Доклады секции "Безопасность"

Какие механизмы беспарольной аутентификации можно встроить в PAM-систему: FIDO2, WebAuthn, одноразовые токены, биометрия, сертификаты. В чем риски безопасности и неудобство для пользователей паролей. Механизмы Passwordless (FIDO2/WebAuthn (аппаратные ключи), TOTP/push-токены, биометрия, сертификаты PKI). Реализация в PAM-системах: протоколы (SAML, OAuth), гибридные сценарии, управление жизненным циклом. Кейсы: банки (FIDO2), DevOps (сертификаты), корпорации (биометрия + TOTP).

Перевод платформы партнерских отношений МТС с устаревшего корпоративного SDK и корпоративного агента SSO на OAuth2/ OIDC с рефакторингом всей внутренней архитектуры безопасности.

Челленджи:
* 7 сценариев аутентификации, различающиеся типом принципала, флоу, ресурсом, способом управления сессией и т. д.;
* 2 IDP (OAuth2/OIDC) + различное легаси (формы, LDAP, HTTP Basic и т. п.) в одновременной работе;
* 2 собственных веб-ресурса и 10 смежных для различной аудитории, использующих платформенные функции;
* 2 технологических разворота и 4 года работы.

Расскажем:
- как мы поняли, что переделать нужно все;
- как мы искали и где находили способы решения наших задач;
- как, несмотря на приоритет бизнес-задач и долгосрочность проекта, мы не сбились с пути и прошли его до конца;
- какое легаси не только можно, но и нужно оставлять.

Погрузимся в архитектуру, OAuth2, микросервисы, рекомендации OWASP, немножко Spring.

Я начну свой доклад с краткого введения в веб-скрапинг: расскажу, что это, какие инструменты используются и как понять, что ваш сайт атакован.

После этого мы поговорим о базовых и продвинутых методах скрапинга и защите от них, в частности, об эмуляции браузера и анализе посетителей. Рассмотрим самые популярные методы верификации и их эффективность, а также такой способ защиты, как динамический контент.

Вторая часть доклада будет посвящена выявлению и предотвращению скрап-атак. Расскажу о комплексных решениях защиты, потенциале AI в этой сфере и поделюсь несколькими кейсами достойной защиты — как простыми (коды и CAPTCHA), так и сложными (rate limiting и внедрение системы детекции аномалий).

И конечно же, мы с вами обсудим прогнозы на ближайшее будущее! Предлагаю подискутировать не только об AI, но и о балансе безопасности и доступности инструментов и перспективах новых методов верификации.

До встречи!

Современный SOC (Security Operation Center) в BigTech-компании — это сотни систем, миллионы событий и десятки гигабайт событий в секунду. Не каждая SIEM-система способна выдержать такую нагрузку и легко масштабироваться под новые требования растущего бизнеса.

Расскажем, как нам удалось пересобрать систему, чтобы обрабатывать больше 2 млн событий в секунду и хранить суммарно больше 10 петабайт данных в сжатом виде, как мы пришли к идее создания потокового коррелятора на базе Apache Flink, как разработали DSL для написания правил на базе библиотеки Flink CEP и почему отказались от Flink SQL.

Рассмотрим:
* несколько живых актуальных CVE. Будут примеры реальных свежих CVE от момента ресерча до их эксплуатации;
* пример эксплуатации CVE без эксплоита (когда его нет в паблике);
* как оценивать CVE и какие параметры учитывать;
* ресурсы и сканеры, которые помогут выявить CVE.
Напоследок — пример 0DAY.

Доклад — продолжение темы про защиту от повреждения памяти. Если в первой части мы разобрали программные методы, то теперь настал черед железных аргументов в построении безопасных систем.

Мы разберемся, как новые поколения процессоров делают защиту неотъемлемой частью вычислений. Как эффективные, но неприемлемые из-за производительности программные подходы обретают новую жизнь в аппаратном исполнении. Что возможно одновременно получить и безопасность и не терять при этом производительность. И как в этом новом мире изменятся атакующие.

Но главное, обсудим, какую роль для безопасности имеет своя аппаратная платформа. Приходите — разберемся вместе.

Тема с Supply Chain уже который год не на слуху, закономерно развиваются и меры предотвращения таких атак. Одним из популярных фреймворков является SLSA, однако он достаточно абстрактен и не учитывает некоторые виды атак.

В докладе вы узнаете про фреймворк OSC&R, мы сравним его с SLSA и разберемся, какие конкретно атаки нам угрожают и что с этим делать.

Фаззинг API веб-приложений позволяет выявлять уязвимости, которые могут оставаться незамеченными при проведении статического анализа кода (SAST) или ручного анализа. В докладе будет рассмотрен наглядный пример.

Главная проблема фаззинга — это сбор данных. Для того чтобы выявить уязвимость, нужно собрать как можно больше входных точек, параметров запросов и — самое главное — поддерживать согласованность типов значений для этих параметров. В докладе рассмотрим различные источники, откуда можно добыть данные:
1. OpenAPI-спецификации,
2. Postman-коллекции,
3. proxy (BurpSuite, proxify),
4. логи (Elasticsearch),
5. данные команд нагрузочного тестирования (ammo для yandex-tank).

В качестве движка сканирования рассмотрим open source-инструмент от команды Project Discovery — nuclei, который поддерживает фаззинг и имеет community фаззинг-шаблоны. Рассмотрим, как конвертировать данные из упомянутых выше источников в формат, подходящий для nuclei, и запустить фаззинг.

1. Рост количества и значимости API, статистика по векторам атак.
2. Различия в эффективности позитивной и негативной модели защиты.
3. Зависимость скорости разработки приложения от системы защиты API.
4. Трехэтапный подход Вебмониторэкс к управлению и защите API, основанный на гибриде позитивной и негативной модели.
5. Эффект от внедрения в CI/CD конвейере высоконагруженных систем.
6. Иллюстрация на примере кейса внедрения в СберАвто.

Мир цифровой безопасности полон хороших намерений... и плохих интерфейсов.
Мы привыкли к тому, что безопасность — это сложно, запутанно и раздражающе.
Но что, если дело не в самой безопасности, а в том, как мы ее проектируем?

В этом докладе мы на своем и мировом опыте разберем 3 ключевых принципа, которые помогают создавать безопасные, но человечные интерфейсы. Мы покажем, где проходит граница между честной защитой и темными UX-паттернами, и как не скатиться в «анти-UX», даже если очень хочется все зашифровать, закрыть и запретить.

Доклад будет полезен как участникам продуктовых команд — они поймут, как стоит проектировать и разрабатывать свои приложения, — так и безопасникам, которых мы постараемся уберечь от over-engineering’а вверенных им сервисов!