Media is too big
VIEW IN TELEGRAM
На конференции IT IS conf Антон Башарин, старший управляющий директор AppSec Solutions, рассказал о том, как с помощью искусственного интеллекта и ASPM автоматизировать и ускорить обработку уязвимостей.
Важное из доклада:
🔹До 90% срабатываний в сканерах — ложные, из них 52% уже успешно отсекаются правилами и машинным обучением
🔹Большие языковые модели (LLM) и обучение с подкреплением (RL) повышают точность триажа
🔹В 2025 году 35-50% кода создается с помощью AI-ассистентов
🔹 ASPM + ИИ — следующий шаг в управлении безопасностью и развитием DevSecOps
Сейчас мы наблюдаем, как классический DevSecOps всё больше интегрируется с MLSecOps, а большие языковые модели становятся неотъемлемой частью сервисов. Чтобы эффективно справляться с ростом уязвимостей и ускорением разработки, нужно научиться работать с ИИ и доверять его решениям — так можно масштабировать процессы и повышать безопасность.
#Экспертиза_AppSec #AppSec_Мероприятия
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥12❤1
Media is too big
VIEW IN TELEGRAM
Product Owner: норм или стрем?🙂
Backlog горит, дедлайны дышат в спину, а нам удалось спросить у наших Product Owner’ов, что для них «норм», а что — «стрем» в работе.
Кто-то узнает свой рабочий день на 100%, кто-то — своего коллегу.
😒 Смотрите ответы в ролике
#AppSec_Life
Backlog горит, дедлайны дышат в спину, а нам удалось спросить у наших Product Owner’ов, что для них «норм», а что — «стрем» в работе.
Кто-то узнает свой рабочий день на 100%, кто-то — своего коллегу.
#AppSec_Life
Please open Telegram to view this post
VIEW IN TELEGRAM
❤11🔥4👍2
Как стали возможны уязвимости в новой версии ChatGPT-5? 🤖⚠️
Тестирование показало, что пятую версию ИИ можно было взломать за 24 часа, что выявило её слабые места. В результате эксперты признали предыдущую версию ChatGPT-4o более надежной, и OpenAI временно вернула её для подписчиков ChatGPT Plus.
Мария Усачева, директор по ИИ-продуктам AppSec Solutions, комментирует для радио КоммерсантFM:
🎙 Слушать "БЕЗопасность ИИ от AppSec"⬇️
Тестирование показало, что пятую версию ИИ можно было взломать за 24 часа, что выявило её слабые места. В результате эксперты признали предыдущую версию ChatGPT-4o более надежной, и OpenAI временно вернула её для подписчиков ChatGPT Plus.
Мария Усачева, директор по ИИ-продуктам AppSec Solutions, комментирует для радио КоммерсантFM:
Появление уязвимостей в ИИ-моделях не означает полный отказ компаний от их применения. Скорее, это стимулирует более тщательную проверку. Сейчас организации внедряют комплексные решения класса AI Security, включая, например, инструменты для тестирования и мониторинга устойчивости языковых моделей к атакам и оценке рисков контента, который они генерируют. Кроме того, с учётом проблем, связанных с GPT-5, вероятно появление отмены автообновлений новых версий и задержки Time-to-Market до момента, когда будет понятно, что версия безопасна для массового внедрения.Please open Telegram to view this post
VIEW IN TELEGRAM
🔥14
Мы запустили решение для комплексной защиты кода приложения от изменения злоумышленником и копирования.
Почему это важно?
Сегодня многие финтех-, ecom- и другие сервисы с бесконтактной оплатой используют иностранные решения для шифрования. Но санкции делают зарубежных вендоров непредсказуемыми, а значит, сами компании оказываются в зоне риска.
В ML-модели содержится вся интеллектуальная собственность. Часто хакеры похищают их и используют в собственных целях, например, встраивают в свое приложение и зарабатывают на чужой разработке. Распространенные проблемы — кража интеллектуальной собственности, клонирование или модификация приложений без участия их владельцев.
— отмечает Юрий Шабалин, директор по продукту AppSec.Cryptex.
Как работает AppSec.Cryptex?
Используйте AppSec.Cryptex, чтобы надежно защитить ваши приложения от копирования и взлома.
Подробнее на CNews.
#AppSecCryptex
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥12😍5❤4
Исследователи проверили 13 популярных мобильных приложений для аренды авто и электросамокатов с помощью платформы AppSec.Sting и обнаружили более 400 уязвимостей, из них 25 критического и высокого уровня.
Немало этих приложений хранят чувствительную информацию в открытом виде. Это распространенная проблема, которая открывает большие возможности для злоумышленников. Еще одна часто встречающаяся уязвимость — недостаток в реализации детектов на скомпрометированную среду, который может быть использован для целевых атак на пользователей,
— отметил Никита Пинаев, руководитель отдела анализа защищенности AppSec.Sting.
Подробнее
#AppSec_исследование #AppSec_Sting
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥6👍3
Как тестировать безопасность мобильных приложений
Практика MAST (Mobile Application Security Testing) — ключевой элемент в создании надежных и защищенных продуктов.
— отметил Юрий Шабалин, директор продукта AppSec.Sting.
Цель MAST — помочь разработчикам устранить проблемы безопасности до запуска приложения, тем самым обеспечив защиту пользовательских данных и сохранение целостности приложения.
Разберем процесс по основным шагам:
1️⃣Определение целей тестирования
Четко обозначьте, какие функции и компоненты приложения будут проверяться. Это может быть работа с пользовательскими данными, модули аутентификации, взаимодействие с сервером и многое другое. Ясность целей помогает сфокусировать усилия на критичных зонах.
2️⃣Анализ архитектуры и выявление угроз
Изучите структуру приложения, используемые технологии, сторонние библиотеки и точки интеграции. Выявите потенциальные уязвимости и направления возможных атак.
