Мы разберём, как планировать программу защиты на 6–12 месяцев: от инвентаризации приложений и API до приоритизации по рискам и бизнес-критичности, распределения ролей между ИБ/ИТ/разработкой/продуктом и выбора модели поставки (on-prem/сервис/гибрид). Отдельно обсудим «сложные места» внедрения: настройку WAF/Anti-DDoS/Anti-bot без потери доступности и конверсии, защиту API от злоупотреблений и ошибок авторизации, а также мобильный контур — integrity/attestation, контроль SDK, защита токенов/сессий и влияние контрмер на UX.
Завершим тем, как проверять и поддерживать защиту в рабочем состоянии: какие форматы тестирования выбирать (пентест, MAST, проверки на обходы), какие метрики использовать (потери/инциденты/ложные блоки/влияние на UX), и как организовать регулярный пересмотр правил и политик, чтобы защита не деградировала в течение года.
Ключевые вопросы дискуссии:
- Типовые ошибки и реальные причины инцидентов
- Какие ошибки чаще всего приводят к инцидентам в приложениях: отсутствие процесса, VM/патчи, слабая auth/sessions, отсутствие базовой защиты?
- Какая ошибка обычно самая "дорогая" для бизнеса и почему?
- Что бизнес чаще всего недооценивает: доступность, API, автоматизацию, учетные записи, злоупотребления логикой?
- Какие признаки атаки и фрода чаще всего видны первыми (поддержка, продуктовые метрики, антифрод, API-логика)?
- Какие типовые дефекты в API дают максимальный ущерб (ошибки авторизации, BOLA/IDOR, злоупотребление бизнес-логикой)?
- Мобильный контур: что чаще “проваливают” команды - токены/сессии, pinning, root/jailbreak, конфигурации, сторонние SDK?
- Где команды переинвестируют в “защиту клиента”, упуская критичные дыры в API/серверной логике?
- Какие сценарии атак за последний период заметно “помассовели” и почему (боты/автоматизация, ATO, abuse логики, API)?
- Внедрение и эксплуатация защиты
- Как сформировать программу защиты на 2026: инвентаризация приложений/API, приоритизация рисков, роли/ownership, метрики?
- Как распределить ответственность между ИБ, ИТ, разработкой и владельцами продукта, чтобы защита работала в эксплуатации?
- Какие меры дают быстрый эффект в 2026, а какие требуют зрелости (SDLC/VM/управление изменениями/контент)?
- Как учитывать гибридность (облака/CDN/микросервисы) и не получить слепые зоны по API/логированию?
- Что в мобайле обязательно включать в план 2026: integrity/attestation, контроль SDK, метрики ложных блоков и влияние на UX?
- Как организовать защиту API как отдельный контур: авторизация, rate limiting, schema validation, мониторинг злоупотреблений?
- Как внедрять integrity/attestation и root/jailbreak проверки так, чтобы не получить всплеск ложных блоков и деградацию UX?
- Как контролировать риски сторонних SDK (analytics/ads/payments/chat) и выстроить практику supply chain?
- Как проверять, что защита работает: пентест, проверки WAF/anti-bot, тесты на обходы, контроль API?
- Как тестировать мобильный контур: MAST, пентест mobile+API, симуляции фрода/ATO - что выбрать и как часто?
- Какие метрики в 2026 лучше всего показывают эффективность: инциденты/потери, время реакции, доля ложных срабатываний, влияние на конверсию/UX?
- Как организовать регулярный пересмотр правил/политик, чтобы защита не деградировала и не превращалась в “шум”?
- Итоги эфира и планы на 2026
- Какие 3–5 шагов дадут максимальный эффект в защите приложений в течение 2026 (web+mobile+API)?
- Какие тренды 2026 сильнее всего повлияют на атаки: автоматизация, эмуляторы/фермы устройств, SDK, AI-фрод?
- Какой антипаттерн 2026 будет чаще всего приводить к инцидентам “снова и снова”?
- Какой минимальный набор контроля и мониторинга должен быть у каждой команды, чтобы не пропустить атаку (включая мобайл и API)?
Приглашенные эксперты:
|
|
Эдгар Микаелян Директор по клиентским решениям, CURATOR |
Модераторы:
|
|
Илья Шабанов Генеральный директор, «АМ Медиа» |
