Spotkania

Bezpieczeństwo korzystania z zewnętrznych bibliotek i komponentów – jak cienki jest lód, po którym stąpamy?

23.11.2023 | 09:00 - 12:00 | Hotel Marriott Warszawa, al. Jerozolimskie 65/79, 00-697 Warszawa
Bezpieczeństwo korzystania z zewnętrznych bibliotek i komponentów – jak cienki jest lód, po którym stąpamy?

To wydarzenie zostało zakończone. Zobacz relację ze spotkania.

Wstęp

Podczas listopadowego spotkania CSO Council porozmawiamy o tym, jakie zakresy ryzyk i niepewności przynosi organizacji wprowadzenie oprogramowania i rozwiązań IT wykorzystujących zewnętrzne biblioteki i źródła kodu. To zagadnienie stanowiące element zarządzania ryzykiem dostawców ICT bywa często bagatelizowane i jej wciąż za mało rozpoznane. Korzystam z zewnętrznych źródeł, bo jest to uznaną praktyką rynkową, bo ‘wszyscy tak robią’, bo ufamy określonym repozytoriom kodu. Wreszcie także dlatego, że w praktyce trudno obejść się bez tych komponentów – stanowią one integralny element większości systemów.

Dodatkowo, gry w grę wchodzi (często) Open Source, a wówczas odpowiedzialność za bezpieczeństwo takich rozwiązań staje się zbiorowe i przez to całkiem rozmyte. W jaki sposób firmy mogą mitygować ryzyko korzystania z takich kompontentów – jak poruszać się w świecie, w którym mamy do czynienia z trudną do zliczenia liczbą źródeł zewnętrznych – kodu i zewnętrznych bibliotek? Co w tej sprawie zalecają najlepsi, jak sytuacja może ewoluować w perspektywie najbliższych lat – w szczególności w kontekście nowych regulacji rynkowych dotyczących cyberodporności organizacji (DORA, NIS2, CER i in.).

Dodatkowo gościem specjalnym spotkania będzie Mark Snel, CISO w firmie Signify (jeden  z największych koncernów na świecie, d. Philips), który przedstawi swój punkt widzenia i  własne doświadczenie w kontekście wypalenia zawodowego wśród bezpieczników – jak przeciwdziałać temu zjawisku, jak diagnozować je na odpowiednio wczesnym etapie – i jak budować trwały life-work balance w świecie menedżerów cyberbezpieczeństwa. Mark b. liczy na dyskusję z uczestnikami spotkania!

Porozmawiajmy o tych wyzwaniach i tym, jak można się z nimi mierzyć! Jak zawsze podczas listopadowego spotkania na uczestników czeka także najbardziej aktualny cyberekspress w wykonaniu, który przedstawi swoje subiektywne spojrzenie na najważniejsze wydarzenia w branży i incydenty cybersecurity od czasu ostatniego, majowego spotkania społeczności!

👨‍👧‍👧 Jak zawsze zapewnimy ciekawe dyskusje i rozmowy – spotkania CSO Council to nieodmiennie okazja do wymiany doświadczeń i networkingu, także w czasach spotkań online!

🕒 Spotkania CSO Council to   gwarancja bardzo efektywnego spędzenia skondensowanego czasu w elitarnym gronie menedżerów zajmujących się bezpieczeństwem informacji

🎯 Treściwą i aktualną merytorykę zapewniają najlepsi eksperci, zaś możliwość wymiany opinii oraz dyskusji z uczestnikami spotkania to niepowtarzalna okazja do pogłębienia wiedzy jak i doświadczeń.

Agenda

9.00 - 9.30
9.00 - 9.30 | 30min
Zapraszamy z kubkiem kawy czy herbaty na swobodne rozmowy – cały rok przed nami!
9.30 - 9.35
9.30 - 9.35 | 5min
Powitanie uczestników i wprowadzenie w temat spotkania
Przemysław Gamdzyk
Organizator
CSO Council
9.35 - 9.50
17.10 - 17.40 | 30min
CYBEREKSPRESS

Subiektywny, autorski przegląd najważniejszych zjawisk i wydarzeń w branży cybersecurity z ostatniego miesiąca przedstawi Marcin Święty!

