КОД ИБ: информационная безопасность

Код ИБ ПРОФИ — точка притяжения самых топовых экспертов 🔥

Продолжаем раскрывать подробности программы практикума ПРОФИ | Кавказ. Оставайтесь на связи, чтобы не пропустить всю актуальную информацию 👇🏻

Денис Макрушин, Chief Product Officer продуктов безопасной разработки в Яндексе, проведет мастер-класс "Код не в ИБ: как атакуют и спасают разработчика"

О мастер-классе:
Атаки на цепочку поставок становятся причиной проникновения в компанию, которая занимается разработкой продукта. Манипулирование зависимостями в SDLC позволяет злоумышленникам массово получать доступ к рабочим станциям разработчиков, интеллектуальной собственности и дальше распространять вредоносный код.

Мы изучили нетривиальные векторы атак в популярных платформах для разработки и проанализировали структуру зависимостей в пакетных менеджерах. Итогом исследования стало определение масштабов угрозы: более 1000 скомпрометированных репозиториев.

В мастер-классе на примере реальных кейсов мы рассмотрим эффективные тактики и инструменты атакующих. В результате определим практические меры, позволяющие CISO снизить риски для конвейера разработки. А также рассмотрим, как в этой задаче им помогает и мешает LLM.

План мастер-класса:
1. Введение в проблему: обзор современных угроз, связанных с атаками на цепочку поставок и манипуляциями с зависимостями в SDLC.
2. Анализ векторов атак: изучение нетривиальных векторов атак на популярные платформы для разработки и анализ структуры зависимостей в пакетных менеджерах.
3. Масштабы угрозы: представление результатов исследования, выявившего более 1000 скомпрометированных репозиториев.
4. Реальные кейсы: рассмотрение эффективных тактик и инструментов атакующих на примере реальных кейсов.
5. Практические меры: определение мер для снижения рисков в конвейере разработки, которые могут быть внедрены в практику CISO.
6. Роль языковых моделей (LLM): обсуждение того, как LLM могут помогать или мешать в задачах обеспечения безопасности разработки.

Что получат участники:
— Понимание современных угроз, связанных с атаками на цепочку поставок и манипуляциями с зависимостями в SDLC.
— Знания о нетривиальных векторах атак и способах их выявления.
— Практические рекомендации по защите конвейера разработки от подобных угроз.
— Опыт использования языковых моделей (LLM) для обеспечения безопасности разработки.

О спикере:
• Ранее в роли технического директора компании "МТС" отвечал за развитие продуктов и технологическую стратегию в направлении кибербезопасности.
• До этого на позиции директора технологического центра в Huawei реализовывал программы перспективных исследований и разработок для ключевых продуктов в сфере телекоммуникации, хранения данных и облачных вычислений.
• Выпускник факультета информационной безопасности НИЯУ МИФИ. Регулярно делится исследованиями в авторском канале.

Please open Telegram to view this post

VIEW IN TELEGRAM

❤3🔥2✍1👍1

www.tgoop.com/codeibnews/3259

876 viewsFeb 26 at 10:39

Код ИБ ПРОФИ — точка притяжения самых топовых экспертов 🔥

Продолжаем раскрывать подробности программы практикума ПРОФИ | Кавказ. Оставайтесь на связи, чтобы не пропустить всю актуальную информацию 👇🏻

Денис Макрушин, Chief Product Officer продуктов безопасной разработки в Яндексе, проведет мастер-класс "Код не в ИБ: как атакуют и спасают разработчика"

О мастер-классе:
Атаки на цепочку поставок становятся причиной проникновения в компанию, которая занимается разработкой продукта. Манипулирование зависимостями в SDLC позволяет злоумышленникам массово получать доступ к рабочим станциям разработчиков, интеллектуальной собственности и дальше распространять вредоносный код.

Мы изучили нетривиальные векторы атак в популярных платформах для разработки и проанализировали структуру зависимостей в пакетных менеджерах. Итогом исследования стало определение масштабов угрозы: более 1000 скомпрометированных репозиториев.

В мастер-классе на примере реальных кейсов мы рассмотрим эффективные тактики и инструменты атакующих. В результате определим практические меры, позволяющие CISO снизить риски для конвейера разработки. А также рассмотрим, как в этой задаче им помогает и мешает LLM.

План мастер-класса:
1. Введение в проблему: обзор современных угроз, связанных с атаками на цепочку поставок и манипуляциями с зависимостями в SDLC.
2. Анализ векторов атак: изучение нетривиальных векторов атак на популярные платформы для разработки и анализ структуры зависимостей в пакетных менеджерах.
3. Масштабы угрозы: представление результатов исследования, выявившего более 1000 скомпрометированных репозиториев.
4. Реальные кейсы: рассмотрение эффективных тактик и инструментов атакующих на примере реальных кейсов.
5. Практические меры: определение мер для снижения рисков в конвейере разработки, которые могут быть внедрены в практику CISO.
6. Роль языковых моделей (LLM): обсуждение того, как LLM могут помогать или мешать в задачах обеспечения безопасности разработки.

Что получат участники:
— Понимание современных угроз, связанных с атаками на цепочку поставок и манипуляциями с зависимостями в SDLC.
— Знания о нетривиальных векторах атак и способах их выявления.
— Практические рекомендации по защите конвейера разработки от подобных угроз.
— Опыт использования языковых моделей (LLM) для обеспечения безопасности разработки.

О спикере:
• Ранее в роли технического директора компании "МТС" отвечал за развитие продуктов и технологическую стратегию в направлении кибербезопасности.
• До этого на позиции директора технологического центра в Huawei реализовывал программы перспективных исследований и разработок для ключевых продуктов в сфере телекоммуникации, хранения данных и облачных вычислений.
• Выпускник факультета информационной безопасности НИЯУ МИФИ. Регулярно делится исследованиями в авторском канале.