Appsec EU 2016 – security in the wild!

Varje år samlas säkerhetsexperter från hela världen på OWASP (eller Open Web Application Security Project), som är det ledande eventet inom applikationssäkerhet inom webb. Så även i år, då Louis Hansen från Webstep gästade konferensen och här berättar om sina erfarenheter. Fokus för denna konferens var, som namnet avslöjar, de olika aspekterna kring applikationssäkerhet.

Konferensen fokuserar varje år på ett antal olika ämnen. Så även denna gång då Builder, Breaker, CISO och Defender stod på dagordningen.

Kontrasterna blir väldigt påtagliga när man går från en presentation där man går igenom de 10 värsta webbattackerna under 2015 till en som handlar om konsekvenserna av att använda 3:e parts applikationer och vidare till en genomgång om hur man använder OWASP Zed Attack Proxy på bästa sätt.

Formatet för själva konferensen är i sig ganska enkelt uppbyggt med 3 huvudtalare under två dagar och 4 olika spår man kan följa.

På agendan står även Lightning Training, som innebär 40 minuters sessioner där deltagarna ges möjlighet att praktiskt jobba med de olika verktygen istället för att bara lyssna på en föreläsning.

Personligen gillar jag när det finns flera olika spår att följa på en konferens, det betyder ofta att man alltid kan hitta något som är extra spännande på just det personliga planet. Det har också den effekten att man får svårt att välja om man ska till den ena eller andra föreläsningen.

Lyxproblem? Absolut!

Extra frustrerande är det när man missar en riktigt bra föreläsning för att man var på en annan som var minst lika bra. Fördelen är då när man fortfarande får möjligheten att utväxla erfarenheter med andra på plats. Jag hade tur att vara där med personer som jag jobbar med på ett av mina uppdrag och det var otroligt spännande att se vad de valde att följa för presentationer och lyssna på deras berättelser efteråt. Ett uppskattat inslag var såklart möjligheten att mingla mellan presentationerna och under luncher eller fikapauser, inte bara med andra deltagare men också med talarna och höra mer om de olika ämnena som de presenterat.

På plats i pauserna, fanns också ett gäng olika sponsorer. Från Rapid7 (som erbjuder verktyg för att skanna efter sårbarheter i applikationer), till holländska Software Improvement Group (arbetar med tekniker och tjänster för att verifiera källkod).

En av de mer intressanta presentationerna jag hade möjlighet att delta på, hölls av Chris Romeo, som berättade om hur han hade varit med att bygga upp ett Security Awareness Program hos Cisco. Han berättade här hur applikationen riktade sig till de anställda och hur programmet lärde de anställda allt från väldigt grundläggande säkerhetskoncept (som att inte lämna sin dator olåst) till att ge tydliga exempel på hur man som säkrar sin kod mot olika sorters attacker.

Efteråt fick jag möjligheten att prata med Chris och vi kom snabbt in på några av de användningsområden som jag brinner för, nämligen möjligheten att hjälpa företag påbörja deras resa inom säkerhet, vilket även var en passion för Chris som här berättade om hans eget företag, Security Journey, som han startade efter sin tid hos Cisco.

En annan föreläsare, var Marisa Fagan från SalesForce, som här berättade om ”the hidden cool factor”, som IT-säkerhet har från kultklassiker i stil med Hackers fram till moderna filmer som Blackhat, eller TV-serier som Mr. Robot.

Vidare berättade Marisa om hur IT-säkerhet spelar en väldigt stor roll och att den absolut inte kommer att minska i framtiden. En av frågorna hon ställde i sin presentation, var ”hur använder vi detta för att attrahera nya människor till branschen”?

Inte nog med att hon gav oss svaret på detta, vi fick även se en massa coola t-shirts och telefonboxar som hon har som hobby att fota. ;)

Under dagarna i Rom, så besökte jag många bra presentationer, flera riktigt bra, men även några som var.. well, jag vill inte säga dåliga, men dom matchade inte riktigt mina förväntningar. Oavsett detta, så känns det som att jag fick valuta för pengarna, med mer än tillräckligt med spännande innehåll, från talare, mingel, diskussionsforum och praktiska exempel.

Som förstagångsbesökare på AppSec EU så är det tydligt att man här gör sitt bästa för att skapa en öppen och vänlig miljö. Extra kul var det att få träffa folk från OWASP-sektionen i Los Angeles.

Får jag möjlighet kommer jag absolut åka och hälsa på dem när nästa event hålls i deras del av världen.

Utan tvekan är det här en konferens som jag tänker åka till igen. Nästa gång blir i Belfast.

Sedan står även ett livstidsmedlemskap i OWASP väldigt högt på min lista.

Det är väldigt få arbetsgivare som erbjuder möjligheten att delta på event och konferenser som kanske inte alltid ligger direkt inom sitt eget verksamhetsområde. Hos oss på Webstep satsar man passionerat på vidareutveckling av den anställde genom att proaktivt investera i framtiden. Det är samma passion och driv jag tydligt känner efter dagarna i Rom på AppSec EU.

Det är en passion som gör att man inte kan annat än låta sig inspireras!

About the author - Louis Hansen, avid speaker and Consultant @ Webstep
Louis Hansen is a driven developer always striving to learn new things and share this knowledge with those around him. He is a co-organizer for multiple user groups at Foo Café in Malmö, where he enjoys discussions about craftsmanship and the many ways that dedication to our craft can make our daily lives easier and deliver more value to our users