1619
Memes and thoughts about work Предложка @Te_Erevia
Закон трех поколений в ИБ
Первое поколение ИБшников смотрит на предыдущих старперов, находит тему на которой взлетает на уровень «преза замечательна, докладчик гений» и сидит на ней годами.
Второе поколение ИБшников смотрит на первое, начинает повторять комформное состояние, обсасывает те же темы и не добавляет почти ничего нового.
Третье поколение ИБшников смотрит на первые два, переписывает те же темы заново (не сотрудник на ГПХ ака внешний консультант, а vCISO, гениально! (нет)) и снова обсасывает одни и те же темы.
Затем история повторяется.
Морали нет, но если открывать разные статьи штатовских и европейских ребят, то можно заметить что 3 поколения проходят за 6-11 лет).
Как крепить процессы
Многие из руководов часто сталкиваются с тем что между тем что ты рисуешь процесс и он реализуется на автомате есть большая и классная пропасть где процесс лихорадит во все стороны, на него частями забивают и иногда он к чертям разваливается.
В сущности для закрепления процесса надо следовать следующим (не всегда простым) шагам:
1) Описать процесс в виде инструкций и провести детский тест. Суть такова что не важно на сколько подробно вы опишете процесс - вас всегда поймут некорректно там где есть малейшая возможность понять некорректно. Тестируйте описание процесса об самого неопытного сотрудника, он вам точно расскажет чего не ясно.
2) Добавьте автоматические оповещения и / или тикеты которые невозможно проигнорировать, в противном случае каждый кто должен быть частью процесса (особенно если это монопроцесс, т.е. завязанный на одного ответственного) все обязательно продолбается.
3) Финализируйте все ежедневным отсмотром тех самых тикетов, иначе то, что вы не будете периодически «капать на мозг» окружающим, будет играть против вас, показывая, что нет смысла исполнять эти тикеты и делать работу по ним.
Вуаля, ваш процесс понемногу входит в колею, исполнитель и пользователи ругаются, предлагают коррективы где не удобно и процесс шлифуется. Вы замечательны (возможно немного ненавидимы, но тут зависит от того кому от этого процесса стало неудобно).
Когда тебе всунули поддержку и контроль видеонаблюдения (мол ты ж инфосек) и со скуки решил заглянуть что там у эйчаров
Читать полностью…
Не кривые рученьки персонала, а «беспрецедентная кибератака АРТ Asshands»
Читать полностью…
#канал_образовательный
Гартнер
Тренд 3: Трансформация операционной модели работы кибербезопасности в модель поддержки создания ценности
По мнению Гартнера, разные бизнесовые руководы признают что риск ИБ - это главный бизнес риск для управления, а не технологическая проблема (врут наверняка). И поддержка и ускорение выдачи бизнес результатов это основной приоритет ИБ и в то же время проблема.
Не смотря на все красивые слова, этот тренд будет практически мертв еще пару лет как минимум. Причина достаточно проста, но для этого нужно сделать небольшой экскурс в то, как обычно растет средняя компания.
Средняя компания начинается с максимально не безопасными процессами, т.к. именно это отсутствие ограничений, на первых порах дает возможность быстро подстраиваться под изменчивый рынок. Тут все просто, если внедрять процедуры безопасности - то компания допом тратится на безопасника, его технологические костыли, перепилку определенных процессов и вот эта совокупность на старте может компанию легко похоронить, просто экономика не сойдется.
Когда компания преодолевает эту стадию личинки, становится профицитной и превращается, например, в средний бизнес, эти самые не безопасные процессы обмотаны другими процессами донельзя и любое их изменение превращается в ухудшение операционных показателей бизнеса и соответствующие провалы, к которым бизнес обычно вообще не готов и считает за лучшее такого ИБ-реформатора или уволить или отправить на галерку мол «сиди бумажки пиши, в DLP смотри (не факт) и вообще делай хорошо и безопасно, но никого не трогай». Разные инфоцыгане от мира ИБ тут могут повозражать что мол «да вы просто криво объясняете бизнесу профит от ИБ и так далее», но факт остается фактом, как только менеджмент видит ухудшение операционных показателей и бизнесовые манагеры охотно ссылаются на ИБшника по поводу ухудшений, ИБ отправляется как нелюбимая игрушка - на полку.
