Positive Hack Days — форум по кибербезопасности, объединяющий экспертов по ИБ и этичных хакеров со всего мира. В этом году он проходил в парке им. Горького 19 и 20 мая.
Сергей Волдохин рассказал о подходе People as Code, который позволяет определять параметры поведения людей и управлять рисками, связанными с поведением людей так же, как безопасность управляет рисками с другими цифровыми активами. Такой подход дает полную картину актуальных угроз и позволяет включить человеческий фактор в карту рисков. Оказалось, что людьми можно управлять так же просто, как конфигами Kubernetes.
Репозиторий People CMDB, о котором рассказывал Сергей. Это open-source инструмент, с помощью которого можно превратить сотрудников в цифровой актив.
Доклад Сергея:
Сергей Волдохин рассказал о подходе People as Code, который позволяет определять параметры поведения людей и управлять рисками, связанными с поведением людей так же, как безопасность управляет рисками с другими цифровыми активами. Такой подход дает полную картину актуальных угроз и позволяет включить человеческий фактор в карту рисков. Оказалось, что людьми можно управлять так же просто, как конфигами Kubernetes.
Репозиторий People CMDB, о котором рассказывал Сергей. Это open-source инструмент, с помощью которого можно превратить сотрудников в цифровой актив.
Доклад Сергея:
Артемий Богданов рассказал о том, как построить CTF для команд разработки, чтобы в игровом формате найти и воспитать секьюрити чемпионов. Сложность была в том, что все традиционные «хакерские» CTF не подошли для разработчиков и прочих не-безопасников. В итоге родился такой формат CTF, который максимально реалистично имитирует бизнес-логику приложений и даже целого интернет-банка, и в которую легко погрузить не специалистов.
И тут выяснилось, что разработчики, QA- и DevOps-инженеры, аналитики и тестировщики очень даже готовы попробовать себя в роли хакеров, если им рассказать важные детали и показать примеры на вводном семинаре, объяснить бизнес-логику и дать систему, максимально похожую на реальный банк.
Доклад Артемия:
И тут выяснилось, что разработчики, QA- и DevOps-инженеры, аналитики и тестировщики очень даже готовы попробовать себя в роли хакеров, если им рассказать важные детали и показать примеры на вводном семинаре, объяснить бизнес-логику и дать систему, максимально похожую на реальный банк.
Доклад Артемия: