уязвимости
Если вернуться к заметке про результат решения по управлению уязвимостями, то я там упоминаю такой показатель, как TTX, то есть Time to Exploit или время на эксплуатацию уязвимости, который очень сложно измерять самостоятельно. Так как же его тогда оценивать, чтобы сравнивать с другим показателем (Time to Notify, TTN)? Увы, универсального источника данных нет —
Хочется ли вам, чтобы покупаемые вами продукты были результативными? Наверное, да. Всегда хочется похвастаться тем, что используемое решение дает некий результат, а значит мы не сделали ошибки, выбрав то или иное решение; Даже если оно бесплатное и open source. Но что такое результативность продукта? В чем она измеряется. Я тут готовился к выступлению, где как […
В мире, если верить американцам, существует 4 основных источника киберугроз — Китай, Россия, Северная Корея и Иран. По крайней мере для прогрессивной демократии. И вроде как, следуя поговорке «враг моего врага мне друг», эти страны, исключая Россию, не должна атаковать нас, фокусируясь целиком на Европе и США. Но нет…
Раз уж вчера я обозрел один отчет сокращающей свой персонал HackerOne, то сегодня решил обратить свое внимание на другой их отчет; мало ли, вдруг больше ничего не выпустят. Новый посвящен достаточно интересному и новому понятию — «сопротивляемость атакам» (attack resistance). HackerOne его ввел непросто так —
Компания HackerOne, которая на днях объявила о сокращении 12% своего персонала из-за экономической рецессии, успела выпустить с обзором деятельности легальных хакеров и там на мой взгляд нашлось немало интересных фактов и выводов, которые мне и хотелось бы подсветить в заметке. Во-первых, 92% белых хакеров в 2022-м году смогли найти уязвимости, которых не находили сканеры безопасности!
В Telegram-канале «Кибервойна» вчера появилась про атаки на web-сайты под управлением Битрикс, в которой был задан сакраментальный и риторический одновременно вопрос. Если ФСТЭК рекомендации и требования по оценке защищенности и устранению уязвимостей, НКЦКИ выпускает бюллетени по уязвимостям в Битриксе (например, и ), РКН расследует факты
На портале правовой информации приказ ФСБ от 11.05.2023 № 213 «Об утверждении порядка осуществления мониторинга защищенности информационных ресурсов, принадлежащих федеральным органам исполнительной власти, высшим исполнительным органам государственной власти субъектов Российской Федерации, государственным фондам, государственным корпорациям (компаниям)
Сегодня я хотел написать другую заметку, посвященную SOCам, но как-то так все сложилось, что за последние несколько дней тема оценки защищенности заиграла новыми красками и набралось целых семь новостей по этой теме, которые я бы и хотел свести в рамках одной заметки. Началось все с сообщения ФСТЭК России об утверждении двух методик: программных, программно-аппаратных средств […
Кто более-менее внимательно следит за моим блогом (хотя в последнее время из-за загрузки на работе я его немного и подзапустил, но я исправлюсь), тот помнит, что к теме Bug Bounty я обращался неоднократно (👇🏻 вы найдете список заметок, где я про это писал) и первый раз это было еще в 2013-м году. И вот снова, […]
На днях, в рамках проекта , довелось мне модерировать эфир про закладки в программном обеспечении. Надо сказать, что когда мы придумывали идею эфира, я изначально не очень хотел вновь повторяться с уже не раз звучавшей темой про DevSecOps или SecDevOps. Да, она важно и нужна, но есть и более близкая ИБшникам тема, про которую не […]