Отдельно это усугубляется тем, что рынок никак не реагирует на большинство корпоративных взломов. Акции компаний особо не падают, люди продолжают потреблять сервисы, не смотря на то что их данные протекли, поэтому создать ценность из «безопасности для клиента, за счет которой он будет приходить к нам, а не к конкурентам» - очень интересный квест для будущих продакт овнеров. Есть конечно регуляторные штрафы, но при выборе между деньгами сейчас или штрафом потом, большинство бизнес руководов выберет штраф потом, потому что он может и не случится, а если случится - то отвечать как то совсем не ему лично.
Конечно есть варианты попыток плавной трансформации, а ля «будем изменять процессы плавно», но тогда изменение процессов может затянуться на 5-6 лет, а очень часто ИБшники на одном месте столько не живут, а вся незаконченная работа будет весело похоронена бизнесовыми ребятами после ухода, потому что для них это дополнительная головная боль, которая им не нужна.
Компромиссным вариантом конечно выглядит попытка действительно «продать» вопросы безопасности, но тогда надо быть очень хорошим внутренним маркетологом-продаваном, чтобы продавать:
1) Сразу на 3 уровнях (ТОП менеджмент, среднее звено и непосредственные сотрудники - пользователи процессов).
2) Продавать нормально уже готовый собранный вариант и с первого раза (не смогли продать с первого раза - во второй придется преодолевать всеобщее сопротивление людей которые убеждены что «в прошлый раз провалилось, в этот раз и пробовать не стоит, нам есть чем заняться».
Поэтому вангую, что большинство попыток продажи таких решений в ближайшие 2 года будут сводиться к нескольким путям (т.к. внутренний маркетинг в подразделениях ИБ обычно ооочень хромает):
#канал_образовательный
О Гартнер наш и трендов чудных
Открыл вчера новые тренды гартнера на 2023 год и решил почитать на тему чего же нас там ждет и подумать чего нам это будет стоить, буду постить по разбору каждого тренда в день
Тренд 1: Человекоцентричный дизайн безопасности.
По мнению гартнера причина такого тренда проста: сотрудники очень нервно реагируют на установку средств безопасности и методы повышения осведомленности не особо работают, поэтому или человекоцентрично удобно делаешь или сотрудники лажают дальше.
Если быть предельно откровенным, то современные финтехи и айти галеры здорово разбаловали ИТ персонал во всех отношениях. Очень многие компании, и я их не виню (раздувать расходы никто не хочет), вырастали и прямо со старта применяли методику «к чертям безопасность, главное зарелизить этот проект». Поэтому культура забивания на безопасность и общее ощущение-мироощущение среднего ИТшника как «очень умного человека который точно не попадется на удочку» (хаха, нет) стали +- общим трендом.
В целом идея очень даже хорошая, потому что чем незаметнее выглядит безопасность для пользователя и меньше видна ему - тем лучше, но такой хороший уровень интеграции возможен только при полной интеграции пресловутых СЗИ внутрь операционной системы. Что то подобное уже есть у Apple в виде их MDM для корпоративных ноутбуков, но такой подход убьет отрасль СЗИ или сделает СЗИ внутренними приложениями «супераппа безопасности» включенного в ОС. Практически все то же самое что у китайцев есть в WeChat. Интересно будет посмотреть как оно все же развернется.
Как называется облако которое крадет твои данные?
SilentSteal'n'RunCalledFind - SSRCF Cloud
Или "тихо сп*здил и ушел называется нашел клауд"
Типичный понедельник со всем его вагоном планёрок и прочих встреч
Читать полностью…
Когда дивапс говорит тебе, что лимитирование ресурсов это фигня и запуск всех контейнеров в привелегированном режиме это лучшие практики (нет)
Читать полностью…
Инженерная петля
Странная вещь, но любой рост до менеджера возможен только пока ты работаешь средне. Когда работаешь хорошо - то будешь сколько угодно получать похвалы, премии и так далее, но руководом не станешь, в основном потому, что а кто же тогда работать будет?
Вот и получается что хороший инженер всегда влезает в инженерную петлю, когда любые его успехи все больше и больше делают его вечным инженером и никак не продвигают к креслу руковода.
Делай средне.
Сделаешь плохо - обосрут.
Сделаешь хорошо - спиздят.
При общении с некоторыми вендорами я всегда вспоминаю эту картинку
Читать полностью…
От подписчика
Вспоминаю диалог двух куашиников одного ру вендора
- Каким инструментом тестирования ты пользуешься?
- Заказчиком.
