Архив рубрики: Мероприятия

Отчитался-отвыступался на Территории Безопасности

Добавить комментарий

Отчитался-отвыступался на Территории Безопасности
Отчитался-отвыступался на Территории БезопасностиОтчитался-отвыступался на Территории БезопасностиОтчитался-отвыступался на Территории БезопасностиОтчитался-отвыступался на Территории БезопасностиОтчитался-отвыступался на Территории Безопасности

Отчитался-отвыступался на Территории Безопасности.

🔹 Аналитический блок открыл Рустэм Хайретдинов. Его основные тезисы: 1. Низкая конкуренция на российском рынке VM, высокие цены, прямое импортозамещение невозможно (не соглашусь, цена/качество Nessus это был демпинг, да и для российских инфраструктур западные решения перестают быть актуальными). 2. Облачным сервисам никто больше не верит (имхо, иностранным да, а российским вроде норм 🤷‍♂️) 3. Российские вендоры в меньшей степени заинтересованы в публикации информации об уязвимостях.

🔹 Дальше я раскрывал тему уязвимостей в БДУ ФСТЭК без ссылок на CVE, среди которых значительная часть и есть уязвимости российских вендоров. 😉

🔹 Дискуссия по VM-у понравилась. Попушил тему с управлением активами, безусловными обновлениями, приоритизацией и выделением трендовых уязвимостей. 👍

Зрителей на дискуссии было не особо много, т.к. в параллель было ещё 2 дискуссии и одна с Алексеем Лукацким 🙂. Ещё и кейтеринг был обильный и разнообразный. 😉

Прибыл на Территорию Безопасности

Добавить комментарий

Прибыл на Территорию БезопасностиПрибыл на Территорию БезопасностиПрибыл на Территорию БезопасностиПрибыл на Территорию Безопасности

Прибыл на Территорию Безопасности. Первый раз в Hyatt Regency Moscow Petrovsky Park. Дорого-богато-просторно. 👍 Зона выставки и кейтеринга прям здоровенная. Хорошая площадка. Зал тоже отличный и вместительный. Ну разве что экран можно было бы поконтрастнее, но это уже придирки.

На Территории Безопасности собираюсь чуть менее чем всё время провести в VM-треке

1 комментарий

На Территории Безопасности собираюсь чуть менее чем всё время провести в VM-треке
На Территории Безопасности собираюсь чуть менее чем всё время провести в VM-трекеНа Территории Безопасности собираюсь чуть менее чем всё время провести в VM-трекеНа Территории Безопасности собираюсь чуть менее чем всё время провести в VM-трекеНа Территории Безопасности собираюсь чуть менее чем всё время провести в VM-треке

На Территории Безопасности собираюсь чуть менее чем всё время провести в VM-треке. Галочками пометил то, где планирую быть. Вопросиками пометил то, где мне кажется может быть оффтоп и что я, возможно, смотреть не буду (безусловно, субъективно, но вдруг вам тоже интересно 😉). Также на карте выставки отметил места вендоров связанных с Vulnerability Management / Compliance Management.

К сегодняшнему докладу на конференции Территория Безопасности я выпустил 3 отчёта Vulristics по БДУ уязвимостям без ссылки на CVE

1 комментарий

К сегодняшнему докладу на конференции Территория Безопасности я выпустил 3 отчёта Vulristics по БДУ уязвимостям без ссылки на CVEК сегодняшнему докладу на конференции Территория Безопасности я выпустил 3 отчёта Vulristics по БДУ уязвимостям без ссылки на CVEК сегодняшнему докладу на конференции Территория Безопасности я выпустил 3 отчёта Vulristics по БДУ уязвимостям без ссылки на CVEК сегодняшнему докладу на конференции Территория Безопасности я выпустил 3 отчёта Vulristics по БДУ уязвимостям без ссылки на CVE

К сегодняшнему докладу на конференции Территория Безопасности я выпустил 3 отчёта Vulristics по БДУ уязвимостям без ссылки на CVE.

