ТестированиеSecOps
10 новостей об оценке защищенности
21.5к.
Сегодня я хотел написать другую заметку, посвященную SOCам, но как-то так все сложилось, что за последние несколько дней тема оценки защищенности заиграла новыми красками и набралось целых семь новостей по этой теме, которые я бы и хотел свести в рамках одной заметки. Началось все с сообщения ФСТЭК России об утверждении двух методик: программных, программно-аппаратных средств […
Бизнес без опасности
ФСТЭК и АНББизнес
Экономическая эффективность Bug Bounty или зачем Россия третий раз входит в эту реку
0474
Кто более-менее внимательно следит за моим блогом (хотя в последнее время из-за загрузки на работе я его немного и подзапустил, но я исправлюсь), тот помнит, что к теме Bug Bounty я обращался неоднократно (👇🏻 вы найдете список заметок, где я про это писал) и первый раз это было еще в 2013-м году. И вот снова, […]
Бизнес без опасности
Безопасность open sourceУгрозы
Инфраструктурные ИБшники скоро будут никому не нужны или как бороться с закладками в ПО?
31.1к.
На днях, в рамках проекта , довелось мне модерировать эфир про закладки в программном обеспечении. Надо сказать, что когда мы придумывали идею эфира, я изначально не очень хотел вновь повторяться с уже не раз звучавшей темой про DevSecOps или SecDevOps. Да, она важно и нужна, но есть и более близкая ИБшникам тема, про которую не […]
Бизнес без опасности
Рост числа уязвимостей за последние 20 летSecOps
Какая стратегия управления уязвимостями лучше?
01.3к.
Прошедшая ночь была богата на события, которые преимущественно исходили из-за океана. Тут и пресс-конференция Байдена по случае первого года его президентства, после которой его пресс-секретарь Джен Псаки сделала ряд заявлений по поводу ситуации вокруг Украины, в которых прозвучало то, о чем я писал пару дней назад в Telegram, а именно предупреждение о том, что под […
Бизнес без опасности
Законодательство
Презентации с Payment Security по 0-day и нормативке ЦБ
012
На прошлой недел в Питере прошла уже в очередной раз конференция Payment Security, на которой я выступал (точнее, пытался; из-за болезни) с двумя презентациями — про борьбе с 0day-атаками и про нормативку ЦБ по ИБ. Выкладываю. Один зеродей и тысяча ночей без сна from Aleksey Lukatskiy Новинки нормотворчества по ИБ от Банка России from Aleksey […
Бизнес без опасности
Стратегия
Устранение уязвимостей. Подход №2
161
Решил вернуться я к теме, поднятой неделю назад, относительно приоритезации устранения уязвимостей. Никита Ремезов в Фейсбуке справедливо заметил, что она ориентирована в первую очередь на госов и надо признать, что это так. К этой схеме он предложил добавить привязку к критичности сканируемых ресурсов для бизнеса. Да, и это тоже верно и контекстные метрики в CVSSv3 […
Бизнес без опасности
Стратегия
Устранять или нет? Вот в чем вопрос!
125
Malotavr, который недавно вновь вернулся в эпистолярный жанр по ИБ, обратил свое пристальное внимание на тему управления уязвимостями (тут и тут). И это немудрено, учитывая место его работы — компанию Positive Technologies. Так сложилось, что и я недавно погрузился в эту тему, задавшись достаточно простым, на первый взгляд, вопросом —
Бизнес без опасности
Угрозы
Взлом Equifax: разбор полетов
118
В августе Счетная палата США опубликовала отчет о результатах расследования нашумевшего взлома американского бюро кредитных историй Equifax, в результате которого злоумышленники получили доступ к персональным данным 145 миллионов граждан США, Канады и Великобритании. Сам по себе взлом не представлял собой ничего необычного.
Бизнес без опасности
Угрозы
Конференция ФСТЭК: финальный аккорд
08
Завершить рассказ (начало тут, тут и тут) о конференции ФСТЭК мне бы хотелось рассказом о некоторых докладах, которые запомнились (рекламные доклады я в расчет не беру). Начну с Конфидента, который в очередной раз порадовал хорошей аналитикой. В ноябре они в Питере уже делали очень хороший доклад на тему возможности (а точнее невозможности) выполнения требований по […
Бизнес без опасности
Угрозы
7 гипотез об уязвимостях в ПО
034
Хочу продолжить начатую вчера тему про управление уязвимостями, но посмотреть на нее теперь с точки зрения производителя. Готовя вчерашний материал, я наткнулся на интересное исследование «An Empirical Analysis of Software Vendors’ Patching Behavior: Impact of Vulnerability Disclosure«, которое базируется на изучении данных и статистики CERT/CC и SecurityFocus по уязвимостям.
Бизнес без опасности