3️⃣Тестирование уязвимостей
Применяйте комплекс подходов: DAST, SAST, IAST, API ST. Они предоставляют разные данные при анализе приложений. Результаты анализа, полученные от одного метода, дополняют результаты других методов — это позволяет находить более сложные уязвимости с меньшим количеством ложных срабатываний.
4️⃣Приоритизация и исправление уязвимостей
Не все уязвимости одинаковы — оцените их риск и влияние, чтобы понять, какие из них нужно исправить в первую очередь. Важно иметь план действий и отслеживать статус устранения проблем.
5️⃣Регулярный мониторинг и повторное тестирование
Безопасность — процесс непрерывный. После обновлений и изменений в приложении важно проводить повторное тестирование, чтобы поддерживать уровень защиты.
Использование платформы автоматизированного анализа защищенности мобильных приложений AppSec.Sting снижает на 60% затраты на обеспечение безопасности за счет автоматизации и комплексного анализа и упрощает работу с уязвимостями.
#Экспертиза_AppSec #MAST
Практика MAST (Mobile Application Security Testing) — ключевой элемент в создании надежных и защищенных продуктов.
Мобильные приложения можно считать одними из самых недооцененных звеньев в безопасном цикле разработки ПО. Зачастую при анализе защищенности всей системы мобильные приложения или проверяют в последнюю очередь, или не проверяют совсем, забывая при этом, что огромное количество пользователей взаимодействует с системой именно через мобилку. Также часто забывают и об особенностях разработки и дистрибуции мобильных приложений, которые сильно отличаются от привычных серверных частей системы.
— отметил Юрий Шабалин, директор продукта AppSec.Sting.
Цель MAST — помочь разработчикам устранить проблемы безопасности до запуска приложения, тем самым обеспечив защиту пользовательских данных и сохранение целостности приложения.
Разберем процесс по основным шагам:
1️⃣Определение целей тестирования
Четко обозначьте, какие функции и компоненты приложения будут проверяться. Это может быть работа с пользовательскими данными, модули аутентификации, взаимодействие с сервером и многое другое. Ясность целей помогает сфокусировать усилия на критичных зонах.
2️⃣Анализ архитектуры и выявление угроз
Изучите структуру приложения, используемые технологии, сторонние библиотеки и точки интеграции. Выявите потенциальные уязвимости и направления возможных атак.
3️⃣Тестирование уязвимостей
Применяйте комплекс подходов: DAST, SAST, IAST, API ST. Они предоставляют разные данные при анализе приложений. Результаты анализа, полученные от одного метода, дополняют результаты других методов — это позволяет находить более сложные уязвимости с меньшим количеством ложных срабатываний.
4️⃣Приоритизация и исправление уязвимостей
Не все уязвимости одинаковы — оцените их риск и влияние, чтобы понять, какие из них нужно исправить в первую очередь. Важно иметь план действий и отслеживать статус устранения проблем.
5️⃣Регулярный мониторинг и повторное тестирование
Безопасность — процесс непрерывный. После обновлений и изменений в приложении важно проводить повторное тестирование, чтобы поддерживать уровень защиты.
Использование платформы автоматизированного анализа защищенности мобильных приложений AppSec.Sting снижает на 60% затраты на обеспечение безопасности за счет автоматизации и комплексного анализа и упрощает работу с уязвимостями.
#Экспертиза_AppSec #MAST
🔥4
Forwarded from SberHealth IT
Уязвимости в мобильных приложениях, как они выглядят и так ли безопасны приложения для iOS
У нас отличная новость!
Анонсируем еще одного спикера на Mobile Meetup 10 сентября.
К нам присоединился Юрий Шабалин, эксперт в области мобильной безопасности⭐️
В своем докладе Юрий разберет часто встречающиеся уязвимости на примерах реальных мобильных приложений (ни один разработчик не пострадал). Рассмотрит проблемы небезопасного хранения данных: приватные ключи от сторонних сервисов и что с их помощью можно сделать. Поделится, почему не нужно надеяться на защиту ОС, как открыть любой экран в приложении в обход защитных механизмов и почему докладчик так любит Flutter.
В особенности затронем тему iOS: так ли безопасны приложения, как считается и действительно ли там меньше проблем, чем в Android?
👇 Регистрация по ссылке
У нас отличная новость!
Анонсируем еще одного спикера на Mobile Meetup 10 сентября.
К нам присоединился Юрий Шабалин, эксперт в области мобильной безопасности
В своем докладе Юрий разберет часто встречающиеся уязвимости на примерах реальных мобильных приложений (ни один разработчик не пострадал). Рассмотрит проблемы небезопасного хранения данных: приватные ключи от сторонних сервисов и что с их помощью можно сделать. Поделится, почему не нужно надеяться на защиту ОС, как открыть любой экран в приложении в обход защитных механизмов и почему докладчик так любит Flutter.
В особенности затронем тему iOS: так ли безопасны приложения, как считается и действительно ли там меньше проблем, чем в Android?
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥4❤3👍2
Мы создали инструмент SAST нового поколения, который помогает ИБ-командам эффективно справляться с техническим долгом и тысячами неразобранных уязвимостей.
Это универсальный инструмент статического анализа кода, который поддерживает множество языков программирования. Его гибкость проявляется в возможности настройки собственных правил поиска уязвимостей и интеграции как с IDE, так и с CI/CD-конвейерами. AppSec.Wave подходит для проектов любого масштаба: от небольших, где важна скорость и простота, до крупных, требующих сложных и индивидуальных сценариев анализа,
– комментирует руководитель продукта AppSec.Wave Антон Прусак.
Подробнее на CNews
#AppSecWave #SAST
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥18👍7❤5