Через 20 минут начинается SafeCode 2024. Уютный канальчик "Управление Уязвимостями и прочее" в информационных партнерах этого мероприятия. 🙂 Так что буду смотреть трансляцию и, возможно, что-то комментировать по ходу. На скриншотике доклады первого дня, которые я себе наметил на посмотреть.
13–14 марта пройдёт онлайн-конференция SafeCode 2024. Как понятно из названия, конференция в основном AppSec-овская. Но тут 2 момента:
🔸 Динамический и статический анализ кода это тоже часть Управления Уязвимостями (в широком смысле). 😏
🔸 В программе есть доклады, касающиеся работы и с известными уязвимостями.
Мне приглянулись вот эти:
🔹 Архивы уязвимостей и как их готовить. Андрей Кулешов, Huawei. "Поделится своим опытом создания нового формата для представления и хранения уязвимостей под названием COSV".
🔹 Безопасность контейнерных сред. Как мы встали на путь разработки собственного решения и что из этого получилось. Игорь Вербицкий и Александр Рахманный из Lamoda Tech. "Доклад будет полезен и интересен всем, кто задумывался о выборе сканера уязвимостей для контейнеризации".
🫰 Конфа платная, зарегаться и купить билет можно тут.
🆓 Но часть докладов второго дня конференции будет доступна бесплатно:
🔻 «Безопасность контейнерных сред. Как мы встали на путь разработки собственного решения и что из этого получилось» — Игорь Вербицкий, Александр Рахманный (Lamoda Tech)
🔻 «WAF — необходимое звено в защите веб-приложений или навязанная коробка? Взгляд интегратора» — Аскар Добряков (К2 Кибербезопасность)
🔻 «Ответственное использование авторизационных токенов» — Кирилл Мухов (VK Tech)
🔻 «Как построить DevSecOps по ГОСТу» — Виталий Астраханцев (СберТех)
🔻 «Как аппсеки в Авито API собирали» — Александр Трифанов (Авито)
Регистрация открыта до 14 марта включительно.
Форум "Территория Безопасности – 2024: все pro ИБ" (4 апреля) - заявка на главное мероприятие по Управлению Уязвимостями в России. Там под это выделили отдельный трек (считай отдельную конференцию) на весь день! 😮🤩
Вы где-нибудь ещё видели такое? И я нет. Поэтому всячески рекомендую посетить. И сам буду там активно участвовать. Программа пока в драфте, но я как минимум поучаствую в двух круглых столах и выступлю с докладом про одну любопытную подборку уязвимостей (подробности позже). 😉
Помимо Управления Уязвимостями там будут отдельные треки (конференции) про расследование инцидентов, обнаружение угроз и безопасную разработку. Всему департаменту по ИБ будет интересно.
📍 Мероприятие пройдет в HYATT REGENCY MOSCOW PETROVSKY PARK
➡️ Регистрироваться здесь. Для руководителей ИБ-департаментов участие бесплатное!
PS: Telegram-канальчик "Управление Уязвимостями и прочее" официальный медиа-партнер форума. Собираюсь активно обозревать происходящее. 🙂 Не халявщик, а партнер. (с) 😅
Выступил на КодИБ ИТОГИ с докладом про трендовые уязвимости. Вполне успешно, но чуток экстремально. Аккурат перед моим выступлением экран перестал работать. ⬛️ Поэтому моя презентация стартовала как стендап. 🤷♂️🙂 Объяснять словами диаграмму Эйлера про различия CISA KEV и трендовых уязвимостей от PT, которую зрители не видят, это такое себе. Но вроде справился. 😅 К счастью, где-то на середине выступления экран ожил и дальше всё пошло по плану, все картинки были продемонстрированы.
Под конец "дискуссии с экспертами" предложили сформулировать пожелание для всех зрителей по итогам выступления. Вспомнил наши выпуски "Прожектора по ИБ" и выдал универсальное: "Обновляйтесь!" 🙂
Неважно, корпоративная у вас инфраструктура или домашняя, регулярные обновления решат большую часть проблем с уязвимостями, а значит и с ИБ в целом. Ну а если уязвимостей слишком много, то в первую очередь исправляйте наиболее критичные трендовые уязвимости, подсвеченные надёжным VM-вендором. 😉
Добрался до Код ИБ ИТОГИ. Уютненько, камерно. 🙂 Наша сессия в 12:00 во втором зале, мой доклад будет в 12:20.
Собираюсь выступить на Код ИБ 2023 | ИТОГИ в этот четверг с мини-докладом про трендовые уязвимости. Зачем нужно выделять трендовые уязвимости и почему делать это по открытым данным весьма непросто. Плюс пара слайдов про то, какие трендовые уязвимости выделил в 2023 году один отечественный 🟥 VM вендор (конспиративная формулировка, т.к. иду как "независимый эксперт" 😉🤷♂️) .
Выступление будет в секции "Анализ защищенности и расследование инцидентов", начало в 12:00. Внезапно попал в одну секцию с Андреем Масаловичем (КиберДед)! 🙂 После коротких выступлений там ожидается "Дискуссия с экспертами", должно быть занимательно.
Запись MEPhI CTF Meetup 10.02 уже доступна. Для удобства расставил таймстемпики.
48:12 Welcome-слово. Евгений Волошин, директор по стратегии, BI ZONE
48:50 Открытие MEPhI CTF Meetup. Павел Блинников, капитан CTF-команды, SPRUSH; ENZO, community manager, BI ZONE
—-
51:38 Малварные техники Windows в Linux. Илья Титов, младший специалист TI, BI ZONE
2:16:24 ZKP: кому и зачем мы что-то доказываем. Александр Соколов, независимый исследователь
3:04:27 Пентест через призму ресерча. Данила Сащенко, старший специалист по тестированию на проникновение, BI ZONE
3:42:16 Аутопсия бинарных CTF-тасков. Георгий Кигурадзе, CTF-игрок на пенсии
4:46:33 Интересные баги из жизни пентестера. Денис Погонин, старший специалист по тестированию на проникновение, BI ZONE
Контента много, пока только урывками смотрел. Георгий Кигурадзе очень крут, интересно рассказывает и кажется вообще без понтов. 👍 Вроде раньше не пересекались, постараюсь теперь отслеживать выступления. 🙂
Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.