1807
Чат для обсуждения DevSecOps и постов канала @sec_devops Вакансии: @appsec_job Услуги: https://radcop.online/
Ну так если не получается договариваться и выбивать бюджет: вы плохой переговорщик либо проще уволиться и уйти туда, где готовы
Читать полностью…
Ну а ИБшник говорит: вам шашечки - хватит одного ИБ, вам ехать - «… - длинное обоснование почему в одного и скучно и нереально».
Читать полностью…
Владелец обычно глупый, идёт к заму, обкашливает задачу - надо чтобы не было утечек.
Цисо думает что будет хорошо сэкономить денег и нанять в штат вместо двух человек - одного или вообще никого не нанимают, а назначают доп задачи своим сотрудникам (у всех эта строка есть про "и другие задачи, которые ставит руководитель")
Ну и ок, больше чем 10% фичей от ИБ все равно не договриться
Читать полностью…
Бизнес решает, что устранять и надо ли вообще устранять впервую очередь
Читать полностью…
Опять же, какой софт: свой или коробочный сторонний? Коробочный можно обновлять в нерабочее аремя и даже не спрашивать владельца по каждому обновлению как вариант - просто устранение.
Читать полностью…
Ну так у владельца актива надо спрашивать, что ему страшнее, RCE на сервере или утечка
Читать полностью…
Ну не... Обычно это девопс, иногда полтора девопса
Читать полностью…
Светофор это условный ущерб в формуле качественной оценки риска. Если речь про cve score, то один из элементов расчета, вероятности
Читать полностью…
причем тут команды на уровень ос? достаточно писать в эластик имя пользователя.
Читать полностью…
Ну или sftpS, какой то из них на базе shh, но команды на уровень ОС не передает. И да обычно он за vpn между партнерами
Читать полностью…
Ну так оценивается риск в первую очередь. Если вероятность события ноль, то хоть реализация риска уничтожит компанию, смысл защищаться? Пример с метеоритом
Читать полностью…
Типа штраф. Могут назначить, могут не назначить. Потери в стоимости акций - только в случае disclosure, и кто знает сколько денег это будет
Читать полностью…
Это абстрактные цифры, от балды
Читать полностью…
А ты в РФ работаешь? 🤔
Читать полностью…
Мне иногда как безопаснику проще. самому закинуть PR с исправлением на рассмотрение команде, чем ждать всякие там PI Planning
Читать полностью…
Коробочный софт прекрасно ломается при несовместимых обновлениях, а некоторый бизнес 24/7
Читать полностью…
Бизнес скажет просто. Нам нужны новые фичи
Читать полностью…
Там где свой софт, а с чего его устраняет девопс? Там разработчики - agile. Не зря в Agile и даже SAFe не предусмотрен институт ИБ от слова совсем. Если речь про базовые образы, то все равно совместно с разрабами.
Читать полностью…
Не получится за бизнес решить, что в первую очередь исправлять
Читать полностью…
Ну ок, 2.5 девопса. Один за мониторами следит, а остальные решают задачи 🤷🏿♂
Читать полностью…
Принципиально не работаю в маленьких компаниях, никакого порядка:)
Нет безопасника даже на dlp, ужас совсем:)
Это про случаи, когда формулы упрощаем до 2 переменнвх
Читать полностью…
Как все что выше нуля покрыли -> покрываем все, что 0. Но при этом не забудьте спросить у владельца актива, а надо ли ему тратить деньги на то, у чего вероятность 0. Говорит « не надо», фиксируете в табличке с итогами оценки риска и тем самым снимаете с себя ответственность за реализацию риска. Чем не стратегия?
Читать полностью…
вероятность никогда не ноль. добро пожаловать в теорвер.
и можете посмотреть истории с самыми большими факапами - не только по безопасности. там всегда маловероятное стечение неблагопроятных событий. про которые все говорили: "вероятность = 0. Риск = 0"
Риск = вероятность х ущерб. Ущерб уничтожает компанию, но если вероятность = 0. Риск = 0.
Читать полностью…
Sftp тоже быть не должно
Читать полностью…
Если у вас ssh торчит наружу и это не sftp, мне сложно ответить
Читать полностью…
последствий реализации риска
Читать полностью…