сталкивались с ИИ-атаками в 2023.
• 3 часа — среднее время, за которое ИИ-боты взламывают слабо защищенные API.
• $10 млрд — прогнозируемый ущерб от deepfake-мошенничества к 2025 (по данным отчета).

В общем, есть что полистать и что потом использовать в работе.

Любая среда - #мемнаясреда.

Кстати, фильм из мема про настолки - крайне годный, рекомендую!

Ладно, куда уже дальше-то откладывать!

Наверное, во всех каналах нашей компании вы уже видели информацию про открытие CFP. А еще, киберфестиваль снова пройдет в Лужниках (у вас второй шанс крикнуть "Привет, Лужники!"). Не могу не напомнить вам про прекрасную возможность быть услышанными! Неважно, кто вы и откуда, где и сколько работаете - если вы хотите рассказать про свое исследование, поделиться опытом и просто быть в этой атмосфере - приходите! Development треки киберфестиваля тут:) выбирайте!

Теперь я перейду к важной главе:) Все меняется и растет, так и на фестивале появился новый трек и новое направление - Devices&Technologies. Я, как счастливый обладатель трека, хочу позвать вас - и послушать, и рассказать. Сильно жду ваши доклады про приблуды, которые вы используете для облегчения своей жизни, про технологии, которые позволяют нам выходить на новый уровень, про то, что помогает нам каждый день и окружает дома. Так что классный самособранный вам IoT - welcome. Технологии для обнаружения экогенных катастроф - тоже хорошо. Пылесос, который следил за вами (да-да, это вы уже видели) - тоже оно! Умная колонка, которая говорит на загадочном фарси с кем-то, кроме вас - это тоже сюда. Чиназес, как говорится.

В общем, все самое технологичное, классное, удобное, крутое и возможно, даже не про безопасность - я вас жду:) мы вас ждем!

P.S. А еще, если вы хотите что-то особенное - например, воркшоп какой-то неочевидный желаете пройти - можно написать мне. В личку, в комменты)

Делаем мир лучше вместе?

P.S. В таком описании трек может получится 18+, так что вы уж там сами думайте, что хотите рассказать🤣

Кстати, вполне интересная схема про применение принципов нулевого доверия в рамках тестирования. Интересная она тем, что она практически базируется на принципах Secure by Design, что в целом забавно)) вообще, делать все как надо сразу - может и есть рецепт успеха?

И вот, снова #мемнаясреда. Долго доезжали мемы, актуальные еще в прошлом году - но ведь иногда нужно настояться и переосмыслить:)

И снова ода любви ByteByteGo. Вроде все так просто и понятно, но насколько же емко они делают схемы. Мое почтение!

Вот пример с кубером. Сколько там еще всего!

Нетрудно догадаться, что вошло в мои планы на новогодних каникулах!

Но как же приятно, что #мемнаясреда может адаптироваться под тренды и может не зависеть от них!

И еще новых трендов 2025!

Теперь уже с точки зрения того, на чем нужно фокусироваться.
Мне такие материалы нравятся. Во-первых, ищешь пересечения между ними и анализируешь причины появления той или иной точки зрения. А во-вторых, думаешь, чему будет посвящен еще один оборот Земли вокруг Солнца в плане твоей рабочей активности.

Приятно видеть, что тут ребята решили выделить в трендах безопасность кубера и resilience by design (прям подчеркну, не безопасность, а устойчивость).

Так что опять, читать и вникать - обязательно. Подумать, к чему вы сейчас больше предрасположены и сфокусироваться:)

Честно пыталась отдыхать на праздниках, теперь наверстываем.
Господа сделали краткий отчет по трендам в атаках на 2025 год и...

Смотрите, что удивительно и пугает своей новизной: первое и второе место отданы LLMJacking(они же писали про это в мае 2024) и использованию AI в реализации атаки (возьмем простые примеры с дипфейками и фишингом. Кажется, что это разумное развитие технологий - появился и укоренился AI, появились и атаки с ним и на него. Но готовы ли мы к ним технологически? Есть ли у нас возможность эти атаки отражать?

Еще одно занятное наблюдение связано со второй частью отчета - злоумышленники все чаще используют опенсорс для реализации атаки и готовы теперь играть в долгую. Помните, я часто говорила, что мы умнеем и растем, злоумышленники тоже умнеют и растут. Но с той ли скоростью растем мы? И опять же, готовы ли мы к новому уровню атак технологически?

В общем, интересное чтиво на быстро изучить и долго подумать. Хорошо для послепраздничной рефлексии:)

А вот и привет из 2025! Я тут совсем недавно столкнулась с мошенничеством на платформе перепродажи. Не, к самой платформе ресейла претензий никаких, а вот хитросделанных пассажиров встерить довелось.

