Цепочка поставок как угроза: как контролировать риски стороннего ПО
В эпоху атак через доверенные каналы — от SolarWinds до Log4Shell — больше нельзя полагаться только на внутренние меры безопасности. Сегодня говорим о том, как защищать инфраструктуру, если угроза уже внутри — в сторонних библиотеках, модулях и интеграциях. 📍 В эфире: – Как выбирать вендоров и проверять зрелость их процессов – Как работать с SBOM: что это, как запросить и что делать дальше – Почему выход вендора на Bug Bounty — маркер доверия – Как выстроить инвентаризацию и классификацию ПО – Как действовать, если у поставщика найдена критическая уязвимость – Что делать, если отказаться от небезопасного ПО невозможно – Кто в компании отвечает за контроль стороннего ПО — ИБ, ИТ, DevOps? 💡 Практика, кейсы, стратегии — для тех, кто отвечает за внедрение, эксплуатацию и защиту программного обеспечения. ⭐️ Модератор: Илья Шабанов, генеральный директор АМ Медиа 🗣️ Спикеры: 1. Алексей Смирнов, основатель и генеральный директор, CodeScoring 2. Павел Ашарин, сооснователь компании RebrandyCo 3. Андрей Абашев, руководитель по направлению методологии и развития ИБ, «ПАО ГМК «Норильский никель» 4. Илья Борисов, директор департамента защиты данных, Билайн 5. Анастасия Калугина, руководитель направления безопасной разработки и инфраструктуры, ИнфоТеКС 6. Александр Лысенко, ведущий эксперт по безопасной разработке, К2 Кибербезопасность Тайм-коды: 00:06:56 Введение 00:21:14 Open Source и безопасность 00:22:32 Дискриминация российских программистов 00:23:39 Open Source и вендерские процессы 00:25:51 Безопасность в Open Source 00:28:29 Статистика уязвимостей в опенсорсе 00:30:11 Транзитивные уязвимости 00:32:23 Примеры инцидентов 00:35:11 Баланс доверия и стоимости в информационной безопасности 00:35:48 Роль коммунальных сервисов и безопасных репозиториев 00:36:15 Ошибки в подходе к информационной безопасности 00:37:49 Процесс управления рисками 00:39:38 Разграничение бизнес-рисков и рисков информационной безопасности 00:40:09 Комплексный подход к защите 00:42:00 Проблемы с подрядчиками и цепочкой поставок 00:43:52 Примеры уязвимостей и человеческий фактор 00:46:24 Контроль цепочек поставок 00:47:15 Комплексный подход к безопасности 00:49:23 Проверка безопасности закупаемого ПО 00:50:23 Проблемы аудита поставщиков 00:54:00 Общие требования к поставщикам 00:56:03 Цели компании как заказчика 00:57:58 Сертификация по ГОСТу 00:59:41 Сложности обеспечения безопасности в крупных организациях 01:00:34 Международные стандарты и сертификация 01:01:27 Верификация процессов разработки 01:03:09 Обязательность сертификации 01:05:05 Риски и гарантии 01:06:42 Требования к заказной разработке 01:10:16 Критерии выбора поставщиков 01:12:15 Эффективность требований 01:13:15 Ущерб от утечек данных 01:18:22 Рекомендации по оценке рисков 01:20:00 Критерии оценки поставщиков 01:23:04 Доверие к поставщикам 01:25:45 Композиционный анализ 01:27:00 Проверка безопасности программного обеспечения 01:28:14 Проблемы с устаревшим ПО 01:29:38 Уязвимости в необновляемых продуктах 01:32:11 Экономические аспекты безопасной разработки 01:34:39 Роль крупных компаний в развитии поставщиков 01:37:08 Безопасность как метрика качества 01:37:23 Требования к разработчикам в сфере КИИ 01:39:52 Модель угроз и безопасная разработка 01:40:35 Оценка безопасности ПО 01:41:32 Минимизация поверхности атаки 01:42:27 Избыточный код и баланс рисков 01:43:23 Инвентаризация и продуктовый каталог 01:45:40 Хардинг инфраструктуры 01:47:13 Бизнес-подход к безопасности 01:50:30 Ограничения сканирования уязвимостей 01:52:46 Композиционный анализ и моделирование угроз 01:53:10 Уязвимости и их эксплуатация 01:54:08 Проблемы с исправлением уязвимостей 02:01:35 Статические и динамические анализы 02:03:35 Моделирование угроз и конфигурирование 02:06:03 Усложнение процесса взлома 02:07:09 Обновление программного обеспечения 02:08:53 Преимущества автоматизации 02:10:39 Проблемы с устаревшим ПО 02:16:45 Разделение обновлений по каналам 02:20:44 Качественный сет-менеджмент 02:21:40 Риски и безопасность 02:23:54 Требования к подрядчикам 02:24:24 Риски в облачной инфраструктуре 02:26:08 Непрерывность поставок 02:27:10 Векторы атак 02:30:10 Проблемы безопасности в цепочке поставок 02:31:08 Культура безопасной разработки 02:32:03 Статистика уязвимостей 02:34:13 Риски использования сенсоров 02:35:37 Человеческий фактор и доверие 02:37:39 Заключение Смотрите запись прямо сейчас!
