Безопасная разработка на IT-фесте TechTrain (2 сентября)

На IT-фесте TechTrain сообщество PDUG представит доклады и воркшопы по безопасной разработке.

Программа 2.09

12:00 | Стенд PDUG | Как крадут деньги. Безопасность финансовых приложений на практике (Ярослав Бабин, Positive Technologies)
Поговорим о типовых недостатках бизнес-приложений на примере систем дистанционного банковского обслуживания и рассмотрим, как конкретно хакеры могут использовать их для проведения атак. Все примеры основаны на многолетнем опыте аудита безопасности банковских приложений.

14:00 | Стенд PDUG | OWASP Top 10 для разработчиков, часть 1 (Владимир Кочетков, Positive Technologies).
OWASP Top 10 — хит-парад проблем безопасности приложений, составляемый консорциумом OWASP по результатам анализа защищенности сотен тысяч проектов. Рассмотрим этот список глазами разработчика: какие ошибки и недостатки могут привести к возникновению той или иной проблемы, как устранять уже существующие уязвимости и не допускать новых, каков оптимальный подход к внедрению принципов безопасной разработки.

15:00 | Зал 2 | Безопасная разработка в больших проектах (Алексей Жуков, Positive Technologies).
Когда разработка ставится на поток из-за высокого спроса на услуги и продукты, все больше разработчиков стремятся выстроить ее более гибко и эффективно, внедряют процессы непрерывной интеграции и поставки (CI/CD). Обеспечение безопасности разрабатываемого ПО — неотъемлемая часть такого процесса. Нужно точно и без отрыва от производства определять и устранять риски безопасности — уязвимости. Но как показывает практика, здесь есть две проблемы. Первая — анализ качества кода ошибочно считают достаточной мерой для проверки ПО, в том числе на риски безопасности. Вторая — те, кто понимает, что этого недостаточно, и прибегает к инструментам анализа защищенности, сталкиваются с трудностью: мало просто найти уязвимости, их нужно верифицировать (подтвердить, что это не ложное срабатывание), ведь только в этом случае уязвимость можно исправить. Усугубляет проблему тот факт, что верификация в большинстве случаев делается вручную, а с учетом того, что число уязвимостей может достигать сотен и тысяч, не просто эффективность, но сама целесообразность поддержки процесса CI/CD оказывается под большим вопросом.
В своем докладе Алексей расскажет, как сделать так, чтобы в реалиях непрерывности процесса, больших объемов и горящих дедлайнов дефекты безопасности не остались незамеченными, а процесс их верификации не превратился в бутылочное горлышко. Мы подробно поговорим о том, как грамотно автоматизировать процесс обеспечения безопасности ПО, не снижая, а даже повышая эффективность выполнения основных задач.

15:30 | Демо-зона | Обзор типичных уязвимостей блокчейн-проектов (Игорь Лырчиков, Digital Security).
Расскажем о том, как смарт-контракты и блокчейн-проекты выглядят глазами злоумышленника и куда он может приложить свои усилия для получения выгоды. Рассмотрим серьезные угрозы безопасности в смарт-контрактах, веб-интерфейсе, почте и многом другом, а также проведем разбор нашумевших взломов.

16:00 | Стенд PDUG | Детектирование веб-атак с помощью рекуррентных нейронных сетей (Ирина Степанюк и Александра Мурзина, Positive Technologies).
В то время как разработчики пытаются сделать свои продукты безопаснее, хакеры оттачивают свои навыки и применяют все более хитрые методы для обнаружения уязвимостей. В этой игре нужны новые герои! Популярным решением для обеспечения безопасности веб-сервисов является использование межсетевых экранов прикладного уровня, однако ни один из них не гарантирует защиту от уязвимостей нулевого дня — и все они требуют существенного участия в их работе со стороны человека. В своем докладе Ирина и Александра расскажут, как им удалось посмотреть на трафик веб-приложений с другой стороны и предложить неожиданное решение. Немного про применение машинного обучения для решения задач в области безопасности приложений и демонстрация результатов.

17:00 | Стенд PDUG | OWASP Top 10 для разработчиков, часть 2