Marcin Święty
Dyrektor Global Security & IT
Relativity
9.50 - 10.00
9.50 - 10.00 | 10min
Aktualne trendy w atakach DDoS – perspektywa izraelska
Andrzej Sienkiewicz
inżynier presales
Radware
10.00 - 10.20
10.00 - 10.20 | 20min
Premiera raportu "W oczekiwaniu na NIS2: stan przygotowań"

Premiera raportu "W oczekiwaniu na NIS2: stan przygotowań" przygotowanego na podstawie wyników badania przeprowadzogo w październiku 2023 przez Trend Micro, EY i CSO Council.
Omówienie najważniejszych wniosków.

Joanna Dąbrowska
Cybersecurity Platform Leader
Trend Micro
Patryk Gęborys
Partner
EY
Krzysztof Piątek
Director of Business Development
Evention
10.20 - 10.50
10.20 - 10.50 | 30min
OpenSource i zewnętrzne biblioteki w procesach wytwarzania, wdrażania i utrzymywania oprogramowania.

Współczesny proces rozwoju oprogramowania średnio minimum w 80% bazuje na komponentach opensourcowych. Korzystanie z tego typu komponentów jest dużym ułatwieniem dla zespołów wytwórczych, niemniej wiąże się także z istotnymi ryzykami, które nie zawsze są właściwie identyfikowane i monitorowane w cyklu życia oprogramowania. Zazwyczaj zespół skupia się na wykreowaniu zamówionych funkcji i mechanizmów, ograniczając się do weryfikacji kodu źródłowego z wykorzystaniem darmowych narzędzi. Ważny element, jakim jest bezpieczeństwo komponentów opensourcowych, często jest marginalizowany, bądź całkowicie pomijany.

Filip Brandt
Security Architect
BNP Paribas Bank Polski
Zenon Biedrzycki
Director of Cyber Solution Design & Architecture Bureau
BNP Paribas Bank Polski
10.50 - 11.20
10.50 - 11.20 | 30min
Wypalony bezpiecznik

Czemu wśród osób zajmujących się cyberbezpieczeństwem jest tak wiele ofiar wypalenia zawodowego i nadmiernego stresu. Jak przeciwdziałać temu zjawisku, jak je diagnozować na odpowiednio wczesnym etapie. A co najważniejsze - jak budować trwały life-work balance w świecie menedżerów cyberbezpieczeństwa.

Mark Snel
Chief Information Security Officer (CISO) & Head of Cyber Security
Signify
11.20 - 11.30
11.30 - 11.40 | 10min
Podsumowanie spotkania i zaproszenie na kolejne aktywności CSO Council
11.30 - 12.00
11.30 - 12.00 | 30min
Czas na networking i przygotowanie do udziału w Advanced Threat Summit

Relacja

W dzisiejszym dynamicznym świecie technologii każdy system i prawie każda aplikacja wykorzystuje komponenty oprogramowania open source software (OSS). Oprogramowanie o otwartym kodzie źródłowym nie tylko daje ogromne możliwości, swobodę modyfikacji, rozwoju i oferuje szybszy dostęp do innowacji, ale generuje także nowe pytania i wyzwania związane z bezpieczeństwem i zgodnością z przepisami oraz wymogami organizacji.

Korzystanie z zewnętrznych źródeł to powszechne zjawisko, bo ‘wszyscy tak robią’, bo ufamy określonym repozytoriom kodu. W praktyce też trudno się obejść bez tych komponentów – stanowią one integralny element większości systemów. Gdy w grę wchodzi wykorzystanie Open Source odpowiedzialność za ich bezpieczeństwo takich rozwiązań staje się zbiorowe i przez to całkiem rozmyte.
Jak poruszać się w świecie, w którym mamy do czynienia z trudną do zliczenia liczbą źródeł zewnętrznych – kodu i zewnętrznych bibliotek – tłumaczył Filip Brandt z BNP Paribas.

