1619
Memes and thoughts about work Предложка @Te_Erevia
Когда разрабы все классно оттестили и поленились тестировать на стейдже со всеми СЗИ в активном режиме, а решили сразу полететь на прод. А прод… не взлетел, парам пам пам
Читать полностью…
Незабываемые ощущения когда впихиваешь таски на фикс критикалов в середину спринта команды
Читать полностью…
#канал_образовательный
Читая СНГшную блогосферу в части нашей любимой ИБшечки, нашел две забавные тенденции:
1) Надо всячески показывать что указывание «старичкам блоггеркам» на их косяки - это нонсенс и вообще приличные люди «лично такое говорят за закрытыми дверями в кулуарах».
2) Если мы видим утечку инфокек компании из «тусовочки», то надо ее выгораживать тщательно (а то как же будущего работодателя осуждать, не возьмут вдруг), а вот прочие компании шеймить что не защитили, плохие плохие, а вот если бы сервис уважаемых компаний купили - то да, можно и выгораживать конечно.
Обе тендеции отвратительны, хотя бы потому, что приводят к насыщению отрасли профессиональными болтологами двухаргументными (вы не следовали рекомендациями / вы неправильно меня поняли) и бесполезными сервисными услугами которые помогают круто пилить бюджетики и пинать известный предмет, делать презы о космических кораблях бороздящих просторы вселенной и стопорить отрасль дальше превращая ее в бумажный цирк.
Иными словами хочется внести вклад а защиту отрасли от таких бесполезных успешных успехов - не постесняйся и пиши, что о них реально думаешь, а не жди пока вышестоящее руководство прибежит с горящими глазами и очешутиельными идеями «а давай %конторанейм% передадим на аутсорс часть нашей ИБ, я такую у них презу видел такууууую».
P.S. Навеяно встречами с некоторыми манагерами импортозамещающих компаний, которые начинали диалоги с фраз а ля «да давай мы тебе наше поставим все взамен твоего и на сервис возьмем, ну и что что наши клиенты текут, ты то точно течь не будешь с нашей помощью(вранье)»
Все искал куда приткнуть эту собаку и тут нашлось, не бизон (просто животное, никаких намеков), но тоже пойдет
Читать полностью…
Утро пожалуй начнём с классики зарубежных коллег о прелестях наличия проф сертификатов
https://youtu.be/whEWE6WC1Ew
Бумажный безопасник после внедрения СЗИ на которое ТЗ он сам написал
Читать полностью…
Приходишь значит общаться с бизнесом про риски, а бизнес тебе такой и говорит
Читать полностью…
В описании некоторых вакансий прекрасно все, особенно увенчивание всего этого комплекта требований Шивы многорукого попсовым названием DevSecOps
Читать полностью…
Господа, у нас небольшой ребрендинг, т.к. предыдущее название плохо влезало в макет мерч футболки (да, я снова выкопал идею с мерчом и вроде даже нашел вариант его пошить)
Читать полностью…
1) Доработка ИБшных процессов и выставление этих доработок как «мы сделали наш процесс немного попроще для пользователей и поэтому мы контрибьютим в создание ценности», что будет являться красивой подменой понятий. Так сказать «мы сделали плейбуки для ИТ вместо мануального ревью». Скорее всего это будет путь большинства.
2) Делегирование части обязанностей безопасности тем самым пользователям процессов, для того, чтобы тратить меньше совокупного времени на процесс и закладывать безопасность просто как штатную часть производимой ценности. Самый простой пример: продавить, что разработчики с доп квалификацией по безопасности и малым кол-вом вулней в коде (соответственно большей скоростью реализации фич, за счет уменьшения времени на их фикс, так сказать раз нет бага безопасности то и фиксить не надо) получают больше. Но такой путь - путь меньшинства, т.к. он очень сильно граничит с мыслями бизнеса про то, что ИБ нужно лишь в контексте пары специализаций внутри ИТ и поэтому от ИБ в широком смысле можно отказаться.
#канал_образовательный
И снова Гартнер
Тренд 2: Улучшение работы с персоналом для повышения стабильности процессов безопасности.
Гартнер считает, что традиционно, руководители ИБ уделяли внимание именно применяемым в их хозяйстве СЗИ и технологиям + процессам которые сопровождали работу с этими технологиями, чем на людей, которые обслуживали и занимались изменениями этих технологий. Поэтому многие руководы ИБ увидели улучшение функциональной и технической зрелости используя человеко-ориентированную модель управления персоналом и к 2026, наверное, 60% организаций начнет нанимать людей не извне, а со «внутреннего рынка талантов».
На мой взгляд, такая оценка Гартнера выглядит как «Многие руководы наелись вендорских решений и сотрудников которые ничего особо кроме вендорских решений с профильным ИБ не знают, выбрались из раковины чтобы нанять любителей опенсорса и большого ИТ и внезапно увидели что многое из платного можно сделать менее болезненно и местами бесплатно».
