❗️❗️❗️

Продолжая предыдущий пост…

Как уже отметил, тема безопасной разработки была одной из наиболее востребованных на конференции.

Прямо перед ней подготовили Чек-лист по выполнению требований п.29.3 Приказа ФСТЭК 239. Можно его еще рабочей тетрадью назвать 📝

В чек-листе есть рекомендации для субъектов КИИ ⚙️ и разработчиков ПО для ЗОКИИ 🔄.

Пользуйтесь! 🥸

p.s. будет круто, если после опыта использования вы оставите фидбэк в комментариях 👌

#devsecops #ибкво #асутп #кии

Руководство по безопасной разработке от DevSecOps Guides

Рассматривает следующие вопросы:
🔄 основные методики разработки
🔄 моделирование угроз
🔄 тестирование защищенности
🔄 безопасность инфраструктуры
🔄 выполнение требований
🔄 реагирование на инциденты

#devsecops #bestpractices

🔥 14 июня! Екатеринбург-Арена!
но можно и онлайн :)

Проведем семинар «Безопасная разработка ПО: Зачем нужен DevSecOps» 🌈

В фокусе семинара – подходы к построению безопасного процесса разработки ПО. Познакомим вас с лучшими практиками и методами в построении процессов безопасной разработки.

Никаких скучных докладов, только реальные кейсы. Расскажем командам разработки о проблемах безопасности, возникающих в процессе разработки ПО, поделимся лайфхаками, как их избежать, как быть заранее готовыми к аудитам, на что обращать внимание при проектировании и почему соблюдение требований по безопасной разработке нужно не "для галочки".

Будет только крутые спикеры с докладами в четырёх модулях! 😎 и ваш слуга в роли модератора 🥸

Дата и место проведения:
14 июня 2023 г., | 13:00-21:00
г. Екатеринбург, ул. Репина, 5, Екатеринбург Арена (конференц-зал) + онлайн


#ussc #devsecops

Уже в эту среду!

Оффлайн на Екатеринбург-Арене, а также трансляция онлайн 😎

Программа к семинару, можете уже готовить вопросы 🫡

#devsecops

Пожалуй, начнем рефлексировать)) Получилось сделать самое главное – конференция была экспертной🥸 Доклады действительно получились про примеры практик, наладку процессов и использование инструментария 🔥. Маркетинг, конечно, составляющая любой конференции, но, часто этого с перебором. Другие конференции выглядят как «съезд партии», этого тоже удалось избежать 😎

Выкладываю презентации с позволения спикеров:
🟡 Зачем нужен DevSecOps? Как это транслировать бизнесу? (вводный доклад от меня, Евгений Баклушин, УЦСБ)
🟡 Построение SSDLC в команде разработки (Михаил Савин, Михаил Ушаков, UDV Group)
🟡 Эффективность внедрения решения по управлению требованиями (Ольга Макарова, Антифишинг)
🟡 Пайплайн безопасной разработки. Плагины IDE (Лев Новоженин, Positive Technologies)
🟡 Аутентификация и авторизация в web и mobile application (Евгений Тодышев, УЦСБ)
🟡 Как мы встроили fuzzing тестирование на GO (Валерий Ведерников, UDV Group)
🟡 PolicyEngine в Kubernetes – что, как, зачем? (Сергей Канибор, Luntry)
🟡 Как уязвимости в коде приводили к инцидентам – разбор реальных кейсов (Даниил Кориненко, Антифишинг)

p.s. видеозапись находится на монтаже, скоро будет 😇

#devsecops

Последний пост про семинар (но это не точно).
Как и обещали публикуем ссылку на плейлист с записью докладов 🎥.
Есть несколько по ~50 минут. Данные ролики включают в себя сессии Q&A по модулям.

Сами презы можно забрать себе здесь.
В целом о семинаре здесь.

#devsecops

Пока обрабатываем материалы с RUSCADASEC CONF 👨‍💻 и IT IS Conf⭐️, продублирую свою презентацию с нашего июньского семинара по безопасной разработке.

Презентация содержит несколько тезисов, которые помогут транслировать бизнесу необходимость DevSecOps

#devsecops

Защита контейнерных сред
29 ноября 2023 - 11:00 (по Москве)

Расскажем, какие риски и угрозы нужно учесть при внедрении контейнерных сред. Какими российскими средствами можно защитить контейнерную инфраструктуру, каковы их функциональные возможности и уровень зрелости.

🖥 Угрозы и реальные примеры атак на контейнерные среды
🖥 Почему Kubernetes настолько популярен и как это влияет на его безопасность?
🖥 Какие элементы безопасности контейнеризации должны быть обеспечены в при внедрении DevSecOps?
🖥 Насколько контейнерные среды защищены из коробки?
🖥 Каковы ключевые ошибки в настройке и использовании Kubernetes с точки зрения безопасности?
🖥 Какие наложенные средства можно использовать для защиты контейнеров?