И тут рраз, и попадается мне чеклист по self security (не знаю, можно ли так назвать). Залипла.
Логика, кстати, похожа на BSIMM и иже с ним - разные уровни зрелости, разные домены, в которых ты можешь поразмышлять и поработать.
В целом, как развлечение выглядит хорошечно! Да и не только:) Все таки, лишний раз проверить то, насколько ты защищен - никогда не лишний раз.

P.S. А так как мы с вами еще и часто отвечаем за безопасность компании - это хороший поинт для того, чтобы проверить ваших сотрудников🫰

Друзья!

Долго думала, как написать - коллеги, товарищи по коммьюнити или еще чего придумать и решила, что обратиться к вам, как к друзьям - правильно:)
Есть ощущение, что год был у всех непростой и местами аж сюрреалистичный. И у меня год был не из легких, что не умаляет его достоинств и "интересностей".

Хочется пожелать нам всем классного Нового Года, много оливье и улыбок родных. Карьерных успехов желаю и вам, и себе, но уже после каникул. Точно благодарю за это год свою команду - моих прекрасных ребят, с которыми можно и в огонь, и в воду, вы такие крутые:) мне повезло работать в вашей команде!

Хочется в следующем году сделать что-то крутое. Каждый год хочу, но вот сейчас особенно. Видим и чувствуем в себе силу развивать безопасность ML, прокачивать продукты, делать качественный и серьезный экспириенс. Пусть у нас все получится!💝

И конечно, хочу пожелать всем крепкого здоровья, амбиций и планов. Умейте отделять зерна от плевел, видеть важное и достигать целей:)

Обнимаю и ответственно ухожу на праздники😉

Не могу определиться, нравятся ли мне такие примеры про кибербезопасность (то ли дело учпочмак, который был примером фундамента моделирования угроз).

В целом, наглядно 😂

Ой, а что это? Последняя #мемнаясреда 2024! Давайте просто выдохнем, чтобы фляга не свистела, посмотрим веселые видео и доработаем эту шестидневку💅

Кажется, что я совершенно случайно не поделилась с вами одним прекрасным очтетом - State of Software Security от Veracode!
А там много чего полезного можно почерпнуть. Например, количество техдолга, генерируемого инструментами, да и не только:)

В общем, под финальные презы к 2024 и обоснование бюджетов в 2025 - забирааааем!

В череде активностей декабря я даже не хочу грузить вас материалами😀
А вот #мемнаясреда - право и обязанность! Это мы не пропускаем)

Я где-то на другом континенте, в другом времени суток, а #мемнаясреда опять вне пространства и времени!

Вообще, Xygeni все больше и больше начинает выпускать прям совсем уверенных материалов! Где-то хромает оформительная часть, но зато в них реально много применительной пользы!
Мне прям начали заходить их материалы) вот, например, карта по атакам - красивое...

А вот и весь материал:)

А помните, когда-то я сделала мемы с Гарри Поттером?

Эх, как же они тогда разлетелись по новогодним презентациям… может и в этом году #мемнаясреда повторит успех?

И снова картинки, полезные!

В целом, скорее всего вы уже все это знаете, но оформленный материал всегда хорошо. И помните: не знаешь, как нападать - не факт, что знаешь, как защищать!

Мне кажется, мы все еще один из крупнейших некоммерческих каналов по безопасной разработке. Вообще, если периодически листать ленту вверх - можно прям отслеживать появление и угасание каких-то идей и трендов.
Забавно, сколько всего хранит лента:)

Хочется подумать вместе с вами, а чего нам обьективно не хватает? Как будто запрос на раскрутые копайлоты, платформы, корреляторы и инструменты "облегчения" жизни уже есть, а вот например инструментов для анализа безопасной архитектуры как не было, так и нет - а может на них просто спроса нет? Но я могу ошибаться, поэтому, пара вопросов специально для вас😉

Сегодня #мемнаясреда с котиком. Даже если в конце года уже ничего не смешно, по крайней мере смотреть приятно🥹

Давно ищу хорошие материалы по secure by design и как будто в качестве базы - вполне неплохо.
Где-то есть вопросы, но глобально, даже 3E подход рассказывают.
Такое мы читаем?👨‍🦲

Неважно, в какой день смотреть, #мемнаясреда всегда вовремя💅

Недавно распиналась в рассказе о том, что без харденинга инфры безопасность кода имеет крайне опосредованную ценность👊

Решила найти пару примеров про харденинг. Тут же и поймем, что это за зверь такой?:)

Примеры, что надо захарденить в виде чеклиста - https://dev-sec.io
Оно же, на гитхабе - https://github.com/dev-sec
DevSecOps vs Continious Hardening - https://www.acrosec.jp/narrow-devsecops-vs-open-devsecops-which-camp-are-you-in/?lang=en (кстати, оч прикольно)
Ну и конечно, чеклисты по харденингу всего, что только пожелаете - https://devsecopsguides.com/docs/checklists/kubernetes/ (тут просто переключитесь на что-то помимо дженкинса😉)

Закрой глаза и представь, что ты один отвечаешь за безопасность приложения...🤤
Да, да, за все будут спрашивать тебя! Что будешь делать?