Приходишь значит общаться с бизнесом про риски, а бизнес тебе такой и говорит
Читать полностью…
В описании некоторых вакансий прекрасно все, особенно увенчивание всего этого комплекта требований Шивы многорукого попсовым названием DevSecOps
Читать полностью…
Господа, у нас небольшой ребрендинг, т.к. предыдущее название плохо влезало в макет мерч футболки (да, я снова выкопал идею с мерчом и вроде даже нашел вариант его пошить)
Читать полностью…
1) Доработка ИБшных процессов и выставление этих доработок как «мы сделали наш процесс немного попроще для пользователей и поэтому мы контрибьютим в создание ценности», что будет являться красивой подменой понятий. Так сказать «мы сделали плейбуки для ИТ вместо мануального ревью». Скорее всего это будет путь большинства.
2) Делегирование части обязанностей безопасности тем самым пользователям процессов, для того, чтобы тратить меньше совокупного времени на процесс и закладывать безопасность просто как штатную часть производимой ценности. Самый простой пример: продавить, что разработчики с доп квалификацией по безопасности и малым кол-вом вулней в коде (соответственно большей скоростью реализации фич, за счет уменьшения времени на их фикс, так сказать раз нет бага безопасности то и фиксить не надо) получают больше. Но такой путь - путь меньшинства, т.к. он очень сильно граничит с мыслями бизнеса про то, что ИБ нужно лишь в контексте пары специализаций внутри ИТ и поэтому от ИБ в широком смысле можно отказаться.
#канал_образовательный
И снова Гартнер
Тренд 2: Улучшение работы с персоналом для повышения стабильности процессов безопасности.
Гартнер считает, что традиционно, руководители ИБ уделяли внимание именно применяемым в их хозяйстве СЗИ и технологиям + процессам которые сопровождали работу с этими технологиями, чем на людей, которые обслуживали и занимались изменениями этих технологий. Поэтому многие руководы ИБ увидели улучшение функциональной и технической зрелости используя человеко-ориентированную модель управления персоналом и к 2026, наверное, 60% организаций начнет нанимать людей не извне, а со «внутреннего рынка талантов».
На мой взгляд, такая оценка Гартнера выглядит как «Многие руководы наелись вендорских решений и сотрудников которые ничего особо кроме вендорских решений с профильным ИБ не знают, выбрались из раковины чтобы нанять любителей опенсорса и большого ИТ и внезапно увидели что многое из платного можно сделать менее болезненно и местами бесплатно».
Суть проста, большое ИТ очень долго развивалось исходя из парадигмы «Свобода, Linux, Opensource» и высокая вовлеченность в продукт / процессы бизнеса, в то время как ИБ (blue teaming) наоборот развивалось по принципу «Оплата, вендор, каждый год» и дистанциирование в роль аудитора от продукта, что приводило многих инженеров ИБ в состояние «я лучше всего знаю вендорское решение + 1-2 общеупотребимых технологии и нормативка, а чего там в продукте я схожу и спрошу».
Такое расслоение привело к тому, что средний безопасник перестал комплексно осознавать из чего состоит защищаемое им и на его фоне, средний девопс с руками не из заднего места, более высокой вовлеченностью в технологическую инфраструктуру и пониманием на базовом уровне «что безопасно, а что не очень» - становится более предпочтительным кандидатом в то же подразделение безопасности чем средний безопасник. Ибо зачем много профильных безопасников, когда можно сделать конструкцию из центра компетенций по ИБ в количестве 2-3 человек, разбавленную ИТшниками с более глубоким пониманием архитектуры и продуктовой вовлеченности, который в свою очередь применяет более взвешенные решения и с меньшей «стоимостью» внедряет процедуры безопасности?
На мой персональный взгляд, ИБ продолжает идти к тому, чтобы стать просто специализацией внутри «Разработки ПО», нежели выделиться в некую особленную и самобытную ветку профессии, той же дорогой идет и DevOps. Everything as a Code как финал.
Прочитал интересную переговорную технику у товарища Литвака, что разговоры о чужих неудачах, деньгах и половых сношениях мгновенно приковывают к себе интерес.
Так и получается что фраза для ТОПов «Господа, смотрите как нашего соседа похекали, что у него аж отток пользаков на 4% случился, классно их вы*бали да?» приковывает внимание быстрее всего (кстати проверено, даже если не верят про 4 процента то смех и внимание обеспечены).
