Cybersecurity

Компьютерная безопасность

1
О чём
• Информационная безопасность
• Точнее – Компьютерная безопасность
• Или кибербезопасность (cybersecurity)

deteact.com 2
О чём
• Информационная безопасность
• Точнее – Компьютерная безопасность
• Или кибербезопасность (cybersecurity)
• Что с этим делать разработчику?
• Поэтому больше про безопасность приложений (application security)

deteact.com 3
Персональный опыт
• Слишком субъективен
• Хакинг как хобби – с детства (с ~2007)
• Специальность в универе – чистая математика (с 2008)
• Хакинг как профессия – после универа (с 2012)

deteact.com 4
Персональный опыт
• Слишком субъективен
• Хакинг как хобби – с детства (с ~2007)
• Специальность в универе – чистая математика (с 2008)
• Хакинг как профессия – после универа (с 2012)

• Индустрия слишком быстро меняется

• В 2022 возможности сильно отличаются от 2007
• Есть больше вариантов, нужны другие советы

deteact.com 5
Практическая ИБ
• Defensive Security
• Оборонительная безопасность
• Blue Team
• Offensive Security
• Наступательная безопасность
• Red Team

deteact.com 6
Практическая ИБ
• Информационная безопасность – не только компьютерная
• Много бумажек, а ещё физика
• Мы говорим о практической стороне
• Посмотрим с разных сторон

deteact.com 7
Нападаем или защищаемся?
• Defensive Security
• Оборонительная безопасность
• Blue Team

deteact.com 8
Нападаем или защищаемся?
• Defensive Security
• Оборонительная безопасность
• Blue Team

• Offensive Security
• Наступательная безопасность
• Red Team

deteact.com 9
Безопасность чего?
• Приложений
• SSDLC & DevSecOps
• Application Security (Testing)

deteact.com 10
Безопасность чего?
• Приложений
• SSDLC & DevSecOps
• Application Security (Testing)

• Инфраструктуры
• SOC & Monitoring
• Penetration Testing

deteact.com 11
Безопасная разработка
• Пойдём конкретнее
• Какие проблемы ИБ есть у разработчиков?

deteact.com 12
Безопасная разработка
• Пойдём конкретнее
• Какие проблемы ИБ есть у разработчиков?
• Высокая сложность – трудно думать об уязвимостях, надо писать код
• Много апдейтов – уязвимости могут возникать каждый день
• Много зависимостей – кромешный ад, не уследишь
• Нет автоматизации – сканеры находят только простейшие баги

deteact.com 13
AppSec-инженеры
• Аппсек-инженеры занимаются безопасностью приложений
внутри компании
• Что именно они делают?

deteact.com 14
AppSec-инженеры
• Аппсек-инженеры занимаются безопасностью приложений
внутри компании
• Что именно они делают?
• Разработка требований (ТЗ)
• Участие в проработке архитектуры приложения
• Помощь разработчикам для выбора подходов/библиотек
• Тестирование релизов
• Внедрение практик DevSecOps
• Поддержка процесса, автоматизация, мониторинг

deteact.com 15
AppSec-пентестеры
• Аппсек-пентестеры хакают приложения разных компаний и дают
рекомендации, как исправить уязвимости
• Что именно они делают?

deteact.com 16
AppSec-пентестеры
• Аппсек-пентестеры хакают приложения разных компаний и дают
рекомендации, как исправить уязвимости
• Что именно они делают?
• Blackbox-тестирование (веб-)приложений
• Аудит исходного кода (бекендов, фронтендов, мобилок, смарт-контрактов
и т. д.)
• Пост-эксплуатация, демонстрация уровня риска
• Автоматизация, сканирование уязвимостей
• Поиск вариантов исправления, разработка рекомендаций

deteact.com 17
Зачем разработчику эти знания?
• Разработчик, понимающий уязвимости:
• Имеет более широкий кругозор и понимание сути систем
• Будет писать более безопасный код
• Правильнее выберет подрядчиков на аудит и сможет принять их работы
• Имеет возможность переквалифицироваться в аппсек
• Может заняться разработкой security-продукта

deteact.com 18
Пригодится ли кодинг в аппсеке?
• Аппсек-инженер или пентестер, умеющий программировать:
• Имеет более широкий кругозор и понимание сути систем
• Лучше понимает, как исправлять уязвимости
• Лучше умеет читать код и разбираться в архитектуре
• Умеет автоматизировать свою деятельность, писать сканеры и т. д.
• Может заняться разработкой security-продукта

deteact.com 19
Что почитать?
• Люди любят копить ссылки и книжки
• Но лучше давать более конкретные советы

deteact.com 20
Что почитать?
• Люди любят копить ссылки и книжки
• Но лучше давать более конкретные советы
• Бесплатные уроки и лабы от создателей главного инструмента веб-
пентестеров: https://portswigger.net/web-security/learning-path
• Стандартная методология анализа защищённости веб-приложений:
https://owasp.org/www-project-web-security-testing-guide/
• Аналогично для мобильных:
https://owasp.org/www-project-mobile-security-testing-guide/

deteact.com 21
Что поделать?
• Порешать задачки и лабы
• https://web-kids20.forkbomb.ru/
• https://vk.com/@spbctf-ctf-for-beginners (CTF = Capture The Flag)
• https://hackthebox.eu/

• CTF – это хакерские соревнования

• «Спортивный» хакинг (для студентов и взрослых)
• Практические задачи олимпиадной сложности
• Очные мировые финалы в разных странах

deteact.com 22
Что поделать?
• Участвовать в Bug Bounty ($$$)
• https://hackerone.com/ (это самая крупная платформа)
• https://immunefi.com/ (это про блокчейн-продукты)

• Это отличная возможность попрактиковаться

• Причём на крупнейших компаниях в мире
• При этом заработать!
• Топ-челы зарабатывают сотни тысяч $ в год
• + крутое дополнение резюме

deteact.com 23
Что поделать?
• Поучаствовать в CTF в Махачкале!
• https://docs.google.com/forms/d/e/1FAIpQLSf61_nzhi_fvsTKmpeE-s9hWbizs
oXZErjBULK-TQ5F7q4vXQ/viewform

deteact.com 24
Questions?
beched@deteact.com

deteact.com 25