Episodes

  • Достигнув больших масштабов, систему сложно покрыть одними пентестами. И тогда компании объявляют Bug Bounty. В этом выпуске мы разбираемся во всех тонкостях процесса.


    Мы пригласили руководителя направления VK Bug Bounty и профессионального пентестера. Они рассказали, когда компаниям пора объявлять конкурс по поиску уязвимостей и сколько платят багхантерам. А также поделились забавными случаями из опыта.


    Гости выпуска:

    — Петр Уваров — руководитель направления VK Bug Bounty из команды информационной безопасности VK.

    — Сергей Зыбнев — пентестер в компании Бастион. Спикер на профильных конференциях, автор канала Похек — о том, как похекать всё, что движется и не движется.


    Ведущий — Алексей Федулаев. Руководитель направления Cloud Native Security, MTC Web Services. Автор канала Ever Secure на YouTube и в Telegram.

    Сайт конференции SafeCode: https://jrg.su/Xtb5NJ

    Подписывайтесь на Telegram-канал, чтобы следить за новостями: https://jrg.su/XrgaNe

    Слушайте выпуск на других платформах:
    — YouTube — https://jrg.su/QfUb9v
    — ВКонтакте — https://jrg.su/pBGSe9

  • Сломали вебчик, а что дальше? Мы оказываемся в контейнере внутри K8s. Что злоумышленник может сделать дальше и может ли вообще что-либо сделать? Об этом мы узнаем в новом выпуске подкаста. А гости расскажут крутые истории из практики.


    Говорим про:

    — отличия пентеста контейнеров от пентеста веба и инфраструктуры;

    — компетенции специалиста, который этим занимается;

    — уязвимости и способы защитить контейнеры.


    Гости выпуска:

    — Сергей Канибор — R&D / Container Security в Luntry. Bughunter. Редактор Telegram-канала k8s (in)security.

    — Вадим Шелест — руководитель группы анализа защищенности Wildberries. Автор Telegram-канала PurpleBear.


    Ведущий — Алексей Федулаев. Руководитель направления Cloud Native Security, MTC Web Services, Автор канала Ever Secure на YouTube и в Telegram.

  • Missing episodes?

    Click here to refresh the feed.

  • Что строят архитекторы безопасности, кроме серьезного лица? Какой строительный вуз нужно закончить, чтобы стать таким архитектором? Как собрать свою бригаду безопасников? Отвечаем на эти вопросы в подкасте.


    Для этого мы пригласили специалистов этой сферы. Они расскажут, чем отличается работа архитекторов ИБ в разных компаниях, и поделятся забавными случаями из опыта, когда архитекторы могут спасти ситуацию.


    Гости выпуска:

    — Владимир Поглазов — инженер информационной безопасности, Rakuten Mobile. Живет и работает в Японии, руководит секцией оценки безопасности.

    — Роман Панин — руководитель направления архитектуры ИБ, МТС. Автор Telegram-канала Пакет Безопасности, ментор и ваш дружелюбный безопасник.


    Ведущий — Алексей Федулаев. Руководитель направления Cloud Native Security, MTC Web Secvices, Автор канала Ever Secure в YouTube и Telegram.

  • На SafeCode 2024 мы уже поговорили, что делать разработчикам, когда к ним «постучались» — и как специалистам по безопасности «стучаться» правильно.


    В подкасте более развернуто отвечаем на вопросы:

    — какие аргументы использовать обеим сторонам, чтобы найти компромисс?

    — как избежать незапланированных изменений и непонятных задач в духе «исправить сейчас же»?

    — у кого должен быть рубильник, который останавливает релиз?


    В студии снова встретились:

    — Дмитрий Шмойлов — руководитель AppSec-подразделения в Kaspersky.
    — Алексей Смирнов — основатель платформы композиционного анализа CodeScoring, организатор трека и конференции Code Mining в сообществе ODS․ai.

    — Андрей Дмитриев — директор департамента производства в JUG Ru Group.

  • Позвали трех людей, знающих, что такое Application Security не понаслышке.


