Угрозы
А как вы защищаете ваши средства сетевой безопасности и сетевое оборудование?
01.1к.
В мире, если верить американцам, существует 4 основных источника киберугроз — Китай, Россия, Северная Корея и Иран. По крайней мере для прогрессивной демократии. И вроде как, следуя поговорке «враг моего врага мне друг», эти страны, исключая Россию, не должна атаковать нас, фокусируясь целиком на Европе и США. Но нет…
Бизнес без опасности
SecOps
От управления площадью атаки к управлению сопротивляемостью атакам
3740
Раз уж вчера я обозрел один отчет сокращающей свой персонал HackerOne, то сегодня решил обратить свое внимание на другой их отчет; мало ли, вдруг больше ничего не выпустят. Новый посвящен достаточно интересному и новому понятию — «сопротивляемость атакам» (attack resistance). HackerOne его ввел непросто так —
Бизнес без опасности
SecOps
Мотивация хакеров, правила выбора ими целей, а также причины скрытия найденных уязвимостей…
0898
Компания HackerOne, которая на днях объявила о сокращении 12% своего персонала из-за экономической рецессии, успела выпустить с обзором деятельности легальных хакеров и там на мой взгляд нашлось немало интересных фактов и выводов, которые мне и хотелось бы подсветить в заметке. Во-первых,  92% белых хакеров в 2022-м году смогли найти уязвимости, которых не находили сканеры безопасности!
Бизнес без опасности
Web-сайтSecOps
О взломе сайтов на Битриксе
21.5к.
В Telegram-канале «Кибервойна» вчера появилась про атаки на web-сайты под управлением Битрикс, в которой был задан сакраментальный и риторический одновременно вопрос. Если ФСТЭК рекомендации и требования по оценке защищенности и устранению уязвимостей, НКЦКИ выпускает бюллетени по уязвимостям в Битриксе (например, и ), РКН расследует факты
Бизнес без опасности
Анализ защищенностиЗаконодательство
От бумажной ИБ к практической. Новый приказ ФСБ по мониторингу защищенности
24.3к.
На портале правовой информации приказ ФСБ от 11.05.2023 № 213 «Об утверждении порядка осуществления мониторинга защищенности информационных ресурсов, принадлежащих федеральным органам исполнительной власти, высшим исполнительным органам государственной власти субъектов Российской Федерации, государственным фондам, государственным корпорациям (компаниям)
Бизнес без опасности
Анализ защищенностиSecOps
10 новостей об оценке защищенности
22.2к.
Сегодня я хотел написать другую заметку, посвященную SOCам, но как-то так все сложилось, что за последние несколько дней тема оценки защищенности заиграла новыми красками и набралось целых семь новостей по этой теме, которые я бы и хотел свести в рамках одной заметки. Началось все с сообщения ФСТЭК России об утверждении двух методик: программных, программно-аппаратных средств […
Бизнес без опасности
ФСТЭК и АНББизнес
Экономическая эффективность Bug Bounty или зачем Россия третий раз входит в эту реку
0583
Кто более-менее внимательно следит за моим блогом (хотя в последнее время из-за загрузки на работе я его немного и подзапустил, но я исправлюсь), тот помнит, что к теме Bug Bounty я обращался неоднократно (👇🏻 вы найдете список заметок, где я про это писал) и первый раз это было еще в 2013-м году. И вот снова, […]
Бизнес без опасности
Безопасность open sourceУгрозы
Инфраструктурные ИБшники скоро будут никому не нужны или как бороться с закладками в ПО?
31.3к.
На днях, в рамках проекта , довелось мне модерировать эфир про закладки в программном обеспечении. Надо сказать, что когда мы придумывали идею эфира, я изначально не очень хотел вновь повторяться с уже не раз звучавшей темой про DevSecOps или SecDevOps. Да, она важно и нужна, но есть и более близкая ИБшникам тема, про которую не […]
Бизнес без опасности
Рост числа уязвимостей за последние 20 летSecOps
Какая стратегия управления уязвимостями лучше?
01.3к.
Прошедшая ночь была богата на события, которые преимущественно исходили из-за океана. Тут и пресс-конференция Байдена по случае первого года его президентства, после которой его пресс-секретарь Джен Псаки сделала ряд заявлений по поводу ситуации вокруг Украины, в которых прозвучало то, о чем я писал пару дней назад в Telegram, а именно предупреждение о том, что под […
Бизнес без опасности
Законодательство
Презентации с Payment Security по 0-day и нормативке ЦБ
029
На прошлой недел в Питере прошла уже в очередной раз конференция Payment Security, на которой я выступал (точнее, пытался; из-за болезни) с двумя презентациями — про борьбе с 0day-атаками и про нормативку ЦБ по ИБ. Выкладываю. Один зеродей и тысяча ночей без сна from Aleksey Lukatskiy Новинки нормотворчества по ИБ от Банка России from Aleksey […
Бизнес без опасности