Очень понравилось выступление Ивана, как, впрочем, и все остальные его доклады. Несмотря на интро Антона о том, что ожидается "технический хардкор", технотреша не было, а были очень правильные концептуальные вещи, которые применимы не только к WAF или Application Firewall-ам или к любым другим системам безопасности, но и к Безопасности, как процессу вообще, которые было бы полезно понимать не только "волосатым-бородатым-техно-гикам" но "пиджакам", занимающимся построением СУИБ на предприятии.
Было сказано, что намного эффективнее как можно лучше адаптироваться к защищаемому приложению, что с легкостью аппроксимируется на контекст - что надо очень хорошо "понимать" приложение, которое защищаешь, поскольку нечто среднее может (и будет) пропускать то, что сможет эффективно атаковать приложение и, вместе с тем, будет блокироваться то, что для приложения безвредно, однако полезно с точки зрения мониторингаисследования.
Особо перспективной показалась мысль о необходимости управления атаками, о том, что атаки надо не просто блокировать, а исследовать, поскольку эти данные можно (и нужно!) использовать для построения своей защиты, что для меня вложилось в СУИБ из operations-а . Действительно - абсолютно здравая мысль: если вы, например, Yandex , и ваши сервисы постоянно атакуют - глупо не использовать все эти данные. Зачем устраивать " Bounty программы " или нанимать пентестиров, чтобы вас ломали, если вас и так постоянно ломают? Исследуйте эти "шальные взломы", анализируйте трафик: если вас взломали - понимайте как и адаптируйтесь, если вас не поломали - по крайней мере вы подтвердили какую-то степень эффективности свой безопасности.
Думаю, будет запись, - рекомендую посмотреть.
Было сказано, что намного эффективнее как можно лучше адаптироваться к защищаемому приложению, что с легкостью аппроксимируется на контекст - что надо очень хорошо "понимать" приложение, которое защищаешь, поскольку нечто среднее может (и будет) пропускать то, что сможет эффективно атаковать приложение и, вместе с тем, будет блокироваться то, что для приложения безвредно, однако полезно с точки зрения мониторингаисследования.
Особо перспективной показалась мысль о необходимости управления атаками, о том, что атаки надо не просто блокировать, а исследовать, поскольку эти данные можно (и нужно!) использовать для построения своей защиты, что для меня вложилось в СУИБ из operations-а . Действительно - абсолютно здравая мысль: если вы, например, Yandex , и ваши сервисы постоянно атакуют - глупо не использовать все эти данные. Зачем устраивать " Bounty программы " или нанимать пентестиров, чтобы вас ломали, если вас и так постоянно ломают? Исследуйте эти "шальные взломы", анализируйте трафик: если вас взломали - понимайте как и адаптируйтесь, если вас не поломали - по крайней мере вы подтвердили какую-то степень эффективности свой безопасности.
Думаю, будет запись, - рекомендую посмотреть.