В эпоху атак через доверенные каналы — от SolarWinds до Log4Shell — больше нельзя полагаться только на внутренние меры безопасности. Сегодня говорим о том, как защищать инфраструктуру, если угроза уже внутри — в сторонних библиотеках, модулях и интеграциях. 📍 В эфире: – Как выбирать вендоров и проверять зрелость их процессов – Как работать с SBOM: что это, как запросить и что делать дальше – Почему выход вендора на Bug Bounty — маркер доверия – Как выстроить инвентаризацию и классификацию ПО – Как действовать, если у поставщика найдена критическая уязвимость – Что делать, если отказаться от небезопасного ПО невозможно – Кто в компании отвечает за контроль стороннего ПО — ИБ, ИТ, DevOps? 💡 Практика, кейсы, стратегии — для тех, кто отвечает за внедрение, эксплуатацию и защиту программного обеспечения. ⭐️ Модератор: Илья Шабанов, генеральный директор АМ Медиа 🗣️ Спикеры: 1. Алексей Смирнов, основатель и генеральный директор, CodeScoring 2. Павел Ашарин, сооснователь компании RebrandyCo 3. Андрей Абашев, руководитель по направлению методологии и развития ИБ, «ПАО ГМК «Норильский никель» 4. Илья Борисов, директор департамента защиты данных, Билайн 5. Анастасия Калугина, руководитель направления безопасной разработки и инфраструктуры, ИнфоТеКС 6. Александр Лысенко, ведущий эксперт по безопасной разработке, К2 Кибербезопасность Тайм-коды: 00:06:56 Введение 00:21:14 Open Source и безопасность 00:22:32 Дискриминация российских программистов 00:23:39 Open Source и вендерские процессы 00:25:51 Безопасность в Open Source 00:28:29 Статистика уязвимостей в опенсорсе 00:30:11 Транзитивные уязвимости 00:32:23 Примеры инцидентов 00:35:11 Баланс доверия и стоимости в информационной безопасности 00:35:48 Роль коммунальных сервисов и безопасных репозиториев 00:36:15 Ошибки в подходе к информационной безопасности 00:37:49 Процесс управления рисками 00:39:38 Разграничение бизнес-рисков и рисков информационной безопасности 00:40:09 Комплексный подход к защите 00:42:00 Проблемы с подрядчиками и цепочкой поставок 00:43:52 Примеры уязвимостей и человеческий фактор 00:46:24 Контроль цепочек поставок 00:47:15 Комплексный подход к безопасности 00:49:23 Проверка безопасности закупаемого ПО 00:50:23 Проблемы аудита поставщиков 00:54:00 Общие требования к поставщикам 00:56:03 Цели компании как заказчика 00:57:58 Сертификация по ГОСТу 00:59:41 Сложности обеспечения безопасности в крупных организациях 01:00:34 Международные стандарты и сертификация 01:01:27 Верификация процессов разработки 01:03:09 Обязательность сертификации 01:05:05 Риски и гарантии 01:06:42 Требования к заказной разработке 01:10:16 Критерии выбора поставщиков 01:12:15 Эффективность требований 01:13:15 Ущерб от утечек данных 01:18:22 Рекомендации по оценке рисков 01:20:00 Критерии оценки поставщиков 01:23:04 Доверие к поставщикам 01:25:45 Композиционный анализ 01:27:00 Проверка безопасности программного обеспечения 01:28:14 Проблемы с устаревшим ПО 01:29:38 Уязвимости в необновляемых продуктах 01:32:11 Экономические аспекты безопасной разработки 01:34:39 Роль крупных компаний в развитии поставщиков 01:37:08 Безопасность как метрика качества 01:37:23 Требования к разработчикам в сфере КИИ 01:39:52 Модель угроз и безопасная разработка 01:40:35 Оценка безопасности ПО 01:41:32 Минимизация поверхности атаки 01:42:27 Избыточный код и баланс рисков 01:43:23 Инвентаризация и продуктовый каталог 01:45:40 Хардинг инфраструктуры 01:47:13 Бизнес-подход к безопасности 01:50:30 Ограничения сканирования уязвимостей 01:52:46 Композиционный анализ и моделирование угроз 01:53:10 Уязвимости и их эксплуатация 01:54:08 Проблемы с исправлением уязвимостей 02:01:35 Статические и динамические анализы 02:03:35 Моделирование угроз и конфигурирование 02:06:03 Усложнение процесса взлома 02:07:09 Обновление программного обеспечения 02:08:53 Преимущества автоматизации 02:10:39 Проблемы с устаревшим ПО 02:16:45 Разделение обновлений по каналам 02:20:44 Качественный сет-менеджмент 02:21:40 Риски и безопасность 02:23:54 Требования к подрядчикам 02:24:24 Риски в облачной инфраструктуре 02:26:08 Непрерывность поставок 02:27:10 Векторы атак 02:30:10 Проблемы безопасности в цепочке поставок 02:31:08 Культура безопасной разработки 02:32:03 Статистика уязвимостей 02:34:13 Риски использования сенсоров 02:35:37 Человеческий фактор и доверие 02:37:39 Заключение Смотрите запись прямо сейчас!