Угрозы
Методике оценки угроз я решил посвятить отдельную заметку, продолжающую рассказ о конференции ФСТЭК. Все-таки я достаточно активно критиковал этот документ и мне интересно, что получится после внесения изменений, которые и были озвучены в докладе Ирины Гефнер из ФСТЭК. Для начала стоит отметить, что ФСТЭК за прошлый год рассмотрела около 700 моделей
IDC выпустила отличный отчет (по подписке) про шифровальщиков, где, опросив 850+ человек из разных стран мира, включая и Россию, они выяснили, платили ли жертвы выкуп вымогателям и сколько, какие системы чаще всего были подвержены заражениям, с помощью каких технологий обнаруживались шифровальщики в первую очередь (тут был сюрприз —
«Светофор» для определения уровня опасности в киберпространстве — штука выглядящая очень простой, но при этом эффективной. Что может быть проще? Государство установило нужный уровень — все побежали реализовывать соответствующие цвету мероприятия. Помните в школе? «Красный — стой! Желтый —
20 лет назад я написал статью «» и посетовал на то, что в России нет простой системы визуализации уровня киберугрозы, аналогичной тому, что сделано в разных странах (например, США) применительно к уровню угрозы террористической. И тогда же я привел два примера, как это сделано зарубежом именно для оценки угрозы в виртуальном пространстве. Первым примером можно […
Любой Топ10 техник злоумышленников — это всегда палка о двух концах. С одной стороны ты можешь приоритизировать свои усилия по защите, проверить, покрываются ли нужные источники телеметрии средствами мониторинга, проверить защитные меры. А с другой — ты можешь стать заложником этого Топа, забыв про контроль других техник, которые для тебя
В первом квартале 2022 года ФСТЭК обещала обновить свою методику оценки угроз и все мы с нетерпением ждем этого события. А пока я предлагаю проверить, насколько хорошо вы знакомы с подходами к моделированию угроз и взглядом российского законодательства на эту тему. Мне кажется это будет хорошим завершением календарного года и плавным переходом от полезного поста […
«Война на пороге, а мы не готовы! Нет, мы не готовы к войне!». Почти с этой ставшей классикой фразы началась пленарка SOC Forum 2021, который стал самым крупным мероприятием по ИБ этого года (две с лишним тысяч регистраций только на оффлайн-площадке, не говоря уже об онлайн-участниках). Ажиотаж вокруг антиковидных мер, неопределенность и желание успеть попасть […
Секцию по дипфейкам и атакам на биометрию в рамках конференции Antifraud Russia 2021, после обзора текущего состояния этой проблемы, сделанного Александром Антиповым, главредом портала SecurityLab.ru, я начал именно с вопроса в зал — сколько человек, из порядка сотни участников секции, сдало свою биометрию в ЕБС. Поднялось всего 2 руки!
Интересная история. Завершил тут на днях читать курс для региональных органов внутренних дел. Изначально задача стояла простая — «расскажите нам про рынок киберпреступности и про то, как вообще устроена отрасль ИБ в России, какие есть регуляторы, правоприменительная практика и вот это вот все». Сказано, сделано.
Решил я тут раскрыть чуть больше краткую заметку в своем Telegram, посвященную моделированию угроз в процессе разработки ПО. Я написал следующее: «Методика оценки угроз ФСТЭК не применяется при моделировании угроз в рамках безопасной разработки. Учитывая, что ФСТЭК уделяет последней очень много внимания, стоит ли ждать отдельного документа/стандарта по этому вопросу?