Березовская Анастасия

инженер по информационной безопасности

Уже более 3-ёх лет увлеченно занимаюсь вопросами безопасности. Строю процессы, провожу исследования. Изучаю и дорабатываю существующие инструменты, разрабатываю свои. Знаю про основные уязвимости и как от них защищаться. Понимаю принципы контейнеризации. Увлекаюсь криптографией.
@aberezovskaia
aberezovskaya@proton.me
Риск принят
Статьи на Habr

📌 Ключевые навыки

SSDLC
Web Application Security
SAST
DAST/OAST
OSA/SCA
API Security
Vulnerability Managment
Cryptography
Container Security
OWASP TOP 10

🛠 Технологии и инструменты

  • Docker
  • Kubernetes
  • Burp Suite
  • nuclei
  • semgrep
  • git
  • SQL
  • PostgreSQL
  • Linux
  • KICS
  • trivy
  • Jira
  • CSS
  • cdxgen
  • HTML

👾 Языки программирования

Golang
Python
C/C++
Typescript
Scala

👩🏻‍💻 Опыт работы

Swordfish Security

Инженер по безопасности процессов разработки приложений, отдел исследований

🗓 11/2023 - 11/2024 (1 год)
  • Разработка решений для анализа цепочек вызовов мобильных приложений
    • Реализовала программу для построения цепочки вызовов целевой функции по исходному коду Android-приложения
    • Решение исполняет требования ЦБ для мобильных приложений при их работе с цифровым рублем
    • Изучила методы построения графов вызовов (RTA, VTA и другие) и выбрала наиболее подходящие инструменты для реализации
  • Сервис для прохождения DAST-сканером сложных сценариев авторизации
    • Разработала сервис на основе Playwright для автоматизации сценариев (SSO, многостраничная авторизация)
    • Сервис устранил необходимость перезапуска сканера и обновления сессий вручную
    • Детали описаны в статье на Habr
  • Исследования в области DevSecOps практик c глубоким погружением в особенности инструментов
    • Построила архитектуру процесса статического сканирования IaC, охватив как популярные решения (KICS, Trivy, checkov), так и малоизвестные (IaCSec, Glitch, DeepIaC)
    • Разработала инструмент для сравнения FP-/FN-результатов сканеров на тестовых наборах, который позволил составить рекомендации не только исходя из формальных требований, но и качества работы сканеров
    • Провела детальный анализ методов оценки достижимости внешних библиотек утилиты evinse (часть cdxgen), что позволило разработать улучшения OSA и ASOC продуктов за счет прямого указания вхождений внешних библиотек
    • Подготовила сравнительный анализа фаззинг-инструментов для построения процессов API Security на основе тестирования инструментов, соответствующих различным подходам (property-based, dictionary, mutation, AI), на заготовленном наборе уязвимых приложений
    • Разработала архитектуру автоматической генерации правил сканера nuclei по спецификации сервиса
  • Участие в задачах командах продуктовой разработки
    • Обогатила внутреннюю базу данных уязвимостей OSA-продукта за счет разработки нового парсера и участия в демо-проекте по расширению описания уязвимостей (пример)
    • Проанализировала дата-сет CVEFixes для получения оценки вероятности уязвимости в коде и разработала скрипт переподготовки набора, что улучшило точность модели для заданных языков
    • Разработала CLI-инструмент для автоматической конвертации правил между сканерами AppScreener и PT AI для унификации процесса разработки правил без дублирования работы
  • Популяризация знаний и вклад в ИБ-сообщество
    • Активно публиковала статьи о результатах исследований на Habr
    • Участвовала в наполнении базы знаний DevSecOps Wiki

OZON.ru

Младший инженер по информационной безопасности, отдел продуктовой безопасности

🗓 08/2021 - 09/2023 (2 года)
  • Defect Managment
    • Привела процесс управления к 3-му уровню зрелости согласно методологии OWASP SAMM
    • Развивала процесс жизненного цикла уязвимости в компании и автоматизация его отслеживания на каждом из этапов (на основании руководящих стандартов и рекомендаций)
    • Разработала автоматизацию, позволяющую контролировать сроки исполнения тикетов и их форсирования и/или эскалации в случае нарушения
    • Разработала автоматизацию, снижающую ручной труд по ведению реестра уязвимостей, включающую удобное визуальное представление информации (дашборды, уведомления и т.д.)
    • Кроме этого, разработала автоматизацию контроля деплоя и выкатки новых фич, содержащий уязвимости в коде
    • Наладила поставку и визуализация бизнес-метрик самого процесса Defect Management
  • Разработка сервиса одноразовых ссылок
    • Full-stack разработка сервиса с нуля в соответствии с best practice, принятыми в компании
    • Постоянная поддержка и развитие сервиса с учетом обратной связи пользователей и обновления инструментов платформы
    • Покрытие сервиса тестами на 30%
    • Сервис активно используется смежными командами в процессах восстановления паролей пользователей и предоставления доступа
  • Проведение аудитов и участие в поддержки Bug Bounty программы OZON
    • Предоставление рекомендаций по безопасности в качестве эксперта для команд разработчиков на всех этапах разработки
    • Построение процесса дежурства по аудитам и разборов репортов из программы
  • Автоматизация интеграций с сервисами информационной безопасности
    • Участие в разработке интеграции для управления сертификатами и сбора статистики КриптоПро DSS
    • Участие в разработке интеграции для внесения проектов в систему анализа уязвимостей Codescoring c gitlab API

🎓 Образование

МГТУ им. Н.Э. Баумана

Аспирант, Математическое и программное обеспечение вычислительных систем, комплексов и компьютерных сетей

🗓 2024 - 2027

МГТУ им. Н.Э. Баумана

Специалист, Компьютерная безопасность, диплом с отличием

🗓 2016 - 2022

📚 Полезные навыки в области разработки

  • Понимание работы сетей и основных сетевых протоколов
  • Знания в области computer science (алгоритмы и структуры данных)
  • Высокая математическая подготовка в области криптографии (алгоритмы шифрования, хешифрования, PKI)
  • Базовые знания в области контейнеризации и виртуализации