Суть проста, большое ИТ очень долго развивалось исходя из парадигмы «Свобода, Linux, Opensource» и высокая вовлеченность в продукт / процессы бизнеса, в то время как ИБ (blue teaming) наоборот развивалось по принципу «Оплата, вендор, каждый год» и дистанциирование в роль аудитора от продукта, что приводило многих инженеров ИБ в состояние «я лучше всего знаю вендорское решение + 1-2 общеупотребимых технологии и нормативка, а чего там в продукте я схожу и спрошу».
Такое расслоение привело к тому, что средний безопасник перестал комплексно осознавать из чего состоит защищаемое им и на его фоне, средний девопс с руками не из заднего места, более высокой вовлеченностью в технологическую инфраструктуру и пониманием на базовом уровне «что безопасно, а что не очень» - становится более предпочтительным кандидатом в то же подразделение безопасности чем средний безопасник. Ибо зачем много профильных безопасников, когда можно сделать конструкцию из центра компетенций по ИБ в количестве 2-3 человек, разбавленную ИТшниками с более глубоким пониманием архитектуры и продуктовой вовлеченности, который в свою очередь применяет более взвешенные решения и с меньшей «стоимостью» внедряет процедуры безопасности?
На мой персональный взгляд, ИБ продолжает идти к тому, чтобы стать просто специализацией внутри «Разработки ПО», нежели выделиться в некую особленную и самобытную ветку профессии, той же дорогой идет и DevOps. Everything as a Code как финал.
Прочитал интересную переговорную технику у товарища Литвака, что разговоры о чужих неудачах, деньгах и половых сношениях мгновенно приковывают к себе интерес.
Так и получается что фраза для ТОПов «Господа, смотрите как нашего соседа похекали, что у него аж отток пользаков на 4% случился, классно их вы*бали да?» приковывает внимание быстрее всего (кстати проверено, даже если не верят про 4 процента то смех и внимание обеспечены).
Когда пытаешься худо бедно наскрести аргументов на этих самых сотрудников и бюджет
Читать полностью…
Так так, хороший канал с интересным чтивом, советую если нужно где-то нагрепать много ИБшных книжек и методичек на почитать
/channel/InfoSec_and_Risk_Management
Нетоксичные токсики
Больше всего вымораживают на работе так называемые нетоксичные токсики. Особенный класс мразных людей прикидывающихся адекватными, но при совместной работе показывающих себя как эталонных мразот, винящих всех вокруг себя опознать таких просто:
1) Любит упрекать окружающих в токсичности (отсюда и название).
2) Рассуждает о «корпоративных ценностях» и культуре, не придерживаясь их.
3) Если вы забороли его фактами - отмораживается и возвращается по новой с теми же аргументами через Н времени, в остальное время тщательно вас игнорирует.
4) При возникновении факапа - громко верещит про факап, но какие либо подробности и почему проблема это проблема приходится тащить клещами в стиле инквизиции ибо субъект не может сразу пояснить чего случилось (потому что часто, эти проблемы высосаны из пальца).
5) Игнорирует все договоренности внутри коллектива, мотивируя тем что забыл, был занят, делал что то более важное.
6) Считает себя центром компетенций по любому смежному вопросу. «Если я не слышал про вендорнейм - значит он ненадежный» - это про него.
7) Саботажничает любые проекты которые лично ему не нравятся и выставляет это как «да я герой и если бы я этот проект не законтрил, вы бы купили бесполезную железку за 100500 бачей».
8 ) Зачастую глуп и не осиляет разобраться в собственной зоне ответственности, поэтому выдумывает свои оригинальные ответы на общие вопросы.
Как преодолеть такого:
1) Управляющее движение через менеджмент.
2) «Гоните его, насмехайтесь над ним».
Зачем оно вам надо: со временем такой нетоксик успеет позариться и на вашу зону ответственности и если вовремя не изгнать из коллектива - то единственным вариантом останется только собственное увольнение.
#канал_образовательный
Советы для начинающих CISO, которые до усрачки хотят стать результативными
Господа, один из неплохих вариантов продажи некоторых непопулярных решений это ощущение пофигизма.
Не хотят принимать вашу сторону? Какой смысл доказывать что то с пеной у рта?
Просто покажите как можно больше пофигизма на итоговый результат сославшись что все равно по заднице надают не вам, тогда ваш собеседник возможно (возможно) начнет думать что в опасности уже его задница и улыбчивый и спокойный вы ой как неспроста.
В бородатом 2019 году тестил я такую классную DLP как Endpoint Protector. Больше всего меня с нее порадовало, что в превент политике на маке она не давала отгрузить файлы в разные мессенджеры и прочие свистелки-перделки просто показывая бесконечную полосу загрузки или заливая 0 по размеру файл.
