Безопасность open sourceУгрозы
Инфраструктурные ИБшники скоро будут никому не нужны или как бороться с закладками в ПО?
31к.
На днях, в рамках проекта , довелось мне модерировать эфир про закладки в программном обеспечении. Надо сказать, что когда мы придумывали идею эфира, я изначально не очень хотел вновь повторяться с уже не раз звучавшей темой про DevSecOps или SecDevOps. Да, она важно и нужна, но есть и более близкая ИБшникам тема, про которую не […]
Бизнес без опасности
Рост числа уязвимостей за последние 20 летSecOps
Какая стратегия управления уязвимостями лучше?
01.2к.
Прошедшая ночь была богата на события, которые преимущественно исходили из-за океана. Тут и пресс-конференция Байдена по случае первого года его президентства, после которой его пресс-секретарь Джен Псаки сделала ряд заявлений по поводу ситуации вокруг Украины, в которых прозвучало то, о чем я писал пару дней назад в Telegram, а именно предупреждение о том, что под […
Бизнес без опасности
Законодательство
Презентации с Payment Security по 0-day и нормативке ЦБ
011
На прошлой недел в Питере прошла уже в очередной раз конференция Payment Security, на которой я выступал (точнее, пытался; из-за болезни) с двумя презентациями — про борьбе с 0day-атаками и про нормативку ЦБ по ИБ. Выкладываю. Один зеродей и тысяча ночей без сна from Aleksey Lukatskiy Новинки нормотворчества по ИБ от Банка России from Aleksey […
Бизнес без опасности
Стратегия
Устранение уязвимостей. Подход №2
143
Решил вернуться я к теме, поднятой неделю назад, относительно приоритезации устранения уязвимостей. Никита Ремезов в Фейсбуке справедливо заметил, что она ориентирована в первую очередь на госов и надо признать, что это так. К этой схеме он предложил добавить привязку к критичности сканируемых ресурсов для бизнеса. Да, и это тоже верно и контекстные метрики в CVSSv3 […
Бизнес без опасности
Стратегия
Устранять или нет? Вот в чем вопрос!
122
Malotavr, который недавно вновь вернулся в эпистолярный жанр по ИБ, обратил свое пристальное внимание на тему управления уязвимостями (тут и тут). И это немудрено, учитывая место его работы — компанию Positive Technologies. Так сложилось, что и я недавно погрузился в эту тему, задавшись достаточно простым, на первый взгляд, вопросом —
Бизнес без опасности
Угрозы
Взлом Equifax: разбор полетов
115
В августе Счетная палата США опубликовала отчет о результатах расследования нашумевшего взлома американского бюро кредитных историй Equifax, в результате которого злоумышленники получили доступ к персональным данным 145 миллионов граждан США, Канады и Великобритании. Сам по себе взлом не представлял собой ничего необычного.
Бизнес без опасности
Угрозы
Конференция ФСТЭК: финальный аккорд
04
Завершить рассказ (начало тут, тут и тут) о конференции ФСТЭК мне бы хотелось рассказом о некоторых докладах, которые запомнились (рекламные доклады я в расчет не беру). Начну с Конфидента, который в очередной раз порадовал хорошей аналитикой. В ноябре они в Питере уже делали очень хороший доклад на тему возможности (а точнее невозможности) выполнения требований по […
Бизнес без опасности
Угрозы
7 гипотез об уязвимостях в ПО
020
Хочу продолжить начатую вчера тему про управление уязвимостями, но посмотреть на нее теперь с точки зрения производителя. Готовя вчерашний материал, я наткнулся на интересное исследование «An Empirical Analysis of Software Vendors’ Patching Behavior: Impact of Vulnerability Disclosure«, которое базируется на изучении данных и статистики CERT/CC и SecurityFocus по уязвимостям.
Бизнес без опасности
Угрозы
Среднее время неустранения уязвимостей пользователями — 5 лет!
09
Как вы думаете, сколько времени проходит с момента появления информации об уязвимости и ее закрытием со стороны производителя? А сколько времени уязвимость не закрывается потребителем уязвимого ПО или инфраструктурного оборудования, даже несмотря на наличие выпущенного и бесплатно доступного обновления? В последнее время тема управления уязвимостями
Бизнес без опасности
Угрозы
Heartbleed, атрибуция кибератак и бритва Хенлона
07
Давно хотел написать эту заметку, но все как-то руки не доходили. Но после почти месяца пребывания в США тема всплыла вновь и теперь я уже не могу про нее не написать. Но сначала я задам риторический вопрос: «Кто стоит за уязвимостью Heartbleed?» Отдельные чудаки, как это часто бывает, безапелляционно скажут, что это АНБ внедрило уязвимость, […
Бизнес без опасности