Прибыл на Территорию Безопасности. Первый раз в Hyatt Regency Moscow Petrovsky Park. Дорого-богато-просторно. 👍 Зона выставки и кейтеринга прям здоровенная. Хорошая площадка. Зал тоже отличный и вместительный. Ну разве что экран можно было бы поконтрастнее, но это уже придирки.
На Территории Безопасности собираюсь чуть менее чем всё время провести в VM-треке. Галочками пометил то, где планирую быть. Вопросиками пометил то, где мне кажется может быть оффтоп и что я, возможно, смотреть не буду (безусловно, субъективно, но вдруг вам тоже интересно 😉). Также на карте выставки отметил места вендоров связанных с Vulnerability Management / Compliance Management.
К сегодняшнему докладу на конференции Территория Безопасности я выпустил 3 отчёта Vulristics по БДУ уязвимостям без ссылки на CVE.
🔹 Уязвимости без CVE с инцидентами (зафиксированной эксплуатацией вживую): 17
🔹 Уязвимости без CVE с эксплоитами (публичными или приватными): 584
🔹 Уязвимости без CVE: 1364 (1365)
Лучше всего я, естественно, "причесал" первый отчёт по 17 уязвимостям с известными инцидентами в 16 продуктах. 🙂 Но даже он общую картину даёт. Среди уязвимостей без CVE идентификаторов есть не только уязвимости в российских продуктах (что естественно предположить), но и в Open Source проектах, и в проприетарных западных продуктах. Некоторые причины рассмотрю.
Все 1364 уязвимости без CVE касаются уже 377 продуктов (руками не раскидаешь). Количество отечественных продуктов можно крайне грубо оценить по использованию кириллицы в названиях - таких продуктов 63. В лидерах Astra Linux (причина на поверхности, в докладе указываю 😉).
В четверг собираюсь выступать на конференции Территория Безопасности с докладом "За пределами NVD: уникальные уязвимости в БДУ ФСТЭК". В нём рассмотрю уязвимости БДУ без ссылок на CVE. Выступление будет коротким, минут на 15 вместе с вопросами. Пока буду выкладывать сюда некоторые моменты.
🔸 Сколько уязвимостей в БДУ без ссылок на CVE? Не очень много 1364 из 55805, т.е. где-то 2.4%.
🔸 Если количество новых БДУ идентификаторов с каждым годом увеличивается (как и количество CVE), то про количество новых БДУ идентификаторов без ссылок на CVE сказать что-то определенное сложно.
Дальше рассмотрим что же это за уязвимости.
Спойлер: .
Через 20 минут начинается SafeCode 2024. Уютный канальчик "Управление Уязвимостями и прочее" в информационных партнерах этого мероприятия. 🙂 Так что буду смотреть трансляцию и, возможно, что-то комментировать по ходу. На скриншотике доклады первого дня, которые я себе наметил на посмотреть.
13–14 марта пройдёт онлайн-конференция SafeCode 2024. Как понятно из названия, конференция в основном AppSec-овская. Но тут 2 момента:
🔸 Динамический и статический анализ кода это тоже часть Управления Уязвимостями (в широком смысле). 😏
🔸 В программе есть доклады, касающиеся работы и с известными уязвимостями.
Мне приглянулись вот эти:
🔹 Архивы уязвимостей и как их готовить. Андрей Кулешов, Huawei. "Поделится своим опытом создания нового формата для представления и хранения уязвимостей под названием COSV".
🔹 Безопасность контейнерных сред. Как мы встали на путь разработки собственного решения и что из этого получилось. Игорь Вербицкий и Александр Рахманный из Lamoda Tech. "Доклад будет полезен и интересен всем, кто задумывался о выборе сканера уязвимостей для контейнеризации".
🫰 Конфа платная, зарегаться и купить билет можно тут.
🆓 Но часть докладов второго дня конференции будет доступна бесплатно:
🔻 «Безопасность контейнерных сред. Как мы встали на путь разработки собственного решения и что из этого получилось» — Игорь Вербицкий, Александр Рахманный (Lamoda Tech)
🔻 «WAF — необходимое звено в защите веб-приложений или навязанная коробка? Взгляд интегратора» — Аскар Добряков (К2 Кибербезопасность)
🔻 «Ответственное использование авторизационных токенов» — Кирилл Мухов (VK Tech)
🔻 «Как построить DevSecOps по ГОСТу» — Виталий Астраханцев (СберТех)
🔻 «Как аппсеки в Авито API собирали» — Александр Трифанов (Авито)
Регистрация открыта до 14 марта включительно.
Форум "Территория Безопасности – 2024: все pro ИБ" (4 апреля) - заявка на главное мероприятие по Управлению Уязвимостями в России. Там под это выделили отдельный трек (считай отдельную конференцию) на весь день! 😮🤩
Вы где-нибудь ещё видели такое? И я нет. Поэтому всячески рекомендую посетить. И сам буду там активно участвовать. Программа пока в драфте, но я как минимум поучаствую в двух круглых столах и выступлю с докладом про одну любопытную подборку уязвимостей (подробности позже). 😉
Помимо Управления Уязвимостями там будут отдельные треки (конференции) про расследование инцидентов, обнаружение угроз и безопасную разработку. Всему департаменту по ИБ будет интересно.
📍 Мероприятие пройдет в HYATT REGENCY MOSCOW PETROVSKY PARK
➡️ Регистрироваться здесь. Для руководителей ИБ-департаментов участие бесплатное!
PS: Telegram-канальчик "Управление Уязвимостями и прочее" официальный медиа-партнер форума. Собираюсь активно обозревать происходящее. 🙂 Не халявщик, а партнер. (с) 😅
Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.