Николай Хечумов на HighLoad++ 2024

Agile'ификация моделирования угроз в командах разработки

Безопасность

Доклад принят в программу конференции

Мнение Программного комитета о докладе

Уязвимости бизнес-логики одни из самых опасных и сложно-детектируемых. Однако, их может эффективно обнаруживать сама команда разработки, ещё на этапе проектирования. В докладе делается попытка обернуть моделирование угроз в приносящий практическую пользу и понятный для команд разработки процесс.

Целевая аудитория

Security-инженеры и руководители, строители Application Security и Awareness программ

Тезисы

Кратко:
Попробуем разобраться, как инструментально отлавливать уязвимости бизнес-логики максимально "слева", а самое главное — как обернуть это в понятный и ненасильственный для команд процесс.

Подробно в тезисах:
— Уязвимости бизнес-логики — самая неприятная история, которую не найти сканерами
— Отловить такие проблемы может и сама команда на ранних этапах планирования, не обязательно привлекать Security
— Моделирование угроз можно и нужно обернуть в процесс, а командам — дать инструменты, которыми они смогут пользоваться в своих Agile процессах
— Варианты процессов и инструментария: плюсы, минусы, опыт и обратная связь
— Как дальше этот процесс можно увязать: с чемпионами, с моделью зрелости команд, с оценкой рисков и адаптивностью проверок безопасности на гейтах

Николай Хечумов

Яндекс

Увлечён самим феноменом информации во всех его проявлениях.
С недавнего времени развиваю в Яндексе платформу статического анализа кода, а до этого 7 лет занимался построением AppSec-платформы в Авито.
Автор утилиты DeepSecrets, которая ищет секреты в коде не так, как другие.

Яндекс

Яндекс — технологическая компания, которая создаёт инновационные продукты на основе машинного обучения и нейронных сетей. Команда талантливых математиков и программистов развивает самую популярную в России поисковую систему и более 85 пользовательских сервисов, которые помогают людям в повседневных заботах.