Работайте офлайн с приложением Player FM !
Отрази атаку. Part II
Manage episode 328278373 series 3056262
Гость — Алексей Морозов, руководитель отдела процессов AppSec в Тинькофф.
О чём болтаем?
Раскладываем по полочкам, как работают инструменты статического и динамического анализа — SAST и DAST, и зачем найденные при помощи анализаторов уязвимости нужно проверять еще и в ручном режиме. Обсуждаем градацию критичности уязвимостей, способы их обнаружения и механику устранения. Выясняем, где грань между white hat и black hat хакерами. И самое важное: помним, что есть два типа компаний — которым нужна безопасность и которые еще не доросли до того, что она им нужна — то есть не столкнулись с хакерами.
Ссылки:
Доклад Алексея Морозова: https://www.youtube.com/watch?v=z8GHPnbitQA
Таймкоды:
0:33 О чем болтаем?
1:17 Кто такой Алексей Морозов
2:40 Чем занимается команда AppSec
3:53 Как организована работа команды AppSec
5:42 Направления работы AppSec и взаимодействие с командами
7:46 Как внедрять проверки безопасности в свой рабочий процесс
12:43 Большая ли нагрузка у членов команды AppSec
14:14 Как ковид нагрузил безопасность
15:52 Можно ли полностью автоматизировать проверки безопасности, и что такое DAST
20:40 Результат прохождения DAST может заблокировать релиз?
21:43 Градация критичности уязвимостей
24:19 Источники уязвимостей и как их обнаружить
25:32 О том, как внутри Тинькофф сотрудники могут заработать на обнаружении уязвимости
26:57 Как высчитывается стоимость уязвимости и стоимость ее исправления
27:47 Что если в проект подложили вредоносный код
31:22 Про механику уязвимости log4shell
32:55 Какими бывают хакеры
36:28 Краткая инструкция для команд разработки
38:14 Памятка пользователю — как не допустить утечку персональных данных
41:26 Блиц
Канал IT’s Tinkoff в Телеграме: https://t.me/itstinkoff
Больше про карьеру в IT в Тинькофф: https://l.tinkoff.ru/about-it-career
43 эпизодов
Manage episode 328278373 series 3056262
Гость — Алексей Морозов, руководитель отдела процессов AppSec в Тинькофф.
О чём болтаем?
Раскладываем по полочкам, как работают инструменты статического и динамического анализа — SAST и DAST, и зачем найденные при помощи анализаторов уязвимости нужно проверять еще и в ручном режиме. Обсуждаем градацию критичности уязвимостей, способы их обнаружения и механику устранения. Выясняем, где грань между white hat и black hat хакерами. И самое важное: помним, что есть два типа компаний — которым нужна безопасность и которые еще не доросли до того, что она им нужна — то есть не столкнулись с хакерами.
Ссылки:
Доклад Алексея Морозова: https://www.youtube.com/watch?v=z8GHPnbitQA
Таймкоды:
0:33 О чем болтаем?
1:17 Кто такой Алексей Морозов
2:40 Чем занимается команда AppSec
3:53 Как организована работа команды AppSec
5:42 Направления работы AppSec и взаимодействие с командами
7:46 Как внедрять проверки безопасности в свой рабочий процесс
12:43 Большая ли нагрузка у членов команды AppSec
14:14 Как ковид нагрузил безопасность
15:52 Можно ли полностью автоматизировать проверки безопасности, и что такое DAST
20:40 Результат прохождения DAST может заблокировать релиз?
21:43 Градация критичности уязвимостей
24:19 Источники уязвимостей и как их обнаружить
25:32 О том, как внутри Тинькофф сотрудники могут заработать на обнаружении уязвимости
26:57 Как высчитывается стоимость уязвимости и стоимость ее исправления
27:47 Что если в проект подложили вредоносный код
31:22 Про механику уязвимости log4shell
32:55 Какими бывают хакеры
36:28 Краткая инструкция для команд разработки
38:14 Памятка пользователю — как не допустить утечку персональных данных
41:26 Блиц
Канал IT’s Tinkoff в Телеграме: https://t.me/itstinkoff
Больше про карьеру в IT в Тинькофф: https://l.tinkoff.ru/about-it-career
43 эпизодов
Все серии
×Добро пожаловать в Player FM!
Player FM сканирует Интернет в поисках высококачественных подкастов, чтобы вы могли наслаждаться ими прямо сейчас. Это лучшее приложение для подкастов, которое работает на Android, iPhone и веб-странице. Зарегистрируйтесь, чтобы синхронизировать подписки на разных устройствах.