В нашей жизни случился очередной курс по безопасной разработке.. Эх, помню, как после каждого мы сидели и говорили, что хотим сделать офигенный именно true devsecops, чтобы вот без лишней воды, но при это с достаточной базой, не слишком "одиночный", но чтобы домашки много было...

Крутили-крутили и вот! появился наш еще один курс.

Наверное, правильно сказать - это первый продукт нашей команды именно в таком формате, поэтому мы сильно ждем, что вы пройдете и придете с фидбэком!

P.S. Сделать короткий курс у нас, конечно же, не вышло, поэтому будет 6 недель интенсивной учебы, много домашек и коммуникация с лекторами😉

Тык, чтобы записаться!

#мемнаясреда для тех, у кого нет блока на релизы в конце года

Помните, я вам тут показывала TOP100 уязвимостей? А совсем недавно тут были материалы по IDOR, XSS и тд?

Обнаружено, ради чего все это.

По-моему, прекрасный гайд, который хорошо ложится в разработку (именно в классическую, без особенного вовлечения в это безобразие аппсеков) - сделан на базе OWASP'а, есть описания и примеры.

Ну, вишенка на тортике?🍒

Отдых - это же не безделье? Или все-таки безделье?…

#мемнаясреда на охране ментального спокойствия🦸‍♂️

Нашла тут CloudSec роадмап и подумала, что от базового скиллсета хорошего DevSecOps'а не сильно отличается.

А вы что думаете?...

И вот еще - красивое:)

Это база.

Хехе, вот и пришла #мемнаясреда. Помните, что иногда достаточно лишь маленькой помощи, чтобы сделать великое! Берите рычаг, не ждите камень🫶

Я люблю посты, которые точно соберут много репостов, просто потому что они офигеть насколько полезные!

Просто нереальные труды (не только по объему) - как понять уязвимость, как ее найти и как ее больше не допускать.

Оно! Лайк🥰🔥

Кстати, DevSecOps - если посмотреть на скиллсет - в некотором роде супермен!

#мемнаясреда как напоминание, что если вы справились с пайплайном - скорее всего вам и вселенское зло по плечу🦸‍♂️

Красота!

Это вовсе не связано с моей нездоровой любовью к майндкартам, да:)

Но на самом деле формат удобный, шопипец. В теории, если собрать такую карту по всем уязвимостям в вашим приложениях и еще и добавить критичности, то вы получите суперпонятный роадмап того, что надо исправлять.

С чего-то же надо начать?☺️

😍 Đây là cơ hội của bạn để Đến Việt nam với Chúng tôi và tham gia Vào Standoff Hacks

Если ты не понял ничего, кроме Standoff Hacks, объясняем: следующий priv8-ивент для хакеров пройдет во Вьетнаме 30 ноября, и ты можешь полететь туда вместе с нами.

Как? Найди и сдай до 29 октября как можно больше багов по этим публичным программам:

• Positive Technologies (все программы)
• Standoff 365
• VK (все программы)
• Т-Банк
• Азбука вкуса
• Ozon
• Okko
• Wildberries
• Rambler&Co
• ATI.SU

2️⃣ Двоих багхантеров, которые с момента публикации поста наберут суммарно больше всего очков по этим программам, берем с собой в Ханой (за наш счет!). Трое топовых исследователей по очкам и выплатам уже в списке приглашенных, не хватает только тебя.

Будем подводить промежуточные итоги, чтобы ты видел результаты и оценивал шансы — свои и конкурентов.

Ну что? 3, 2, 1… го багхантить!

Интересное, друзья!

Волей случая, я буду во Вьетнаме в конце ноября. Да и не в отпуске, а аж на Standoff! Буду рада вас видеть, это первое.
Буду рада вас видеть в числе лучше багхантеров - это второе!

Пост ниже. Делайте задачки и погнали🔥

Как AppSec-команде договориться с разработчиками? 🤝

Об этом расскажем уже 22 октября (во вторник) на бесплатном митапе, организованным командой конференции SafeCode и Positive Technologies. Одним из ведущих мероприятия будет Андрей Кулешов, руководитель разработки платформы данных в Positive Technologies.

Вы узнаете о нетривиальных уязвимостях последних пяти лет, популярных атаках, о том, от чего и как защищаться, а также как AppSec-команде можно договориться с разработчиками.

Это митап для тех, кто разрабатывает безопасно. Для тех, кто обеспечивает защищенность разработанного.

➡️ Зарегистрироваться можно на Timepad.

