Web
Для начала начну с двух определений, важных в контексте рассматриваемой статьи и которые вряд ли знакомы широкому кругу специалистов по ИБ: eIDAS (electronic IDentification, Authentication and trust Services) — принятый 23 июля 2014 г. в Евросоюзе регламент об электронной идентификации, аутентификации и доверенных услугах, который был разработан
В Telegram-канале «Кибервойна» вчера появилась про атаки на web-сайты под управлением Битрикс, в которой был задан сакраментальный и риторический одновременно вопрос. Если ФСТЭК рекомендации и требования по оценке защищенности и устранению уязвимостей, НКЦКИ выпускает бюллетени по уязвимостям в Битриксе (например, и ), РКН расследует факты
Минцифры о предоставлении юридическим лицам (а как же физические?) возможности получить для сайта сертификат SSL/TLS, который заменит иностранный сертификат безопасности в случае его отзыва или окончания срока действия. В целом, это достаточно позитивная новость, так как такая возможность позволяет попавшим под санкции организациям все равно предоставлять безопасные услуги своим клиентам.
SecOps
Выступал на Russian Internet Week с рассказом про угрозы со стороны DNS и использование DNS как инструмента для проведения расследований инцидентов, защиты бренда, поиска сайтов-клонов и т.п. задач. Выкладываю презентацию: DNS как улика from Aleksey Lukatskiy Скачать ее можно с Dropbox. Кроме того, сегодня вышла и одноименная статья, которая по сути
Продолжая тему, начатую презентацией про обоснование финансовых инвестиций в ИБ, которую я читал на питерской Payment Security, я бы хотел привести кейс, который с цифрами в руках доказывает, что безопасность может мешать бизнесу, снижая его доходы. Если мы «продаем» ИБ под соусом борьбы с угрозами или выполнения регулятивных требований, то
А продолжу-ка я тему блогерства, подумал я, и продолжил. Навеял мне эту заметку репортаж о деле ростовского блогера, которую в начале года взломали неизвестные лица (и делали это трижды) и разместили в блоге информацию, порочащую неких московских адвокатов, которые и подали в суд на блогера (суд состоится 30 июня). От блогера, а также от владельцев […
Так удачно сложилось, что сегодня у меня на курсе по промышленной ИБ как раз идет тема по реагированию на инциденты, где инструктор рассказывает в чем отличие между этим процессом в обычной ИБ и в промышленной. Ну и по ходу приводит различные кейсы и примеры из жизни. Если коротко, то его идея заключается в следующем — […]
Угрозы
По плану сегодня я хотел опубликовать другую заметку. Но так получилось, что планы мои поменялись. В пятницу вечером я активно гуглил в поисках нужной мне информации. Сначала я искал просто ссылки, потом сконцентрировался на поиске конкретных презентаций, ну а потом затянуло 😉 Я стал играться с Google, вспомнив, как прошлой осенью в Интернете разгорелся скандал […
Стратегия
За последнее время наткнулся на несколько интересных документов по ИБ. Информацию о них я кидал в Twitter, но не факт, что все видели эти ссылки. Первый документ, а точнее его проект, подготовлен OWASP (The Open Web Application Security Project). Документ называется «Application Security Guide For CISOs» и это название говорит само за себя. Собственно сам […
Разное
22 июня WhiteHat Security, известная на рынке Web-безопасности, анонсировала покупку технологии статического анализа кода у Infrared Security.