#container #devsecops

🟥Positive Technologies опубликовали собственную методологию безопасной разработки AppSec Table Top

Это штука, которую мы очень долго делали и кропотливо собирали. За последние 9 месяцев мы ее пересобрали с десяток раз, меняя переменные так, чтобы получилась правильная сумма. Где-то в сторонке нервно курит Synopsys с BSIMM'ом, и правильно делает

©️ Светлана Газизова, директор по построению процессов DevSecOps в Positive Technologies @AppSecJourney

#devsecops

📣 Jet Security Team опубликовали новый фреймворк JCSF по аудиту и защите контейнерной инфраструктуры!

Фреймворк позволяет провести аудит собственной контейнерной инфраструктуры и сформировать дорожную карту и конкретные действия по защите контейнеров.

В фреймворке 5 доменов:
📍безопасность узлов (nodes)
📍безопасность оркестратора (orchestrator)
📍безопасность образов (images)
📍безопасность манифестов (manifest)
📍безопасность контейнеров в runtime (container)

Фрейворк предлагает 5 уровней зрелости (от uninitiated до experts), а также "розу ветров" для визуализации текущего и целевого уровня по каждому из доменов

Мы считаем, что основная часть фреймворка JCSF должна быть публичным достоянием: общее описание абстракций, список контролей и их расположение на уровнях зрелости навсегда останутся общедоступными

#devsecops

ℹ️ Информационный пост

Впереди новая круглая цифра, поэтому напомню whoami🥸. Меня зовут Евгений Баклушин, в кибербезе и ИТ около 15 лет. Работал(ю) в Заказчике, госах, интеграторе и вендоре. Занимал(ю) позиции инженера, аналитика и менеджера.

🔥@BESSEC — основной канал про кибербез: стратегия развития ИБ, консалтинг, КИИ, АСУ ТП и комплаенс (в описании есть e-mail для связи и ссылка на канал про менеджмент)

Здесь можно найти много полезных материалов: исследования, книги, презентации, записи докладов. Специалист любого профиля найдет для себя пользу✔️

📎Полезные хэштеги: #threat #devsecops #business #education #meme #SOC #podcast #КИИ #АСУТП #ПДн #обзорзаконодательства

⭐️В закрепе можно найти мои собственные наиболее крутые презы, доклады и интервью

🎁 Каждую 1 000 подписчиков — розыгрыш книги, уже скоро будет новый!

🔎 Сертификат РБПО есть, а если найду?

Благодаря ФСТЭК России теперь для ПО СрЗИ допускается вместо отдельных сертификаций новых версий ПО сертифицировать весь конвейер разработки. Абсолютный плюс с точки зрения скорости выпуска сертифицированных релизов🏃‍♂️

Камрады из Swordfish Security совместно с сообществом FinDevSecОps поделятся опытом организации процесса РБПО в соответствии с требованиями ГОСТ 56939–2024

На вебинаре:
🤖Обязательно ли прохождение сертификации РБПО?
🤖Зачем проводить сертификацию процессов безопасной разработки ПО?
🤖ГОСТ 56939-2024: как проводится подготовка к сертификации?
🤖Опыт СберТеха: как пришли к решению, как готовились, с какими вызовами столкнулись при сертификации

🎁 Подарок всем участникам — чек-лист по сертификации процессов РБПО!

↗️Регистрация по ссылке
📍15 апреля в 14:00 (Мск)

#devsecops

Новое исследование К2 Кибербезопасность посвященное безопасности разработки и защите контейнеров🎮

Результаты выглядят довольно позитивно, что заставляет задуматься, т.к. по опыту есть довольно серьезный скепсис по реальному применению инструментов анализа безопасности приложений и объему внедренных процессов ⚙️ По контейнерам такого скепсиса скорее нет. Еще нет скепсиса по очень сильному росту потребности и заинтересованности в внедрении #devsecops в организациях. Правда видно, как от единичных запросов несколько лет назад пришли к постоянным коммуникациям с разными партнерами и заказчиками по этой теме🔼

В общем и целом рекомендую ознакомиться, сам отчет ниже⬇️

#отчет

🔶Карта инструментов безопасной разработки ПО от сообщества FinDevSecOps

Среди инструментов, представленных в Карте:
— SAST
— анализ поверхности атаки
— DAST
— MlSecOps - инструменты для организации безопасного жизненного цикла ИИ-систем

Для каждого инструмента приведены метаданные, включающие такие сведения как тип лицензии, наличие сертификата ФСТЭК, доступность на территории РФ, используемые методы обнаружения уязвимостей, форматы отчетов.

#devsecops

👴 BESSEC | 📲 MAX