WAF (гав-гав): гибкая настройка пользовательских правил PT AF PRO
Разберёмся, как грамотно (хотелось бы так) настраивать пользовательские правила в Positive Technologies Application Firewall, чтобы при виде атаки ваша защита не превратилась в уязвимую "истеричку". Расскажем про ключевые директивы, покажем примеры из реальной практики и обоснуем каждый шаг. Читать...
Что такое «правильный» ASOC?
Application Security Orchestration and Correlation (ASOC) – не самая тривиальная тема в реалиях отечественного подхода к обеспечению ИБ, но от этого не менее важная, и, что главное – не менее интересная. Поэтому, мне, кажется, мое мнение, как практикующего devsecops-инженера будет не лишним для...
Атаки на GitHub-разработчика в 2024 году
Тренд «Platform Engineering», предложенный аналитическими агентствами, стал интересен не только компаниям, которые трансформируют свои процессы, команды и инструменты согласно новым подходам. Этот тренд также интересует и злоумышленников, которые используют возможности платформ разработки для...
Два подхода к анализу ПО на уязвимости: какой выбрать?
Думаю, каждый айти-специалист знает, насколько важно учитывать требования информационной безопасности при разработке и обеспечить защищенность ПО. А как именно обрабатываются уязвимости, и кто несет ответственность за их устранение? Сегодня хочу уделить внимание именно этой теме. Всем привет, меня...
Что значит «SafeCode»: о чём расскажут на конференции по безопасности приложений
«Безопасный код» — понятие широкое. Так что по названию онлайн-конференции SafeCode 2024 может быть непонятно: о чём пойдёт речь в докладах? Для кого это будет? Для начала стоит подчеркнуть, что конференция не просто «о безопасности», а конкретно «о безопасности приложений». То есть из множества...
Опыт внедрения практик AppSec/DevSecOps
Процессы разработки должны быть построены так, чтобы гарантировать предсказуемый уровень безопасности продукта на выходе. Именно с такой идеей мы приступали к модернизации наших внутренних процессов в «ЛАНИТ ― Би Пи Эм». Мы провели исследование мировых практик обеспечения безопасности, которые...
WAF: интеграция в SOC через SIEM или ASOC? (Часть 2)
Преимущества интеграции SOC и WAF для мониторинга API Здесь бы хотелось рассказать, как быть с событиями которые показывают аномалии в API и как использовать эти события при интеграции с SIEM-системами. Тут мы с Сергеем попробовали разобрать наиболее частые вариации. Но если у вас есть свои примеры...
Управление безопасностью приложений: всем выйти из сумрака
Всем привет. И вновь на связи Светлана Газизова, директор по построению процессов DevSecOps в Positive Technologies. Ранее я уже рассказывала о том, кто такой специалист по безопасной разработке в рубрике Positive Education «Топ-10 профессий в сфере кибербезопасности» (а совсем недавно была статья...
WAF: интеграция в SOC через SIEM или ASOC? (Часть 1)
В современном цифровом мире киберугрозы становятся все более сложными и изощренными, что требует от компаний применения эффективных мер защиты. Одним из наиболее эффективных способов обеспечения безопасности является интеграция Центров мониторинга информационной безопасности (Security Operations...
Реализация сервиса сканирования на основе OWASP ZAP
Для защиты цифровых активов организаций важно оперативно выявлять и устранять уязвимости. Инструменты оценки уязвимостей автоматизируют этот процесс, позволяя эффективно находить слабые места в системах и приложениях. Привет! Меня зовут Никита, я занимаюсь информационной безопасностью в RuStore....
AppSec-платформа для сотен миллионов строк кода
Сегодня я хочу рассказать про нашу внутреннюю AppSec-разработку – платформу Security Gate. Начну с предпосылок для ее создания, подробно опишу архитектуру решения и поделюсь открытиями и маленькими неожиданностями, которые ждали нас (и могут ждать любого в рамках построения похожего инструмента). В...
Как решить проблему уязвимостей бизнес-логики? Поломать приложение еще до написания кода
Всем привет. Меня зовут Нияз Кашапов, я AppSec Lead в СберМаркете. Улучшаю процессы безопасной разработки уже более 5 лет. Начинал карьеру в финтехе, где занимался безопасностью кода, фич и бизнес-процессов в онлайн-банкинге. А сейчас продолжаю начатое в одном из самых быстрорастущих игроков на...
Как провести фаззинг REST API с помощью RESTler. Часть 3
Вступление Привет, Хабр! С вами Владимир Исабеков, руководитель группы статического тестирования безопасности приложений в Swordfish Security. В прошлых статьях, посвященных фаззингу REST API, мы рассказывали о методе Stateful REST API Fuzzing и настройках инструмента RESTler. Сегодня мы поговорим...
Как провести фаззинг REST API с помощью RESTler. Часть 2
Всем привет! На связи Владимир Исабеков, руководитель группы статического тестирования безопасности приложений в Swordfish Security. В предыдущей статье мы рассказывали о Stateful REST API-фаззинге с применением инструмента RESTler. Сегодня мы поговорим о продвинутых возможностях RESTler-а и...
Что о безопасности приложений расскажут на SafeCode
В декабре мы представили Хабру нашу новую онлайн-конференцию SafeCode. А теперь, когда до неё осталось две недели и программа готова, можем подробнее рассказать, о чём именно будут доклады. Если ограничиться одной фразой, то на конференции подойдут к application security с разных сторон: от...
Безопасность API веб-приложений
Привет, Хабр! Это инженерный отдел по динамическому анализу Swordfish Security. В предыдущих статьях мы описывали плагин для OWASP ZAP, рассказывали, как сканировать приложения с помощью инструмента Burp Suite Pro и настроить автоматическую авторизацию в DAST-сканере. Сегодня мы обсудим, на что...
SafeCode: новая конференция по безопасности приложений
Привет! Мы решили запустить новую конференцию про безопасность приложений SafeCode, которая пройдет весной 2024 года в онлайне. Она не только для ИБ-специалистов, но и для тех, кто так или иначе связан с безопасностью разработки: security-чемпионов, тестировщиков, пентестеров, разработчиков,...
Security Champions: безопасность через мотивацию и бенефиты
Всем привет! Меня зовут Артём Пузанков, я руководитель направления безопасной разработки в МТС Digital. В этой статье я расскажу о мотивации и процессах внедрения концепции Security Champions на практике. Читать далее...
Назад