Нестримної гордості пост. Цього року Open Web Application Security Project (OWASP) виповнюється 20 років і наша компанія BSG є спонсором цієї історичної події.
Місія нашої компанії – допомагати нашим клієнтам розробляти безпечні та надійні системи. Для цього ми діємо безпосередньо – надаючи консалтингові послуги світового класу, і опосередковано – сприяючи розвитку професії та галузі кібербезпеки. І сьогодні я з гордістю повідомляю, що BSG є спонсором святкування 20-ї річниці OWASP – віртуальної глобальної події, що відбудеться 24 вересня 2021 року.
Продовжуємо рубрику “кухонні розмови CISSP”. Розвінчуємо 5 міфів про кібербезпеку середнього бізнесу та даємо 10 порад про першочергові дії з кіберзахисту.
Цей вебінар був відповіддю на слушні зауваження глядачів: мовляв, ви так цікаво все розповідаєте, але що конкретно? Справді, ми намагаємося уникати прямих рекомендацій вендорів та рішень з кібербезпеки, тому що ми ставимося до них дуже прискіпливо. Зрозумійте нас правильно, коли щодня знаходиш вразливості у софті та системах, обходячи заходи безпеки провідних постачальників моднявих кібервундервафель, дуже важко сприймати їх якось інакше. Проте, у нас теж є фаворити. І в цьому випуску ви про них почуєте.
Якщо раптом є питання, пишіть на [email protected] або залишайте їх на нашому новому вебсайті. Щоб залишатися в курсі наших активностей, підписуйтесь на наш блог та в соцмережах. Бережіться.
В пентестах додатків є одна велика проблема: показати клієнту, що була зроблена вся можлива робота. Threat Modeling Gamification оптимально її розв’язує.
Викладаю відео та слайди мого виступу “Threat Modeling Gamification” (in English) на зустрічі OWASP Kyiv минулої суботи. У доповіді йдеться про те, як команда BSG здійснює моделювання загроз в проєктах з тестування безпеки програмного забезпечення. В пентестах програмних додатків є одна велика проблема: показати клієнту, що була зроблена вся можлива робота, а не лише те, про що OWASP не забув написати у відповідному стандарті. Наш підхід цю проблему розв’язує і досить оптимально.
Цієї суботи на OWASP Kyiv штовхатиму за моделювання загроз в Application Security та тестах на проникнення. Хто думає що пентести то форма мистецтва і що моделювання загроз то нудно, хай так і думає. Більш просунутих запрошую доєднатися та обговорити тему в усіх подробицях.
– Назва Гейміфікація моделювання загроз for Fun and Profit
– Тези У цій доповіді я розповім, як наша команда (BSG) моделює загрози під час проєктів тестування безпеки для досягнення повноти покриття обсягу робіт. Ми використовуємо гейміфікацію для вдосконалення цього процесу, і я припускаю, що це набагато менш нудно, ніж ви очікуєте від сеансу моделювання загроз. Я поділюсь інструментами, якими ми користуємось, та загальним підходом до гри.
Я складаю повноваження лідера OWASP Kyiv та продовжую діяльність в OWASP як член OWASP Chapter Committee.
Трохи персональних новин. Відсьогодні я формально припиняю бути лідером Київського відділення OWASP та передаю цю роль команді, яка блискуче зарекомендувала себе за останні роки. Як співзасновник, керуватиме чаптером Ігор Блюменталь, а я продовжуватиму підтримувати діяльність відділення за лаштунками.
Паралельно я докладатиму зусиль до розвитку руху за безпеку програмного забезпечення як член OWASP. Всі спеціалісти BSG відтепер є членами цієї організації, а наша компанія нещодавно стала корпоративним членом.
Також, як учасник OWASP Chapter Committee, я братиму участь в формуванні політики OWASP Foundation щодо регіональних відділень та допомагатиму волонтерам з усього світу створювати чаптери та здійснювати їхню діяльність. Тому якщо у вас є бажання приєднатися до нашої глобальної тусовки – ласкаво прошу, ми з колегами завжди раді допомогти.
Тим часом триває підготовка до першої події OWASP Kyiv цього року: відділення шукає доповідачів та партнерів. Особисто я цього разу долучуся як доповідач, але в організації участі не братиму. Якщо бажаєте доєднатися з доповіддю або воркшопом, подайте заявку на виступ. Якщо хочете стати партнером заходу – повідомте про це Ігорю.
Якщо ви поняття не маєте, про що був цей допис, подивіться це відео 🙂
