Антипленарка CISO-FORUM 2023. Тёрли про бюджеты, штучки за полмиллиарда 🙂, ответственность, как общаться с бизнесом. Подробно обсуждали багбаунти, включая внутреннее.

Понравились реплики:

"SAST и DAST это не наши инструменты, а инструменты разработки"

"Если нет готовности исправлять уязвимости, то и искать их смысла нет"

"Нужно создавать предпосылки для разработки СПО на территории России"

Не понравилась реплика про "дурачка внутреннего пентестера", который хотел сканить инфраструктуру, а от него требовали собирать информацию как-то так, чтобы SOC не ловил. Secu­ri­ty through obscu­ri­ty какое-то. Имхо, у внутреннего пентестера должна быть вся информация об инфраструктуре, его задача продемонстрировать практическую эксплуатабельность уязвимостей, а не от SOCа прятаться.

Про заявленные тонкие моменты, связанные с эмиграцией специалистов вроде вообще не говорили.