Так вот, персонал был что этот кот, все понимали что чет не так, а вот почему не получается - не ясно.
P.S. Эта штука была еще и живучая до некуда, ее процессы рубили рубили, файлы удаляли удаляли, а она все работала (правда два разрабовских мака окукулились насмерть). К - Качество (правда как сейчас - не ясно).
Когда все соответствует разным ISO 27001, 21 ФСТЭК и так далее, все СЗИ сертифицированы и все точно безопасно, но похекер об этом не знал
Читать полностью…
Немного запоздал с утренним мемом, но как показывает опыт - ИБ отрасль с самым высоким уровнем алкоголизма в ИТ сфере.
Так сказать ничто не выдавало в нем безопасника кроме зачитывания рандомных требований нормативки после каждой выпитой рюмки и фраз «Анус свой без авторизации в интернет вытащи»
Когда DLP не поддерживает мак и линось и говоришь админу «ставь винду»
Читать полностью…
Закон трех поколений в ИБ
Первое поколение ИБшников смотрит на предыдущих старперов, находит тему на которой взлетает на уровень «преза замечательна, докладчик гений» и сидит на ней годами.
Второе поколение ИБшников смотрит на первое, начинает повторять комформное состояние, обсасывает те же темы и не добавляет почти ничего нового.
Третье поколение ИБшников смотрит на первые два, переписывает те же темы заново (не сотрудник на ГПХ ака внешний консультант, а vCISO, гениально! (нет)) и снова обсасывает одни и те же темы.
Затем история повторяется.
Морали нет, но если открывать разные статьи штатовских и европейских ребят, то можно заметить что 3 поколения проходят за 6-11 лет).
Как крепить процессы
Многие из руководов часто сталкиваются с тем что между тем что ты рисуешь процесс и он реализуется на автомате есть большая и классная пропасть где процесс лихорадит во все стороны, на него частями забивают и иногда он к чертям разваливается.
В сущности для закрепления процесса надо следовать следующим (не всегда простым) шагам:
1) Описать процесс в виде инструкций и провести детский тест. Суть такова что не важно на сколько подробно вы опишете процесс - вас всегда поймут некорректно там где есть малейшая возможность понять некорректно. Тестируйте описание процесса об самого неопытного сотрудника, он вам точно расскажет чего не ясно.
2) Добавьте автоматические оповещения и / или тикеты которые невозможно проигнорировать, в противном случае каждый кто должен быть частью процесса (особенно если это монопроцесс, т.е. завязанный на одного ответственного) все обязательно продолбается.
3) Финализируйте все ежедневным отсмотром тех самых тикетов, иначе то, что вы не будете периодически «капать на мозг» окружающим, будет играть против вас, показывая, что нет смысла исполнять эти тикеты и делать работу по ним.
Вуаля, ваш процесс понемногу входит в колею, исполнитель и пользователи ругаются, предлагают коррективы где не удобно и процесс шлифуется. Вы замечательны (возможно немного ненавидимы, но тут зависит от того кому от этого процесса стало неудобно).
Когда тебе всунули поддержку и контроль видеонаблюдения (мол ты ж инфосек) и со скуки решил заглянуть что там у эйчаров
Читать полностью…
Не кривые рученьки персонала, а «беспрецедентная кибератака АРТ Asshands»
Читать полностью…
#канал_образовательный
Гартнер
Тренд 3: Трансформация операционной модели работы кибербезопасности в модель поддержки создания ценности
По мнению Гартнера, разные бизнесовые руководы признают что риск ИБ - это главный бизнес риск для управления, а не технологическая проблема (врут наверняка). И поддержка и ускорение выдачи бизнес результатов это основной приоритет ИБ и в то же время проблема.
Не смотря на все красивые слова, этот тренд будет практически мертв еще пару лет как минимум. Причина достаточно проста, но для этого нужно сделать небольшой экскурс в то, как обычно растет средняя компания.
Средняя компания начинается с максимально не безопасными процессами, т.к. именно это отсутствие ограничений, на первых порах дает возможность быстро подстраиваться под изменчивый рынок. Тут все просто, если внедрять процедуры безопасности - то компания допом тратится на безопасника, его технологические костыли, перепилку определенных процессов и вот эта совокупность на старте может компанию легко похоронить, просто экономика не сойдется.
