7 фич AppSec.Hub, без которых не обойтись в 2025 году

Команда AppSec.Hub продолжает развивать платформу, чтобы вы могли эффективнее управлять безопасностью приложений — от масштабируемости до триажа.

🔥Рассказываем про 7 ключевых функций, которые делают продукт особенно актуальным в 2025 году:

1️⃣ Отказ от Jenkins в роли hub-engine-manager
Платформа теперь самостоятельно управляет очередями и агентами, обеспечивая полный контроль процессов. Это улучшает безопасность, снижает зависимость от внешней инфраструктуры и позволяет гибко масштабировать решение в зависимости от нагрузки.

2️⃣ Интеграция с AppSec.Track OSA
Расширяет функциональные возможности платформы: теперь вы можете централизованно управлять исключениями и поддерживать экосистему с минимальными затратами ресурсов.

3️⃣ Запрос на смену статуса сработки
Новая модель коммуникации между разработчиками и специалистами по безопасности снижает барьеры, помогает в обучении младших коллег и упрощает контроль качества решений, принятых в рамках триажа.

4️⃣ Архивация и удаление уязвимостей
Позволяет сосредоточиться на действительно важных и актуальных рисках. Устранение информационного шума повышает производительность команды.

5️⃣ Автоматическое закрытие и переоткрытие дефектов
Теперь исправления подтверждаются автоматически, а любые несоответствия в статусах сразу привлекают внимание — благодаря этому исключается ручной контроль и минимизируется человеческий фактор.

6️⃣ Правила для групп корреляции
Гибкая логика обработки уязвимостей позволяет настраивать их статусы в зависимости от истории триажа, а также автоматически создавать дефекты по подтвержденным проблемам. Это упрощает процесс принятия решений и структурирует работу команды.

7️⃣ Cloud-ready решение
Платформа масштабируется горизонтально, что особенно важно для распределенных команд и высоконагруженных CI/CD-конвейеров. Высокая производительность сохраняется даже при росте количества сканирований и данных.

#AppSecHub #ASPM #AppSec_FAQ

AppSec Solutions на форуме «Технологии доверенного ИИ 2025»

Как защищать алгоритмы и вписывать ИИ в DevSecOps? Ответят эксперты 20 мая в Москве в кластере «Ломоносов», ИНТЦ МГУ «Воробьёвы горы».

На форуме ТДИИ-2025 соберутся представители Минцифры РФ, ИСП РАН, ФСТЭК и других ключевых структур, чтобы обсудить:

▶️ этичное и безопасное развитие ИИ
▶️ борьбу с дипфейками и генеративными атаками
▶️ внедрение ИИ в госсектор, медицину и образование

Антон Башарин, старший управляющий директор AppSec Solutions, выступит в секции «Атаки на системы ИИ и методы защиты» с докладом «DevSecOps 2.0: Будущее безопасности и разработки в эпоху ИИ».

🗓 14:30–16:10, зал «Молекула»

Эксперт расскажет о типах атак на нейросети, объяснит, как встроить ИИ в DevSecOps-процессы, какие задачи можно автоматизировать, и какие решения уже сейчас помогают анализировать безопасность моделей и защищать их от уязвимостей.

Регистрируйтесь и присоединяйтесь — будет интересно!

#AppSec_Мероприятия

Пиратские приложения для ТВ-приставок могут содержать вредоносный код

Исследование Стингрей показывает: уязвимостей в ТВ-приложениях не меньше, чем в мобильных. Только риски — куда серьезнее.

Пиратские приложения для ТВ-приставок могут содержать зловредный код, который в дальнейшем проникает во всю систему. Особенно уязвимы приставки с root-доступом, которые часто встречаются в Android-устройствах. Их пользователи сильнее подвержены угрозам безопасности по части личных данных и других приложений — особенно, если они были установлены из неофициальных источников.

В каком-либо из установленных приложений может содержаться дополнительный функционал, позволяющий хакерам получить удаленный доступ к устройству и сделать его, например, частью ботнет-сети или заполучить аккаунт официального приложения, к которому привязана банковская карта пользователя.