#PositiveЭксперты

Обычно не выкладываю посты в выходные, но тут такое!🥰

Мы с Jug, PT, SafeCode принесли вам открытый митап по безопасности приложений. Будут доклады, нетворкинг и конечно много еще чего-то интересного:) может и до караоке досидим?

Приходите, регайтесь!
🫰

UPD: если лень читать, то вот сюда тык и все)

Ну и, давайте уже обнаглеем и используем чат по назначению!

Вы знаете, что направлений у меня удивиться можно как много. Например, помимо прочего мы с коллегами делаем обучения - вы помните их:) курс с МФТИ, интенсив для руководителей безопасной разработки, тут уже и инженерный курс на подходе.

Спустя три курса решила у вас спросить - а чего же вам не хватает? Может лабораторок, как в portswigger, или дофамина от онлайн-краша приложения? Или наоборот, регуляторики и чутких (или четких?) инструкций?

Так что, велком вниз, ответьте, я без внимания не оставлю🥹

Ну что, не могу вас оставить без каких-то полезных штук.

Последние 3-4 выступления ссылаюсь на это репорт, и думаю - походу надо вам показать.

Фортинеты собрали интересную статистику на тему того, каких ресурсов (человеческих) не хватает в кибербезопасноси и какие есть проблемы. Например, c какими скиллами не хватает инженеров? Что отмечает топ-менеджмент?

Кстати, это можно использовать как тепловую карту, чему учиться в ближашее время. Как говориться, ищите и обрящете😉

Даже в командировке я не забываю, что если у меня и другое время, то у вас все равно #мемнаясреда🧡

Хороший день, люблю такое

Друзья, мало ли - вдруг кто-то из вас на GITEX?

Приходите послушать мои мыслестрадания сегодня в 15:30 и завтра в в 12:30 и 14:50. Чего я там только не расскажу!:)

А я много чего не расскажу - мой английский не столь богат😀

Посыл таков - see you!❤️буду рада и увидеть знакомые лица и просто поболтать на отвлеченные от безопасности темы

Не забывайте в Q4 про адекватность, здоровый сон и хорошие отношения с коллегами:)

Вообще, #мемнаясреда сегодня по сути праздничная.

Еще раз напоминаю, братцы, нас 2000!🤤❤️

Вот и перевалило нас тут за 2000!

Ребята, какие же вы классные:) так интересно наблюдать, как наш «ламповый чатик» превратился в целый сборник материалов по безопасности приложений🥰

За это время появилась Орда, появилась методология, дофига чего было сделано и как же много еще будет.

Этот канал не рекламировался и не брал рекламу - поэтому у нас тут с вами «чистое» комьюнити энтузиастов😍😍😍

Все для вас и ради вас:)

Приятно, что где-то на просторах гитхаба еще остались хорошие репы:)

Например, тут рисуют майндмапы по безопасности_чего_нибудь, есть исходники, выглядит неперегруженно и адекватно:)

Like!🥰

Привет-привет! У меня что-то так много перемещений и мероприятий, что я уже и не анонсирую ничего😂

Но, не могу не позвать вас на Positive Security Day - 10 и 11 октября.

Интересного будет много, как минимум - я участвую в двух круглых столах: первый про тот самый MLSecurity, а второй про ценность DevSecOps для топов и отдела ИБ. Честно, вопросы будут с подковыркой, так что и нам и вам будем занятно посмотреть!

Кстати, модератором дискуссий будет Леша Лукацкий, а среди экспертов вы можете увидеть моих коллег: Дениса Кораблева, управляющего директора и Стаса Павлова, директора по AI:)
В соответствующих секциях, конечно!

#мемнаясреда, как напоминание дня - если аппсеки что-то делают, это не просто так😏

Однозначно, лишним не будет. Описание того, как можно повысить привилегии в разных ОС и не только) а мы помним - хороший защитник - хороший аттакер☺️

Мне всегда хочется сделать что-то по настоящему хорошее. Так появился канал, Орда, так появились наши собственные курсы по безопасности приложений, статьи и исследования.

Вчера вышел пресс-релиз, в котором мы рассказали о методологии безопасной разработки. Мне безумно приятно, что я могу вам это показать!

Это штука, которую мы очень долго делали и кропотливо собирали. За последние 9 месяцев мы ее пересобрали с десяток раз, меняя переменные так, чтобы получилась правильная сумма. Где-то в сторонке нервно курит Synopsys с BSIMM'ом, и правильно делает!

Леди и джентельмены, встречайте AppSec Table-Top! Потому что даже название должно быть охренительным😉

P.S. Скачать, забрать исходники, имплементировать к себе, улучшить, дать комментарии и участвовать в наполнении - можно без регистрации и смс, и даже без рабочей почты*

*Потому что мы - не долб.. другие:)

😉 Всё для вас!