ТестированиеSecOps
10 новостей об оценке защищенности
2890
Сегодня я хотел написать другую заметку, посвященную SOCам, но как-то так все сложилось, что за последние несколько дней тема оценки защищенности заиграла новыми красками и набралось целых семь новостей по этой теме, которые я бы и хотел свести в рамках одной заметки. Началось все с сообщения ФСТЭК России об утверждении двух методик: программных, программно-аппаратных средств […
Бизнес без опасности
Угрозы
Крупное обновление ATT&CK — базы знаний тактик и техник злоумышленников
024
В 2016-м году я уже писал про интересный проект корпорации MITRE, известной по своим инициативам в области ИБ, самой популярной из которых является проект CVE, а также стандарты STIX и TAXII. Так вот матрица ATT&CK (Adversarial Tactics, Techniques and Common Knowledge) по сути является базой знаний и моделью для оценки поведения злоумышленников
Бизнес без опасности
Законодательство
На деятельность пентестеров, аудиторов и SOCов требуется лицензия!
2754
15-го июня было принято новое Постановление Правительства №541, о проекте которого я уже писал в феврале и которое внесло поправки в правила лицензирования деятельности по защите информации и по разработке средств защиты информации. Я летом что-то замотался и забыл про него написать, а позавчера на SOC Forum (кстати, материалы с него уже выложили) начальник 2-го […
Бизнес без опасности
Законодательство
Новости защиты ГИС или как Барак Обама нарушил бы 17-й приказ, если бы он был российским чиновником
114
12-го февраля, во время церемонии подписания своего указа об обмене информацией об угрозах информационной безопасности, Президент США признался, что долгое время в качестве своих паролей использовал «классические» — «password» и «123457» 🙂 Нарушитель 17-го приказа ФСТЭК гражданин Барак Хуссейнович Обама Будь
Бизнес без опасности
Рефлексия
Этика пентеста или когда у пентестеров появится свой Гиппократ?
2328
Профессия пентестера достаточно молода, но уже вызывает немало споров относительно того, что и как делает пентестер в рамках тестирования защищенности систем своих заказчиков. Чем-то эта профессия сродни полицейским и врачам, которые в благих целях совершают вторжение (а местами и насилие) в жизнь своих «подопечных»
Бизнес без опасности
Рефлексия
Об этике пентестера/ИБ-аудитора
424
Нахожусь в культурной столице нашей необъятной Родины. Общаюсь с коллегами, друзьями, заказчиками… И вот один из заказчиков поднимает интересную тему, можно даже сказать философскую. Про этику пентестера. А навеяно это было нехорошей ситуацией. Известная питерская фирма, занимающаяся аудитом, провела пентест инфраструктуры заказчика, включая и
Бизнес без опасности
Законодательство
Концепция аудита ИБ от ФСТЭК
328
Вчера я рассказал про проект РД ФСТЭК по жизненному циклу изделий ИТ в контексте информационной безопасности. Но это еще не все. В списке разработанных проектов была и концепция аудита ИБ систем ИТ и организаций. Предпосылка создания документа была описана в преамбуле: «Вместе с тем, в стране отсутствует единая система взглядов на государствен-ное
Бизнес без опасности
Стратегия
Cisco SecCon: постскриптум или почему так важен SDLC
013
Сегодня закончился второй день конференции SecCon, о которой я начал писать вчера. Основным лейтмотивом мероприятия была защита кода во всех ее проявлениях и на всех стадиях его жизненного цикла — начиная от разработки и тестирования и заканчивая обучением специалистов. При этом, как я уже писал, хотя мероприятия было рассчитано на сотрудников
Бизнес без опасности
Стратегия
Как Cisco проводит аудит безопасности собственной сети
69
Вчера на Инфобезе читал презу о том, как Cisco сама проводит аудит безопасности собственной сети. Выложил презентацию у нас в корпоративном блоге.
Бизнес без опасности
Разное
Круглый стол на Инфобезе
00
5-го октября в рамках «Инфобезопасность-Экспо» с 10.30 до 12.00 в 5-м зале 7-го павильона Экспоцентра на Красной Пресне я веду круглый стол, посвященный вопросам защищенного мобильного доступа. В программе были заявлены следующие темы: Что такое мобильный офис? Возможен ли он в России? Что сдерживает его использование – 
Бизнес без опасности