— поделился Юрий Шабалин, директор по продукту «Стингрей» в интервью РИА Новости.

💡Совет от эксперта: скачивайте приложения только из официальных магазинов. И не отключайте встроенные меры безопасности.

#AppSec_исследование

🐴 Троян в коде: чем опасны AI-агенты

Искусственный интеллект уже стал неотъемлемой частью бизнес-процессов, но вместе с возможностями приходят и риски.

По данным Национального центра искусственного интеллекта при Правительстве России, 43% российских компаний используют искусственный интеллект в своей работе, но только у 36% есть хотя бы минимальные политики безопасности в этой области. Злоумышленники справедливо полагают, что ИИ стал уязвимым местом, и активно этим пользуются.

— отметил Антон Башарин, старший управляющий директор AppSec Solutions.

AI-агентов можно «отравить» данными, перегрузить, использовать для каскадных атак или внедрения бэкдоров. Без политики безопасности и контроля такие инструменты превращаются в идеальную точку входа, становясь своего рода «троянским конем».

💡 Совет от эксперта:

Подход к ИИ должен быть таким же, как к любым цифровым сервисам. Безопасность по умолчанию, инструментальный аудит, регулярная проверка архитектуры. MLSecOps — не мода, а необходимость.

➡️ Подробнее рассказали на CNews.

Как уязвимость в AI-ассистентах открывает доступ к почте

На Хабре вышла новая статья Юрия Шабалина, директора продукта Стингрей. Он обнаружил типовую, но опасную ошибку, которую копируют из туториалов по созданию персонального AI-ассистента. Оказалось, что из-за одной неявной настройки можно случайно открыть доступ к почте, календарю, контактам и другим персональным данным.

➡️ Читайте статью на Хабре и смотрите видео Юрия о том, как используется эта уязвимость.

👍 Если вы создаете собственного AI-агента, не важно на какой платформе — не забудьте проверить его на типичные уязвимости, особенно связанные с LLM. Проявите бдительность, и ваши «Джарвисы» будут служить именно вам, а не посторонним.

#Экспертиза_AppSec

AppSec Solutions на IT IS conf уже завтра

🎙 19 июня в 17:30 на конференции IT IS conf Антон Башарин, старший управляющий директор AppSec Solutions, выступит с докладом «ASPM в цифрах, или почему без помощи искусственного интеллекта не обойтись».

О чем расскажем:

🔹 Как с помощью искусственного интеллекта автоматизировать и ускорить обработку уязвимостей

🔹 Как языковые модели (Large Language Models) и обучение с подкреплением (Reinforcement Learning) обеспечивают более точный триаж

🔹 Почему интеграция платформы ASPM с ИИ — это следующий шаг в развитии процессов ИБ

IT IS conf — конференция о трендах в ИТ и ИБ, на которой эксперты обсуждают комплексный подход к кибербезопасности и современные технологии.

➡️ До встречи в Екатеринбурге или подключайтесь к прямой трансляции мероприятия!

#AppSec_Мероприятия

⚠️ Крупнейшая утечка паролей в истории

О чём речь: Сегодня стало известно о самой крупной утечке паролей за всю историю интернета. В распоряжении злоумышленников оказались 16 миллиардов паролей пользователей различных сервисов!

Кто пострадал: Утечка затронула миллионы пользователей Apple, Google, Telegram и других популярных сервисов.

Юрий Шабалин, директор продукта Стингрей, прокомментировал Коммерсант FM, что могут делать злоумышленники с этими данными:

🔹 Пробовать полученные комбинации логинов и паролей на сторонних сервисах. Пользователи могут столкнуться с массовой принудительной сменой паролей в этих сервисах.

🔹 Прикидываться сервисами, у которых произошла утечка, и рассылать фишинговые письма о компрометации учетной записи и необходимости смены пароля.

Немаловажный момент: для того чтобы обработать такой объём информации, злоумышленникам требуется время.

💡 Что делать: Специалисты настоятельно рекомендуют немедленно изменить пароли ко всем своим аккаунтам и включить двухфакторную аутентификацию.

#Кибератаки #Хакеры #Утечка_данных