Основной доклад BlueHat Asia: Изнутри подполья: подробный анализ новых методов первичного доступа. скачать в хорошем качестве

Основной доклад BlueHat Asia: Изнутри подполья: подробный анализ новых методов первичного доступа.

В своем выступлении на конференции BlueHat Asia Рахул Саси, генеральный директор и основатель CloudSEK, делится изменением мышления, которое перевернуло всю его карьеру в сфере безопасности: перестать мыслить в «двумерном» режиме (атака очевидной цели) и начать мыслить в «трехмерном» режиме безопасности, где каждая конечная точка имеет другую конечную точку, а реальный путь к результату часто проходит через уровни и партнеров, окружающих систему. Рахул начинает с личной истории своего становления (да, вдохновленной «Матрицей») и трудных уроков, которые он усвоил за годы исследований, включая свое первое приглашение на Black Hat в 2012 году… и последующие отказы в визах. Но вместо того, чтобы остановиться, он объясняет, как знания в области безопасности накапливаются: время, потраченное на понимание форматов файлов, библиотек, сред выполнения и инфраструктурных стеков, становится множителем силы в дальнейшем. Далее сессия переходит к конкретным деталям. Рахул рассказывает о раннем этапе пентестинга, который «нарушил целостность системы»: пока все сосредоточились на защищенном веб-приложении, коллега скомпрометировал цель, получив доступ по SSH к порталу поддержки хостинг-провайдера, не затрагивая основное приложение. В этом и заключается суть 3D-безопасности: расширение поверхности атаки на всю экосистему: веб-сервер, среду выполнения языков программирования, библиотеки (GD, OpenSSL, ImageMagick), фреймворки, CI/CD, поставщиков и рабочие процессы пользователей. Вы также услышите об увлекательном исследовании инфраструктуры кабельного телевидения, например, о том, как понимание транспортных потоков, «запутывание» флагов и внедрение сетевых уязвимостей в реальных условиях могут привести к неожиданному контролю (и сбоям). Во второй половине рассматривается связь концепции с современной реальностью на примерах из цепочки поставок: как злоумышленники скомпрометируют организации, нацеливаясь на инструменты и поставщиков, которым доверяют разработчики, и в больших масштабах собирая учетные данные, ключи API и секреты. На этом занятии вы узнаете: ➤Модель «3D-безопасности»: почему прямая цель редко бывает единственной целью ➤Как навыки исследования накапливаются со временем (и почему важна настойчивость) ➤Атаки на стек: среды выполнения, библиотеки, форматы файлов и уровни инфраструктуры ➤Реальные примеры компрометации цепочки поставок и сбора секретной информации ➤Почему ИИ/агенты сделают безопасность экосистемы еще более сложной (и более важной)