🔹 Уязвимости без CVE с инцидентами (зафиксированной эксплуатацией вживую): 17
🔹 Уязвимости без CVE с эксплоитами (публичными или приватными): 584
🔹 Уязвимости без CVE: 1364 (1365)

Лучше всего я, естественно, "причесал" первый отчёт по 17 уязвимостям с известными инцидентами в 16 продуктах. 🙂 Но даже он общую картину даёт. Среди уязвимостей без CVE идентификаторов есть не только уязвимости в российских продуктах (что естественно предположить), но и в Open Source проектах, и в проприетарных западных продуктах. Некоторые причины рассмотрю.

Все 1364 уязвимости без CVE касаются уже 377 продуктов (руками не раскидаешь). Количество отечественных продуктов можно крайне грубо оценить по использованию кириллицы в названиях - таких продуктов 63. В лидерах Astra Linux (причина на поверхности, в докладе указываю 😉).

В четверг собираюсь выступать на конференции Территория Безопасности с докладом "За пределами NVD: уникальные уязвимости в БДУ ФСТЭК"

3 комментария

В четверг собираюсь выступать на конференции Территория Безопасности с докладом За пределами NVD: уникальные уязвимости в БДУ ФСТЭКВ четверг собираюсь выступать на конференции Территория Безопасности с докладом За пределами NVD: уникальные уязвимости в БДУ ФСТЭК

В четверг собираюсь выступать на конференции Территория Безопасности с докладом "За пределами NVD: уникальные уязвимости в БДУ ФСТЭК". В нём рассмотрю уязвимости БДУ без ссылок на CVE. Выступление будет коротким, минут на 15 вместе с вопросами. Пока буду выкладывать сюда некоторые моменты.

🔸 Сколько уязвимостей в БДУ без ссылок на CVE? Не очень много 1364 из 55805, т.е. где-то 2.4%.
🔸 Если количество новых БДУ идентификаторов с каждым годом увеличивается (как и количество CVE), то про количество новых БДУ идентификаторов без ссылок на CVE сказать что-то определенное сложно.

Дальше рассмотрим что же это за уязвимости.
Спойлер: .

Через 20 минут начинается SafeCode 2024

1 комментарий

Через 20 минут начинается SafeCode 2024
Через 20 минут начинается SafeCode 2024

Через 20 минут начинается SafeCode 2024. Уютный канальчик "Управление Уязвимостями и прочее" в информационных партнерах этого мероприятия. 🙂 Так что буду смотреть трансляцию и, возможно, что-то комментировать по ходу. На скриншотике доклады первого дня, которые я себе наметил на посмотреть.

13–14 марта пройдёт онлайн-конференция SafeCode 2024

2 комментария

13–14 марта пройдёт онлайн-конференция SafeCode 2024

13–14 марта пройдёт онлайн-конференция SafeCode 2024. Как понятно из названия, конференция в основном AppSec-овская. Но тут 2 момента:

🔸 Динамический и статический анализ кода это тоже часть Управления Уязвимостями (в широком смысле). 😏
🔸 В программе есть доклады, касающиеся работы и с известными уязвимостями.

Мне приглянулись вот эти:

🔹 Архивы уязвимостей и как их готовить. Андрей Кулешов, Huawei. "Поделится своим опытом создания нового формата для представления и хранения уязвимостей под названием COSV".
🔹 Безопасность контейнерных сред. Как мы встали на путь разработки собственного решения и что из этого получилось. Игорь Вербицкий и Александр Рахманный из Lamoda Tech. "Доклад будет полезен и интересен всем, кто задумывался о выборе сканера уязвимостей для контейнеризации".

🫰 Конфа платная, зарегаться и купить билет можно тут.

🆓 Но часть докладов второго дня конференции будет доступна бесплатно:

🔻 «Безопасность контейнерных сред. Как мы встали на путь разработки собственного решения и что из этого получилось» — Игорь Вербицкий, Александр Рахманный (Lamoda Tech)
🔻 «WAF — необходимое звено в защите веб-приложений или навязанная коробка? Взгляд интегратора» — Аскар Добряков (К2 Кибербезопасность)
🔻 «Ответственное использование авторизационных токенов» — Кирилл Мухов (VK Tech)
🔻 «Как построить DevSecOps по ГОСТу» — Виталий Астраханцев (СберТех)
🔻 «Как аппсеки в Авито API собирали» — Александр Трифанов (Авито)

Регистрация открыта до 14 марта включительно.