  • Podobno aż w 90 % statystycznie całości kodu składającego się na aplikację pochodzi z zewnętrznych żródeł.
  • Kluczowe ryzyka wykorzystania Open Source to:
    • Podatności
    • Nieznajomość licencji
    • Złośliwy kod
  • W jaki sposób firmy mogą mitygować ryzyko korzystania z takich komponentów? Poprzez wykorzystanie:
    • repozytorium proxy
    • firewalling
    • narzędzia SCA
    • analizę przed releasem

Eksperci z BNP Paribas Filip Brandt oraz Zenon Biedrzyckim zwrócili też uwagę na SBOM - (koncept wymyślony przez Amerykanów) - to dokładne rozliczenie kodu, informacja o tym z czego składa się dana aplikacja. Wyjaśnili, dlaczego jego bezpieczeństwo jest również tak ważne.

Na koniec wystąpienia eksperci z BNP Paribas podzielili się z uczestnikami spotkania najlepszymi praktykami w postępowaniu z ryzykami ze swojej organizacji oraz statystykami w ich mitygowaniu.

Temat SBOMa nie jest obcy w Europie i znajduje swoje ważne miejsce w dokumencie Cyber Resilience Act

Cyberekspress czyli swoją perspektywę najciekawszych wydarzeń cyber z mijającego miesiąca przedstawił @Marcin Święty, który debiutował w naszej społeczności w roli prelegenta. Co zwróciło jego uwagę? M.in. Rapid and Mass exploitation of vulnerabilities. Zauważył też, że ze ze wzrostem adopcji MFA, pojawił się wzrost i zapotrzebowanie na metody obejścia MFA.

W CSO Council trzymamy rękę na pulsie. Dlatego Andrzej Sienkiewicz z Radware opowiedział o nowych trendach ataków DDoS w perspektywie toczącej się w Izraelu wojny.

A ponieważ zbliża się czas prezentów wraz z Trend Micro i EY tworzymy dla Was raport o gotowości organizacji na NIS2. Postanowiliśmy sprawdzić, jak CSO przygotowują swoje organizacje do wdrożenia tej dyrektywy. Zapytaliśmy członków społeczności CSO Council, ale także szefów infosec z innych organizacji o stan zaawansowania ich przygotowań.

Premiera raportu "W oczekiwaniu na NIS2: stan przygotowań": 6 grudnia 2023 - na Mikołajki 😊

Pierwszymi wnioskami z badania podzielili się Joanna Dąbrowska, Patryk Gęborys i Krzysztof Piątek.

Zwieńczeniem spotkania było wystąpienie Marka Snel, CISO w firmie Signify (dawny Philips Lighting - firma zatrudniająca ponad 30 000 pracowników) , który przedstawił swój punkt widzenia i własne doświadczenie w kontekście wypalenia zawodowego wśród bezpieczników. Dowiedzieliśmy się, jak przeciwdziałać temu zjawisku, jak diagnozować je na odpowiednio wczesnym etapie – i jak budować trwały life-work balance w świecie menedżerów cyberbezpieczeństwa. Temat na czasie, więc nic dziwnego, że wystąpienia Marka wzbudziło kontrowersja i skłoniło do zadawania pytań.

Spotkanie było rekordowe - nie tylko pod względem liczby poruszanych tematów, ale i przybyłych uczestników. Serdecznie dziękujemy za Waszą obecność, poświęcony czas i aktywność. Do zobaczeniu na Spotkaniu Świątecznym już 12 grudnia!

Zobacz zdjęcia ze spotkania

« Forensics i forensics w chmurze
Spotkanie świątecznie: Gen Z - (współ)praca z młodymi ekspertami cybersecurity »

Uczestnictwo w CSO Council to nie tylko przynależność do elitarnej społeczności najlepszych specjalistów od Bezpieczeństwa Informacji, ale przede możliwość budowania zawodowych relacji oraz dostęp do unikalnej wiedzy i doświadczeń w w dziedzinie cyberbezpieczeństwa.

Kontakt | Polityka prywatności

© 2024 | Strona korzysta z plików cookies. Przeglądanie strony oznacza akceptację.