В прошлую пятницу выступал по приглашению на киевской UISGCON. Впечатлениями поделюсь позже, а пока выкладываю свою презентацию, посвященную моделированию угроз сетевой инфраструктуры.
Подписчик, за что ему спасибо, прислал фрагмент интересной
Зашел у меня тут разговор с коллегами, которые работают
Если вернуться к прошлой заметке про сдерживание искусственного
Побуду сегодня Капитаном Очевидность, но на прошлой
2023-й год ознаменовался собой активной кампанией исследователей
Практическая безопасность, описанная в прошлой заметке, —
Интересная презентация. Правда, некоторые слайды без комментариев понять трудновато.
С точки зрения методологии не всё безупречно. Большинство ошибок обусловлено ГОСТами — в них, практически, всё неправильно (с точки зрения логики). Но есть и авторские небесспорные трактовки. Например, админы не есть "часть сети" (сл.28), а есть "часть АС"! Человек в состав сети не входит по определению, но является частью автоматизированной системы. Слайд 92 — это не о рисках, а об угрозах. Риск — атрибут собственных действий, угроза — атрибут действий Другого. Уничтожив источник угрозы, можно избежать конкретной угрозы, но риск как был, так и останется (может быть чуточку снизится, но не исчезнет). "Принять риск" не означает "прекратить борьбу". Это означает "вступить в борьбу, несмотря на существующую возможность понести потери (ущерб)". "Передача риска" — это, прежде всего, делегирование права принятия решения. Защищаются от угроз (атак), риски снижают или их избегают. Но в целом — замечательно. Есть над чем задуматься.
В слайдах 45-47 методики анализа рисков повторяются.