25 мая Код ИБ состоялся в столице Азербайджана

25 мая Код ИБ состоялся в столице Азербайджана

25 мая Код ИБ состоялся в столице Азербайджана

Премьера конференции собрала сливки ИБ-сообщества Баку - более 150 специалистов. Традиционно в начале конференции эксперты обсудили тренды.  В числе трендов, актуальных для Азербайджана так же как и для России, назвали развитие образовательных программ по ИБ на уровне государства, проблему обоснования бюджетов на ИБ и то, что все атаки являются новыми, их нет в сигнатурах. 

При этом главными источниками опасности остаются социальная инженерия и беспечность сотрудников. “Известен эксперимент, когда оставляли в корпоративной столовой брендированную зараженную флешку. Более половины сотрудников подключали ее к корпоративным ПК” - привел пример Дмитрий Ильин (IT-Task).

Wanna Cry?

Одной из тем стал нашумевший WannaCry. Проблема WannaCry - это проблема процессная, а не техническая, считают эксперты.

“Количество статей в СМИ о вирусе WannaCry превысило количество заражений этим вирусом. Действительно, это больше похоже на некую PR-акцию по продвижению информационной безопасности” - отметил специально приглашенный спикер Рустем Хайретдинов (InfoWatch).

Про бюджеты

Бюджеты безопасности плавно мигрируют в ИТ. Рустем Хайретдинов отметил: "ИБ перестает быть “навесной”, становится “слоем” в любом бизнес-проекте. Например, когда речь идет о современном интернет-банке, уместнее говорить не о “безопасности приложения”, а о “безопасном приложении”. Соответственно, деньги на ИБ также перестают выделяться в отдельный бюджет”.

Как стать идеальным безопасником

Человек, который отвечает за ИБ, должен быть учителем, наставником или кем-то вроде этого. Важно умение общаться -  и с персоналом и с руководством.

“Я всегда говорю студентам - хотите сделать карьеру - меньше занимайтесь технологиями, больше - коммуникациями” -отметил Рустем Хайретдинов.

Быть ближе к людям призывает и Александр Тварадзе (Financial Chain Corporation LLC):

“Для большинства специалистов ИБ сотрудники компании - это их компьютеры, а действия - отправляемые ими файлы, которые вызывают лишние срабатывания системы. ИБ-специалистам есть чему поучиться у специалистов по физической безопасности, которые досконально знают своих сотрудников”. 

В то же время ко многим навязываемым догмам следует подходить критично. Александр Тварадзе:

“Успех ИБ совершенно не зависит от того, какие продукты вы используете (ведь зачастую возможно построить защиту бесплатными средствами), но определяется тем, КАК вы их используете”. По-прежнему актуальна эшелонированная защита, непривязанность к одному вендору. 

Люди и процессы

Говорили также о специфике сертификации средств защиты информации в Азербайджане и стандартах ИБ. Рустем Хайретдинов отметил:

“Сертифицированность по стандарту ISO не гарантирует ИБ. Сертификат сам по себе ни от чего не защищает, защищают люди и процессы”. Далее в секции “Технологии” компании-разработчики представили актуальные СЗИ.

В отдельной секции были рассмотрены бизнес-аспекты ИБ. В частности, представители Falcongaze и SearchInform поведали о стандартном и нестандартном применении DLP, а Александр Тварадзе раскрыл важнейшие приемы для защиты и восстановления данных в случае хакерской атаки.

Конференцию завершил мастер-класс Рустема Хайретдинова по безопасности веб-приложений. Эксперт рассказал, почему и как приложения взламывают и будут взламывать в будущем, и каким образом это предотвратить.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Российские пользователи Java рискуют безопасностью

Согласно отчету Axiom JDK «Тренды Java в России 2024», отечественные разработчики активно внедряют новые релизы Java и возможности ИИ. Но 89% рискует безопасностью, используя зарубежные платформы или решения с открытым кодом.

Как показало исследование, переход на новые релизы Java в России идет динамичнее, чем за рубежом, где многие базируются на ранних версиях Java с долгосрочной поддержкой (LTS, long term support).

Напротив, в России запускается много новых проектов. Так, версию Java 17, вышедшую в сентябре 2021 г., используют почти 70% респондентов, а Java 21, вышедшую в сентябре 2023 г., – 36%. При этом более трети респондентов используют две LTS-версии, а около четверти – три.

 

Без малого половина разработчиков (48%) использует генеративный искусственный интеллект для написания кода. Наиболее популярным инструментом является ChatGPT, который применяет 35%. Почти четверть (23%) экспериментируют с двумя и более нейросетями, 70% ограничивается одним инструментом. При этом авторы исследования обнаружили четкую корреляцию между использованием искусственного интеллекта и новых версий Java.

Подавляющее большинство респондентов в промышленной эксплуатации по-прежнему используют зарубежные дистрибутивы Java, так что потенциал для импортозамещения по-прежнему остается большим. Однако авторы исследования напоминают, что использование в критических системах Java-компонентов без обновления и поддержки увеличивает риски на фоне роста технологических угроз и многообразия систем в ИТ-инфраструктуре.

62% респондентов используют устаревшие версии Java — Java 8 (2014) или Java 11 (2018), которые Oracle распространяла бесплатно. Основной причиной отказа от миграции на новые релизы является высокая трудоемкость процесса, требующего замены всех библиотек-зависимостей.

В топ-5 дистрибутивов вошли Oracle JDK (37%), Liberica JDK (33%), Eclipse Temurin (25%), Amazon Corretto (14%) и Red Hat OpenJDK (14%). Отечественная платформа Axiom JDK с долей 11% заняла шестое место.

 

«Россия — это страна, где Java уже не просто язык программирования, а, по сути, культурный код ИТ-отрасли. Исследование показало огромный аппетит отечественных разработчиков к инновациям и стремление осваивать их ускоренными темпами. В этом и парадокс: стабильность отечественного бизнеса требует смелых решений, включая отказ от зарубежных Java-дистрибутивов без поддержки, которые повышают риски безопасности. Чтобы обеспечить устойчивость бизнеса и технологическую независимость страны, сегодня нужна не просто Java, а целая экосистема — от среды разработки до серверов приложений и библиотек. Здесь мы видим основное направление развития Java-разработки в следующем году», — отметил Сергей Лунегов, директор по продуктам Axiom JDK.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru