1807
Чат для обсуждения DevSecOps и постов канала @sec_devops Вакансии: @appsec_job Услуги: https://radcop.online/
Здравствуйте! Если вам интересен удалённый формат работы с возможностью хорошего дохода, будем рады обсудить детали.
Возраст от 18 лет. Все подробности обсудим в личных сообщениях.
Отчёты анализатора обычно идут приложением к отчёту-заключению. Без них просто невозможно показать проделанную работу. Правильно что требуют
(Если простыми словами, то отчёты анализатора - это пруфы твоей работы)
Там где я работал был внутренний портал со списком находок в зоне ответственности команды. Этот скан и попал туда.
На практике мы им выслали эксель и проставили даты, себе сгруппировали находки в эпик джиры и в джиры по типу /модулю
Я видел, что многие трекеры организовывают на публичном инстансе джиры в мире открытого по
Если ПО строго заказное под мою доработку или Аутсорс, то я еще и исходники могу потребовать и вообще все что мне надо, чтобы проанализировать или встроить в свои пайплайны или встроиться в их, т.к. ПО должно поставляться по договору только мне. Но тут много подводных камней и нюансов.
Читать полностью…
В теории:
если ПО строгозаказное, на одного клиента – это ок
Если ПО коробочное, то красиво было бы иметь трекер уязвимостей с планом закрытия, внутренняя альтернатива nist cve
На практике мы как клиент сканировали контейнеры вендора твистлоком и пинали вендора, что б он в рамках SLA контракта их закрыл
Бизнес не получает такую информацию без мотивации. Никакой менеджер или директор по продажам не придет в иб, и не скажет: "а подайте-ка мне свежий отчет sast/sca, мне нужно". Просто потому, что следующий разговор у него состоится с общей иб, где его будут настойчиво спрашивать о мотивах, выгоде и т.д.
Читать полностью…
Нужно просто делать свое дело надлежащим образом, и никто в лужу не посадит, наоборот, будет сотрудничать в вопросе.
Не нужно подходить к вопросу брпо формально, не нужно редактированные или дутые отчеты публиковать, и всё будет хорошо.
А потом клиент вас сканирует и вы садитесь в лужу и спешно процессы безопасной разработки вырабатываете? Но клиента при этом теряете.
БЕзопасник не отдаст, а бизнес отдаст, если есть что отдавать.
Безопасник, сам по себе, никакой отчет отдавать права не имеет. Это раз. Отчет передаётся (может передаваться) в, например, орган по сертификации, в рамках процесса. Да, клиент может его тоже запросить, у меня был такой случай, получил верхнеуровневый отчет, без детализации.
Читать полностью…
Point in counter agreement "zalupa za scheku"
Читать полностью…
И если нет, то как аргументируете?
Читать полностью…
Не щупал )) но мне нравится фряха минимумом сервисов и процессов при первой установке
Читать полностью…
ФСТЭК работает и с теми кому интересно, и с теми кому неинтересно. Вторых больше.
У ФСТЭКа есть проблема, как и у регуляторов в других областях: Есть решений от множества вендоров, которые предлагают решение некоторой проблемы с помощью некоторой "фичи". При этом это всё проприетарные продукты, и документации по реализации этой "фичи" в публичном пространстве нет. Причём ведоры, до недавнего времени, по большей части зарубежные. Как следствие ФСТЭК может лишь абстрактно сказать, что проблема А, должна решаться некоторой фичёй Б. Потому что любая конкретика сломает выстроенную ИБ у части компаний.
Помимо этого сейчас все "импортозамещается" и никто не знает что из этого выйдет. В первую очередь потому что сейчас возникло много шараг со своими дистрами, базами, системами виртуализации, иб инструментами. И уже ИБ играет роль фактора в отсеве этих решений. В дальнейшем вообще вся эта история может свестись к двум-трём решениям по каждому направлению, и новые регулирующие документы будут написаны с жёстким вендорлоком. Что уже встречалось в истории см. стандарты силовых розеток к примеру.
Есть идейные люди, которые не просто работают на работе, но им ещё и интересно работать 🤔
Читать полностью…
Значит, не нужно делать задачу вместо. Или, если и делать, но чтоб подпись была ответственного, а не его.
Читать полностью…
Ага, а итоговый отчёт уже - без фолзов)
Читать полностью…
Дд дешего либо асок дорого
Читать полностью…
А есть какие-то best practice, как это все организовать?
Пытался в defect dojo, но чет не срослось)
Примерно в своих регламентах то же самое и пишу. + устанавливаю сроки исправления/обоснования. Не хотят, пусть идут в другие компании. Есть конечно всегда исключения, но это бизнес.
Читать полностью…
Какая служба ИБ. Чаще сводится к сценарию:
ООО "Рога и копыта" попытались залететь в Газпром.
Надо предоставить отчетики, чтобы деньги зашибать. Бизнес либо сам все отдаст(обычно служба иб там из 1 го Ибэшника или вообще без). Либо его просканят самостоятельно. Поэтому лучше они сами. А там как повезет. Проверят/поверят или нет.
Ну это нормальный адекватный подход. Обычно его и придерживаются. ЛУчше самому отдать, чем потом "спешно разгребать" то что тебе выдадут покупатели.
Читать полностью…
к слову мы отдавали и на все вопросы отвечали, ну и не закрытые все обоснованы были (конкретно для заказчика)
Читать полностью…
У себя поднять сканер и заскамить
Читать полностью…
Надо закрывать дыры. Как я убежусь что вы вообще в безопасность как то можете при установке вашего по в mission critical системы например. При запросе, по ответам на вопросы хоть как то первоначальный фильтр поставщики могут пройти.
Читать полностью…
А было ли такое, что вендор отдает не зеленый отчет?
Читать полностью…
Всем привет!
Безопасники, работающие в вендорах ПО, а вы отдаете отчеты по SAST/DAST клиентам по запросу?
Выглядит, как дыра, т.к. непонятно куда могут утечь незакрытые уязвимости, пока их не прикрыли. А клиенты требуют отчеты прям в контрактах.
Revival Hijack and Fake recruiter coding tests
В различных телеграм-каналах можно встретить множество упоминаний о новой атаке на цепочку поставок PyPI, известной как Revival Hijack, выявленной исследователями из JFrog. Суть атаки заключается в загрузке вредоносного пакета с тем же именем, что и у популярного пакета, который был удален. Это возможно благодаря тому, что PyPI позволяет использовать имя пакета практически сразу после его освобождения. Уже опубликовано немало постов с подробным разбором этой уязвимости на русском языке, поэтому не видим большой необходимости углубляться в детали. Для нас примечательнее скорее то, что эта атака не является совершенно новой: о ней сообщали исследователи из ReversingLabs еще в апреле 2023 года, однако тогда она не вызвала большого резонанса как сейчас 😅. Более того, ReversingLabs также предоставили инструмент для онлайн-идентификации подобных вредоносных пакетов.
В преддверии возможных аналогичных громких заголовков расскажем о еще одном сценарии атаки, который недавно, около недели назад, описали те же исследователи из ReversingLabs. Речь идет о целенаправленной атаке на разработчиков через вредоносный код, замаскированный под тестовое задание от фейкового HR в рамках python проекта. Атака осуществляется следующим образом: фейковый HR связывается с разработчиком через LinkedIn, предлагая решить тестовое задание, которое предполагает нахождение и исправление бага в проекте. Для этого требуется, соответственно, необходимо выполнить сборку, во время которой запускается исполняемый python-файл. В результате жертва подключается к C2 серверу. Помимо известных примеров подобных вредоносных заданий, в сети также были обнаружены реальные жертвы среди разработчиков. На данный момент известно, что за этой вредоносной кампанией, получившей название VMConnect, скорее всего стоит северокорейская APT-группа, действующая в интересах правительства.
P.S. Но самое забавное во всех этих атаках то, что за поверхностным разнообразием инструментов и сценариев скрываются универсальные принципы и базовые архитектурно-процессные изъяны, хорошо известные специалистам с 80-х годов, а то и раньше. Ведя книжный клуб в Кибердоме ваш покорный слуга открыл для себя Клиффорда Столла и «Яйцо кукушки: история разоблачения легендарного хакера». Эта любопытная, но нудноватая книга, на материале 1986 года наглядно показано как "уникальная специфика мира КИИ, цепочек поставок и кибервойн" на деле является давно известной и хорошо изученной территорией, но как обычно "скорость прогресса", пресловутый TTM и плохое понимание и игнорирование универсальных принципов PDCA приводят к тому, к чему приводят и даруют работу десяткам тысяч безопасников по всему миру, создавая ещё один дефицит на рынке труда....
#supplychain #attack
Проблема в том, что большая часть бумаг, регламентирующих область иб у нас, пишется по принципу: "сделать хорошо, а то!".
Так вот, прежде чем карать, я считаю, нужно показать, что делать, как, в каких ситуациях делать, и, если спрашивают разъяснений, то отвечать не так, как это делает ФСТЭК с 90, наверно, процентах случаев, а развернуто, по-человечески, не на от... вали.
Я так считаю. Лично мне интересно работать, не менее интересно, чем 29 лет тому, когда я только начинал в ИБ, но, сталкиваясь с... иной раз, хочется сделать с неумными людьми что-то вроде того, что делают с зерглингами..
Энтузиазм у людей появляется, когда бумага с печатью уже появляется. А до этого момента всем пофиг и никто учиться не хочет.
Читать полностью…
А на практике будет отдуваться какой-нибудь девопс/аппсек которому вроде как и не сложно задачу вместо человека сделать (тыж сосурите чемп) 🤷🏿♂
Читать полностью…