Когда компания преодолевает эту стадию личинки, становится профицитной и превращается, например, в средний бизнес, эти самые не безопасные процессы обмотаны другими процессами донельзя и любое их изменение превращается в ухудшение операционных показателей бизнеса и соответствующие провалы, к которым бизнес обычно вообще не готов и считает за лучшее такого ИБ-реформатора или уволить или отправить на галерку мол «сиди бумажки пиши, в DLP смотри (не факт) и вообще делай хорошо и безопасно, но никого не трогай». Разные инфоцыгане от мира ИБ тут могут повозражать что мол «да вы просто криво объясняете бизнесу профит от ИБ и так далее», но факт остается фактом, как только менеджмент видит ухудшение операционных показателей и бизнесовые манагеры охотно ссылаются на ИБшника по поводу ухудшений, ИБ отправляется как нелюбимая игрушка - на полку.
Отдельно это усугубляется тем, что рынок никак не реагирует на большинство корпоративных взломов. Акции компаний особо не падают, люди продолжают потреблять сервисы, не смотря на то что их данные протекли, поэтому создать ценность из «безопасности для клиента, за счет которой он будет приходить к нам, а не к конкурентам» - очень интересный квест для будущих продакт овнеров. Есть конечно регуляторные штрафы, но при выборе между деньгами сейчас или штрафом потом, большинство бизнес руководов выберет штраф потом, потому что он может и не случится, а если случится - то отвечать как то совсем не ему лично.
Конечно есть варианты попыток плавной трансформации, а ля «будем изменять процессы плавно», но тогда изменение процессов может затянуться на 5-6 лет, а очень часто ИБшники на одном месте столько не живут, а вся незаконченная работа будет весело похоронена бизнесовыми ребятами после ухода, потому что для них это дополнительная головная боль, которая им не нужна.
Компромиссным вариантом конечно выглядит попытка действительно «продать» вопросы безопасности, но тогда надо быть очень хорошим внутренним маркетологом-продаваном, чтобы продавать:
1) Сразу на 3 уровнях (ТОП менеджмент, среднее звено и непосредственные сотрудники - пользователи процессов).
2) Продавать нормально уже готовый собранный вариант и с первого раза (не смогли продать с первого раза - во второй придется преодолевать всеобщее сопротивление людей которые убеждены что «в прошлый раз провалилось, в этот раз и пробовать не стоит, нам есть чем заняться».
Поэтому вангую, что большинство попыток продажи таких решений в ближайшие 2 года будут сводиться к нескольким путям (т.к. внутренний маркетинг в подразделениях ИБ обычно ооочень хромает):
#канал_образовательный
О Гартнер наш и трендов чудных
Открыл вчера новые тренды гартнера на 2023 год и решил почитать на тему чего же нас там ждет и подумать чего нам это будет стоить, буду постить по разбору каждого тренда в день
Тренд 1: Человекоцентричный дизайн безопасности.
По мнению гартнера причина такого тренда проста: сотрудники очень нервно реагируют на установку средств безопасности и методы повышения осведомленности не особо работают, поэтому или человекоцентрично удобно делаешь или сотрудники лажают дальше.
Если быть предельно откровенным, то современные финтехи и айти галеры здорово разбаловали ИТ персонал во всех отношениях. Очень многие компании, и я их не виню (раздувать расходы никто не хочет), вырастали и прямо со старта применяли методику «к чертям безопасность, главное зарелизить этот проект». Поэтому культура забивания на безопасность и общее ощущение-мироощущение среднего ИТшника как «очень умного человека который точно не попадется на удочку» (хаха, нет) стали +- общим трендом.
В целом идея очень даже хорошая, потому что чем незаметнее выглядит безопасность для пользователя и меньше видна ему - тем лучше, но такой хороший уровень интеграции возможен только при полной интеграции пресловутых СЗИ внутрь операционной системы. Что то подобное уже есть у Apple в виде их MDM для корпоративных ноутбуков, но такой подход убьет отрасль СЗИ или сделает СЗИ внутренними приложениями «супераппа безопасности» включенного в ОС. Практически все то же самое что у китайцев есть в WeChat. Интересно будет посмотреть как оно все же развернется.
Как называется облако которое крадет твои данные?
SilentSteal'n'RunCalledFind - SSRCF Cloud
Или "тихо сп*здил и ушел называется нашел клауд"
Типичный понедельник со всем его вагоном планёрок и прочих встреч
Читать полностью…
Когда дивапс говорит тебе, что лимитирование ресурсов это фигня и запуск всех контейнеров в привелегированном режиме это лучшие практики (нет)
Читать полностью…
Инженерная петля
Странная вещь, но любой рост до менеджера возможен только пока ты работаешь средне. Когда работаешь хорошо - то будешь сколько угодно получать похвалы, премии и так далее, но руководом не станешь, в основном потому, что а кто же тогда работать будет?
Вот и получается что хороший инженер всегда влезает в инженерную петлю, когда любые его успехи все больше и больше делают его вечным инженером и никак не продвигают к креслу руковода.
Делай средне.
Сделаешь плохо - обосрут.
Сделаешь хорошо - спиздят.