Forwarded from Управление Уязвимостями и прочее
Антон Жаболенко (CISO Wildberries) рассказывает про комплексный Continuous Vulnerability Management в сессии "Как устроена безопасность в технологически зрелой компании?" на SafeCode.
Процесс включает в себя:
🔸 различные сканирования уязвимостей (как из Интернета, так и из внутренней сети)
🔸 внутренний RedTeam
🔸 пентесты (внешние подрядчики)
🔸 RedTeam (внешние подрядчики)
🔸 внутренние аудиты
🔸 публичное bug bounty
Это источники, которые генерят поток продетектированных проблем компании, чтобы Defense команда могла итеративно и циклично эти проблемы исправлять.
Такой подход применяется преимущественно в технологически зрелых компаниях, потому что он
🔻 дорогой
🔻 сложный
🔻 тяжело найти экспертов для выстраивания
Но только таким образом можно смотреть комплексно на проблемы, которые есть в компании с точки зрения ИБ.
Если использовать одну команду исследователей (подрядчиков или in-house), у неё неизбежно будет "замыливаться глаз".
@avleonovrus #SafeCode #SafeCode2024 #VMprocess #Wildberries
Процесс включает в себя:
🔸 различные сканирования уязвимостей (как из Интернета, так и из внутренней сети)
🔸 внутренний RedTeam
🔸 пентесты (внешние подрядчики)
🔸 RedTeam (внешние подрядчики)
🔸 внутренние аудиты
🔸 публичное bug bounty
Это источники, которые генерят поток продетектированных проблем компании, чтобы Defense команда могла итеративно и циклично эти проблемы исправлять.
Такой подход применяется преимущественно в технологически зрелых компаниях, потому что он
🔻 дорогой
🔻 сложный
🔻 тяжело найти экспертов для выстраивания
Но только таким образом можно смотреть комплексно на проблемы, которые есть в компании с точки зрения ИБ.
Если использовать одну команду исследователей (подрядчиков или in-house), у неё неизбежно будет "замыливаться глаз".
@avleonovrus #SafeCode #SafeCode2024 #VMprocess #Wildberries
❤6👍2🔥2
Forwarded from Управление Уязвимостями и прочее
Наверняка старая шутка, но я раньше не слышал. Единственный безопасник в организации как агент 007:
🔸 0 сотрудников,
🔸 0 бюджета на инструменты безопасности,
🔸 7 инцидентов в неделю.
Алексей Федулаев на SafeCode сегодня рассказал. 🙂
Жиза. 😅
@avleonovrus #fun #SafeCode #SafeCode2024 #VMprocess #Wildberries
🔸 0 сотрудников,
🔸 0 бюджета на инструменты безопасности,
🔸 7 инцидентов в неделю.
Алексей Федулаев на SafeCode сегодня рассказал. 🙂
Жиза. 😅
@avleonovrus #fun #SafeCode #SafeCode2024 #VMprocess #Wildberries
🔥5😁3❤1👍1
This media is not supported in your browser
VIEW IN TELEGRAM
👍11👾2
По мотивам нашего выступления на HighLoad++ вышла статья на хабре
https://habr.com/ru/companies/oleg-bunin/articles/799773/
https://habr.com/ru/companies/oleg-bunin/articles/799773/
Хабр
Как собрать контейнер и не вооружить хакера
Известно, что с контейнерами бывает огромное количество разнообразных проблем, в том числе, связанных с информационной безопасностью. Как их избежать и не дать взломщику лазеек в ваш сервис —...
👍11🔥6❤🔥3🥰1
а вот и подъехал наш доклад с DevOps Conf
https://youtu.be/Mm4UsGFBfnY
https://youtu.be/Mm4UsGFBfnY
YouTube
Безопасность CI/CD в условиях компрометации / Алексей Федулаев, Александр Хамитов (Wildberries)
Приглашаем на DevOpsConf 2025, которая пройдет 7 и 8 апреля 2025 в Сколково в Москве.
Программа, подробности и билеты по ссылке: https://devopsconf.io/moscow/2025
Конференция для инженеров и всех, кто должен понимать инженеров DevOpsConf 2024
Презентация…
Программа, подробности и билеты по ссылке: https://devopsconf.io/moscow/2025
Конференция для инженеров и всех, кто должен понимать инженеров DevOpsConf 2024
Презентация…
👍13❤5🔥3⚡2
Всем привет! Вышло мое интервью порталу Cyber Media о специфике внедрения процессов безопасной разработки, новых трендах в SSDLC, использовании open-source и взаимодействии с аутсорс-командами разработчиков с точки зрения ИБ.