    Ведущий Алексей Федулаев, DevSecOps Team Lead в Wildberries, и гости выпуска — Виктор Бобыльков, CISO в MTS Web Services, Алексей Морозов, руководитель Application Security в Samokat.tech и Александра Сватикова, системный архитектор команды Identity and Access Management в Yandex Cloud — обсуждают:

    — что из себя представляет современное веб-приложение и как обеспечивается его безопасность;

    — чем занимаются AppSec-инженеры и чем они отличаются от пентестеров;

    — и многое другое.

  • Участники обсуждают: «первое знакомство» с безопасностью контейнеров; безопасность рантайма контейнеров; типичные недоработки: отсутствие CVE, привилегированный контейнер и не только; инструменты для проверки уязвимостей; усиление защиты контейнеров.

    Гости:

    — Артем Бачевский, разрабатывает и автоматизирует процессы AppSec. В свободное время занимается исследованием вопросов кибербезопасности.

    — Дмитрий Евдокимов, основатель и CTO Luntry.

    — Алексей Федулаев, руководитель направления автоматизации безопасной разработки в Wildberries.

    Ведущий:

    Сергей Деев, эксперт по кибербезопасности в МТС RED.

  • Будет интересно разработчикам и всем, кто (уже или еще пока не) озабочен безопасностью своего софта.

    Участники обсуждают:

    — назначение статических анализаторов;

    — типы и алгоритмы анализа;

    уровень качества, которые обеспечивают подходы к анализу кода;

    — ложноположительные и ложноотрицательные срабатывания;

    — контекстные особенности при анализе разных языков программирования;

    — способы сравнения SAST-инструментов.

    Гости:

    — Андрей Белеванцев, ведущий научный сотрудник Института системного программирования им. В.П. Иванникова РАН. Занимается статическим анализом, участвует в разработке анализатора Svace.

    — Алексей Смирнов, основатель системы композиционного анализа CodeScoring. Специализируется на обработке текстовых данных в контексте анализа исходных кодов.

    — Владимир Кочетков, руководитель направления экспертизы AppSec в Positive Technologies. Эксперт по безопасности приложений.

    Ведущий:

    Сергей Деев, эксперт по кибербезопасности в МТС RED.

  • Разбираемся в подходе Secure by design (SBD), или конструктивной безопасности в разработке продукта.

    Участники обсуждают:

    что такое Secure by design;

    зачем заниматься SBD и стоит ли применять этот подход для каждого продукта;

    чем SBD отличается от безопасной разработки;

    что делать, если «уже сделано небезопасно»;

    может ли SBD-продукт стать небезопасным;

    как стать компетентным в SBD;

    существуют ли общие концепции и стандарты.

    Гости:

    Сергей Рогачев, руководитель отдела разработки безопасной платформы в Лаборатории Касперского.Екатерина Рудина, аналитик в Лаборатории Касперского. Работает в департаменте перспективных технологий в области исследования угроз, моделирования и оценки рисков. Александр Поломодов, руководитель управления разработки цифровых экосистем в Тинькофф.

    Ведущий:

    Алексей Федулаев, руководитель направления автоматизации безопасной разработки в Wildberries.

  • В этом выпуске участники обсуждают:

    — кейсы использования AI: от оптимизации SQL-запросов и UI-дизайна до создания плагинов и применения LLM в разработке;

    — риски обучения на уязвимом коде;

    — естественный язык в Snowflake;

    — SecDev (решение задач безопасности) vs DevSec (контроль разработанного)

    — «горячую» тему замены ИБ-специалиста ML-решением.

    Гости:

    — Радда Юрьева, ML-инженер команды AppSec в Positive Technologies.

    — Александр Халиков, специалист группы исследований безопасности приложений в Positive Technologies.

    — Владимир Кочетков, руководитель направления экспертизы AppSec в Positive Technologies.

    Ведущий:

    Андрей Дмитриев, сооснователь JUG Ru Group.

