Команда Anti-Malware.ru приглашает на онлайн-конференцию "Защита от атак на цепочку поставок". Мероприятие состоится 27 июня (пятница) в 15:00 (МСК) и продлится 2 часа.
Своё программное обеспечение можно разрабатывать по лучшим практикам РБПО. А что насчёт чужого? В эпоху SolarWinds, 3CX и массового использования сторонних компонентов вопрос доверия к вендору — вопрос выживания. Компании всё чаще становятся жертвами, даже не подозревая, что источник угрозы уже давно установлен и работает внутри инфраструктуры.
Вторая часть эфира посвящена защите от атак на цепочку поставок: как оценивать зрелость поставщика, запрашивать и проверять SBOM, обрабатывать уязвимости и контролировать доступ стороннего ПО к конфиденциальным данным. Обсудим реальные сценарии, когда вендор уходит с рынка или отказывается чинить баги, — и что с этим делать. Если вы закупаете, внедряете или эксплуатируете ПО — обязательно включайтесь.
Ключевые вопросы дискуссии:
- Выбор безопасного поставщика программного обеспечения
- Как выбирать поставщика ПО с точки зрения информационной безопасности?
- Чему нас научили инциденты типа SolarWinds, Codecov, Log4Shell и другие?
- Есть ли практика проведения внешнего аудита или пентестов приобретаемого ПО?
- Какие стандарты или фреймворки должны использоваться у потенциального поставщика?
- Как проверить наличие у вендора политики безопасной разработки?
- Требовать ли у поставщика SBOM (Software Bill of Materials)? Как его проанализировать?
- Как оценить риски от open source компонентов в стороннем ПО?
- Выход вендора на Bug Bounty — это явный плюс при выборе в закупках?
- Как контролировать доступы стороннего ПО к чувствительным данным и API?
- Какую систему классификации и инвентаризации стороннего ПО стоит использовать?
- Управление сторонним ПО с позиции ИБ
- Что делать, если у нас 50 поставщиков ПО? Как приоритизировать усилия по проверке при ограничении ресурсов?
- Как проверять происхождение и подписи бинарных файлов?
- Что делать, если нет уверенности в стороннем ПО, но отказаться от него нельзя?
- Требовать ли у вендора уведомление о найденных уязвимостях?
- Как быстро вендор обязан реагировать на обнаруженные уязвимости?
- Каким должен быть процесс валидации обновлений стороннего ПО?
- Кто в компании должен отвечать за «чистоту» стороннего ПО — ИБ, ИТ или DevOps?
- Как быть с наследуемым ПО, проверить или поднять уровень безопасности которого не представляется возможным?
- Случилось самое плохое. У поставщика нашлась критическая уязвимость или произошел инцидент — как нужно действовать?
- Итоги и прогнозы
- Какие сценарии атак через цепочку поставок будут набирать обороты?
- Какие меры могут проявить российские организации для проактивной минимизации рисков атак через поставщиков?
- Что должно поменяться в индустрии ИТ, чтобы цепочки поставок стали безопаснее?
Приглашенные эксперты:
|
|
Алексей Смирнов Основатель и генеральный директор, CodeScoring |
|
|
Андрей Абашев Руководитель по направлению методологии и развития ИБ, «ПАО ГМК «Норильский никель» |
|
|
Павел Ашарин Сооснователь компании RebrandyCo |
|
|
Анастасия Калугина Руководитель направления безопасной разработки и инфраструктуры, ИнфоТеКС |
|
|
Илья Борисов Директор департамента защиты данных, Билайн |
|
|
Александр Лысенко Ведущий эксперт по безопасной разработке, К2 Кибербезопасность |
Модераторы:
|
|
Илья Шабанов Генеральный директор АМ Медиа |