🔥14👍5👎3❤2
Всем привет!
Добрался до прекрасной части Татарстана - Казани, а все потому что завтра в Иннополисе пройдет конференция «Merge» 😎
Если кто-то из вас там будет, оо пишите/подходите, познакомимся и пообщаемся 😄
P.S. Если кто-то приедет а Казань и решит попробовать настоящее татарское ПП, то велком ту «Бармузей Васи Ложкина», размеры удивляют как никогда))) 🤣
Добрался до прекрасной части Татарстана - Казани, а все потому что завтра в Иннополисе пройдет конференция «Merge» 😎
Если кто-то из вас там будет, оо пишите/подходите, познакомимся и пообщаемся 😄
P.S. Если кто-то приедет а Казань и решит попробовать настоящее татарское ПП, то велком ту «Бармузей Васи Ложкина», размеры удивляют как никогда))) 🤣
👍5🔥5
Forwarded from HighLoad++
Друзья, сегодня рассказываем про доклады, которые относятся к тегу HighLevel-программирование. В этот блок мы собрали доклады, которые, на наш взгляд, предназначены для разработчиков и тестировщиков очень высокого уровня.
1) Таксономия изоляции: как оградить себя от хакера. Антон Жаболенко и Алексей Федулаев (Wildberries)
Широкий обзор технологий изоляции кода. В докладе будут разобраны плюсы и минусы каждого подхода с точки зрения безопасности.
2) Байт-код — Это Просто! Как сделать Dependency Injection по настоящему быстрым. Григорий Юрков (Яндекс Маркет)
На примере своего DI фреймворка докладчик покажет, какую магию можно делать, манипулируя байт-кодом. И какую магию реализуют в других инструментах.
Встречаемся 24 и 25 июня в Питере на Saint HighLoad++ 2024, присоединяйтесь 🙌
✅ Больше принятых докладов можно посмотреть на сайте
1) Таксономия изоляции: как оградить себя от хакера. Антон Жаболенко и Алексей Федулаев (Wildberries)
Широкий обзор технологий изоляции кода. В докладе будут разобраны плюсы и минусы каждого подхода с точки зрения безопасности.
2) Байт-код — Это Просто! Как сделать Dependency Injection по настоящему быстрым. Григорий Юрков (Яндекс Маркет)
На примере своего DI фреймворка докладчик покажет, какую магию можно делать, манипулируя байт-кодом. И какую магию реализуют в других инструментах.
Встречаемся 24 и 25 июня в Питере на Saint HighLoad++ 2024, присоединяйтесь 🙌
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4🔥3
а вот тот самый легендарный доклад с огнетушителями😱
рекомендуется к просмотру)
https://youtu.be/8lhl_l5aJdM?si=xMCxfv1iuE6ucXas
рекомендуется к просмотру)
https://youtu.be/8lhl_l5aJdM?si=xMCxfv1iuE6ucXas
YouTube
Владимир Ситников, Алексей Федулаев — 7 раз отрежь, 1 раз отмерь
Ближайшая конференция — Heisenbug 2025 Autumn, 19—20 октября, Санкт-Петербург + online. Подробности и билеты: https://jrg.su/D6uGC9
— —
Индустрия постоянно развивается. Мы перешли к итерационной разработке продукта, выпускаем на рынок продукты с минимальными…
— —
Индустрия постоянно развивается. Мы перешли к итерационной разработке продукта, выпускаем на рынок продукты с минимальными…
🔥6
не такой холиварный, но не менее интересный)
https://youtu.be/8zEAsPirHQo?si=hLGclgCTyG2heGIX
https://youtu.be/8zEAsPirHQo?si=hLGclgCTyG2heGIX
YouTube
Алексей Федулаев, Андрей Моисеев — Космический багхантинг
Ближайшая конференция — Heisenbug 2025 Autumn, 19—20 октября, Санкт-Петербург + online. Подробности и билеты: https://jrg.su/D6uGC9
— —
Космос – это малоизученная, непредсказуемая и агрессивная среда. Вы когда-нибудь задумывались, как тестировать космические…
— —
Космос – это малоизученная, непредсказуемая и агрессивная среда. Вы когда-нибудь задумывались, как тестировать космические…
🔥3
а теперь к интересному)
в рамках Positive Hack Days буду вести воркшопы по похекам =)
Кто идет на phd? 👇 пишите в коменты
в рамках Positive Hack Days буду вести воркшопы по похекам =)
Кто идет на phd? 👇 пишите в коменты
🔥11👍3