  • Этот выпуск о том, что нужно знать разработчикам мобильных приложений про безопасность в современном «мобильном» мире.

    Гости выпуска обсуждают:

    — зачем злоумышленникам взламывать мобильные приложения;

    — какие факторы заставляют обращать больше внимания на мобильную безопасность, чем на веб: от размера аудитории до особенностей дистрибуции приложений;

    — насколько аудиты в сторах проверяют наличие уязвимостей и безопасность приложения в целом;

    — как выстроить процесс безопасной разработки мобильных приложений. Подходы к тестированию, инструменты, СI/CD;

    — как вендоры мобильных платформ помогают и мешают обеспечивать безопасность;

    — защищает ли обфускация от всех проблем;

    — как защитить интеллектуальную собственность и приватные данные на устройстве.

    Гости:

    — Сергей Нечаев, Application Security-инженер в Одноклассниках.

    — Юрий Шабалин, генеральный директор Стингрей Технолоджиз.

    Ведущие:

    — Александра Сватикова, системный архитектор в команде Identity and Access Management Yandex Cloud.

    — Андрей Дмитриев, сооснователь JUG Ru Group.

  • В этом выпуске разбираемся в ролях, связанных с безопасностью, и кого и как искать, если регулятор поставил условие, что «должна быть безопасность».

    Гости выпуска обсуждают:

    — чем занимаются специалисты по безопасности;

    — кто такой security-чемпион и как им стать, если ты — разработчик;

    — кто такой AppSec Business Partner;

    — какие возможности у найма с рынка — основные проблемы и подводные камни;

    — как проводить собеседование;

    — что спрашивать у работодателя, если ты ищешь работу;

    — как удержать сотрудников после того, как нашли;

    — как взращивать компетенции внутри компании.

    Гости:

    — Светлана Газизова, Head of Audit в Swordfish Security. Знает, как делать хороший AppSec.

    — Алексей Антонов, коммерческий директор Вебмониторэкс.

    Ведущий:

    Сергей Деев, эксперт по кибербезопасности в МТС RED.

  • Гости выпуска обсуждают спортивное состязание хакеров — Capture the Flag (CTF).

    Подробно рассматривают:

    — CTF в целом и Task-Based CTF (Jeopardy) в частности;

    — пример типового захвата флага, какие могут быть задачи в процессе, и как CTF помогает лучше понять пентесты и реверс-инжиниринг;

    — интересные и неожиданные уязвимости;

    — важность навыка работы над задачей в условиях неопределенности и тимбилдинг во время командного CTF в компании;

    — CTF в сравнении со спортивным программированием;

    — заработок на поиске уязвимостей через Bug Bounty.

    Гости выпуска:

    — Алексей Федулаев, руководитель направления автоматизации безопасной разработки в Wildberries. В ИБ с 2011 года, DevSecOps-евангелист.

    — Лев Хакимов, руководитель команды разработки и администрирования сервисов ИБ в Wildberries. Магистр факультета ИКТ ИТМО, участник CTF-команды ONO. Вольный реверсер.

    — Даниил Сигалов, исследователь безопасности в компании SolidSoft. Аспирант факультета ВМК МГУ. Участник CTF-команды Bushwhackers.

    Ведущий:

    Андрей Дмитриев, сооснователь JUG Ru Group.

  • В этом выпуске поговорим о том, как сделать ваше решение более безопасным с помощью инженерных практик.

    С чего начинается небезопасная разработка? Многие подумают, что с уязвимостей, которые допускают программисты в коде: переполнение массива в C++, cross-site scripting, торчащие наружу API. На самом деле подавляющее большинство эвине программистов, а по причине непродуманной архитектуры, недостатка документации, неконтролируемого изменения кода и деплоя.

    В этом выпуске поговорим о том, как сделать ваше решение более безопасным с помощью инженерных практик. Не будем погружаться в виды уязвимостей, а сосредоточимся на понятных действиях на уровне команды разработки.

    Целевая аудитория: программист, аналитик, тестировщик, ит-специалист любого профиля.