Когда пытаешься худо бедно наскрести аргументов на этих самых сотрудников и бюджет
Читать полностью…
Так так, хороший канал с интересным чтивом, советую если нужно где-то нагрепать много ИБшных книжек и методичек на почитать
/channel/InfoSec_and_Risk_Management
Нетоксичные токсики
Больше всего вымораживают на работе так называемые нетоксичные токсики. Особенный класс мразных людей прикидывающихся адекватными, но при совместной работе показывающих себя как эталонных мразот, винящих всех вокруг себя опознать таких просто:
1) Любит упрекать окружающих в токсичности (отсюда и название).
2) Рассуждает о «корпоративных ценностях» и культуре, не придерживаясь их.
3) Если вы забороли его фактами - отмораживается и возвращается по новой с теми же аргументами через Н времени, в остальное время тщательно вас игнорирует.
4) При возникновении факапа - громко верещит про факап, но какие либо подробности и почему проблема это проблема приходится тащить клещами в стиле инквизиции ибо субъект не может сразу пояснить чего случилось (потому что часто, эти проблемы высосаны из пальца).
5) Игнорирует все договоренности внутри коллектива, мотивируя тем что забыл, был занят, делал что то более важное.
6) Считает себя центром компетенций по любому смежному вопросу. «Если я не слышал про вендорнейм - значит он ненадежный» - это про него.
7) Саботажничает любые проекты которые лично ему не нравятся и выставляет это как «да я герой и если бы я этот проект не законтрил, вы бы купили бесполезную железку за 100500 бачей».
8 ) Зачастую глуп и не осиляет разобраться в собственной зоне ответственности, поэтому выдумывает свои оригинальные ответы на общие вопросы.
Как преодолеть такого:
1) Управляющее движение через менеджмент.
2) «Гоните его, насмехайтесь над ним».
Зачем оно вам надо: со временем такой нетоксик успеет позариться и на вашу зону ответственности и если вовремя не изгнать из коллектива - то единственным вариантом останется только собственное увольнение.
Когда нашёл у заказчика сначала дырку на сайте прикрытую вафом, а потом ещё и успешно по IP в веб провалился потому что ваф настроен криво
Читать полностью…
Иногда пользователи так бесят своим разгильдяйством с паролями что кажется это единственный вариант
Читать полностью…
Капля мемов про пентестеров
Как говорил один мой старый знакомый: «Судя по конфам - большинство пентестеров втупую долбятся в каждую потенциальную дырку всеми инструментами подряд которые знают лишь бы чего сработало»
Когда показал что имеешь навыки по восстановлению прода хоть и безопасник
Читать полностью…
Возобновил недавно походы на разные конфы чтобы посмотреть а чего там у разных важных бизнесовых зелибоб, сказать что был не удивлен ничего не сказать
В общем тренды рашн бузинесса (от разных мелких до дочек крупных компаний) начали здорово меняться и я столкнулся с крайне странным явлением
Очень много кто решил сделать мув формата едем в облака, Яндекс облако ли, ВК клауд ли - не важно. Важно только то что там уже есть готовые инструменты (правда не тестили их конечно), которые будут решать задачи а не вот эти вот унылые ребята которые чет на своем техническом трындят и каких то баснословных сроков требуют. Особенно этому были подвержены бизнесовые ребята которые такие «оп я увидел 3 копейки экономии на ФОТ - надо вписаться полюбому» или «не хочу ждать день инструмент, хочу жмяк по кнопке «сделать хорошо»».
Это навело меня на мысль, а не появится ли в итоге такая сущность как Leakage Cloud?
Так сказать рассуждая здраво, бизнесу предлагается простая модель:
Владелец такого облака может на свой вкус и цвет аггрегировать данные клиентов, их метрики и так далее, не разглашая непосредственно перечень клиентов и спокойно торговать этими данными в обмен на жирную скидку на размещение и удобные инструменты BI / прочие какие хочется. В общем такая торговля данными и аналитикой.
И если вы думаете мол, «чувак ты торч какой то» то неееет, такая же система сейчас используется в разных антифрод системах типа lexisnexis / riskified, где им просто засылают вагон данных и результат аггрегации которых в виде скоринг движка антифрода они продают.
В общем похоже ждем когда Leakage Clouds зайдут на арену и устроят пир продажи данных и экономию разным «менеджерам по развитию бузинесса».
Интересно, пора ли закладывать в МУ возможность ментального заражения? Например фуриёбством каким нибудь на рабочем месте
Читать полностью…