1807
Чат для обсуждения DevSecOps и постов канала @sec_devops Вакансии: @appsec_job Услуги: https://radcop.online/
Безопасник, сам по себе, никакой отчет отдавать права не имеет. Это раз. Отчет передаётся (может передаваться) в, например, орган по сертификации, в рамках процесса. Да, клиент может его тоже запросить, у меня был такой случай, получил верхнеуровневый отчет, без детализации.
Читать полностью…
Point in counter agreement "zalupa za scheku"
Читать полностью…
И если нет, то как аргументируете?
Читать полностью…
Не щупал )) но мне нравится фряха минимумом сервисов и процессов при первой установке
Читать полностью…
ФСТЭК работает и с теми кому интересно, и с теми кому неинтересно. Вторых больше.
У ФСТЭКа есть проблема, как и у регуляторов в других областях: Есть решений от множества вендоров, которые предлагают решение некоторой проблемы с помощью некоторой "фичи". При этом это всё проприетарные продукты, и документации по реализации этой "фичи" в публичном пространстве нет. Причём ведоры, до недавнего времени, по большей части зарубежные. Как следствие ФСТЭК может лишь абстрактно сказать, что проблема А, должна решаться некоторой фичёй Б. Потому что любая конкретика сломает выстроенную ИБ у части компаний.
Помимо этого сейчас все "импортозамещается" и никто не знает что из этого выйдет. В первую очередь потому что сейчас возникло много шараг со своими дистрами, базами, системами виртуализации, иб инструментами. И уже ИБ играет роль фактора в отсеве этих решений. В дальнейшем вообще вся эта история может свестись к двум-трём решениям по каждому направлению, и новые регулирующие документы будут написаны с жёстким вендорлоком. Что уже встречалось в истории см. стандарты силовых розеток к примеру.
Есть идейные люди, которые не просто работают на работе, но им ещё и интересно работать 🤔
Читать полностью…
Значит, не нужно делать задачу вместо. Или, если и делать, но чтоб подпись была ответственного, а не его.
Читать полностью…
Бояре раздают указы, а там вертитесь как хотите :)
Читать полностью…
Нужна не декларативная, а прикладная иб
Читать полностью…
Что тут? Всё пропало? Иб не нужно?
Читать полностью…
А воровать, да, воровали… правда
Читать полностью…
по крайней мере в РФ система работает по-другому. Невозможно работать честно, когда у тебя 100 регуляций и они все друг другу противоречат. Либо надо просто сесть и ничего не делать
Читать полностью…
При "коммунизме/социализме" и "сливали", и коррупция была - всё было.
Дело ее в том.
А в том, что, прежде, чем штрафовать - нужно научить работать так, чтобы не попадать на эти штрафы. Не абстрактные ГОСТы/ приказы - а конкретные документы, вроде cis controls/benchmark, но, хотя бы, на русском просто переведенные..
Все эти бессмысленные аттестации заменить толковым обучением, примерами..
Имхо утечки переданных это больше к самосознанию людей относится, штрафы большие не помогут (эффективность тотального контроля-наказний сомнительна).
Пока люди считают уместными наживаться, то так и будут наживаться и соответственно будут сливы по причине плохих сотрудников/невнимательности и т.п. Короче это уже в тему философии перетекает... Давайте новый пост обсуждать как будет 😅
И за солонки в которые можно через дырочки что-то засыпать столовые закрывать!
Читать полностью…
Надо закрывать дыры. Как я убежусь что вы вообще в безопасность как то можете при установке вашего по в mission critical системы например. При запросе, по ответам на вопросы хоть как то первоначальный фильтр поставщики могут пройти.
Читать полностью…
А было ли такое, что вендор отдает не зеленый отчет?
Читать полностью…
Всем привет!
Безопасники, работающие в вендорах ПО, а вы отдаете отчеты по SAST/DAST клиентам по запросу?
Выглядит, как дыра, т.к. непонятно куда могут утечь незакрытые уязвимости, пока их не прикрыли. А клиенты требуют отчеты прям в контрактах.
Revival Hijack and Fake recruiter coding tests
В различных телеграм-каналах можно встретить множество упоминаний о новой атаке на цепочку поставок PyPI, известной как Revival Hijack, выявленной исследователями из JFrog. Суть атаки заключается в загрузке вредоносного пакета с тем же именем, что и у популярного пакета, который был удален. Это возможно благодаря тому, что PyPI позволяет использовать имя пакета практически сразу после его освобождения. Уже опубликовано немало постов с подробным разбором этой уязвимости на русском языке, поэтому не видим большой необходимости углубляться в детали. Для нас примечательнее скорее то, что эта атака не является совершенно новой: о ней сообщали исследователи из ReversingLabs еще в апреле 2023 года, однако тогда она не вызвала большого резонанса как сейчас 😅. Более того, ReversingLabs также предоставили инструмент для онлайн-идентификации подобных вредоносных пакетов.
В преддверии возможных аналогичных громких заголовков расскажем о еще одном сценарии атаки, который недавно, около недели назад, описали те же исследователи из ReversingLabs. Речь идет о целенаправленной атаке на разработчиков через вредоносный код, замаскированный под тестовое задание от фейкового HR в рамках python проекта. Атака осуществляется следующим образом: фейковый HR связывается с разработчиком через LinkedIn, предлагая решить тестовое задание, которое предполагает нахождение и исправление бага в проекте. Для этого требуется, соответственно, необходимо выполнить сборку, во время которой запускается исполняемый python-файл. В результате жертва подключается к C2 серверу. Помимо известных примеров подобных вредоносных заданий, в сети также были обнаружены реальные жертвы среди разработчиков. На данный момент известно, что за этой вредоносной кампанией, получившей название VMConnect, скорее всего стоит северокорейская APT-группа, действующая в интересах правительства.
P.S. Но самое забавное во всех этих атаках то, что за поверхностным разнообразием инструментов и сценариев скрываются универсальные принципы и базовые архитектурно-процессные изъяны, хорошо известные специалистам с 80-х годов, а то и раньше. Ведя книжный клуб в Кибердоме ваш покорный слуга открыл для себя Клиффорда Столла и «Яйцо кукушки: история разоблачения легендарного хакера». Эта любопытная, но нудноватая книга, на материале 1986 года наглядно показано как "уникальная специфика мира КИИ, цепочек поставок и кибервойн" на деле является давно известной и хорошо изученной территорией, но как обычно "скорость прогресса", пресловутый TTM и плохое понимание и игнорирование универсальных принципов PDCA приводят к тому, к чему приводят и даруют работу десяткам тысяч безопасников по всему миру, создавая ещё один дефицит на рынке труда....
#supplychain #attack
Проблема в том, что большая часть бумаг, регламентирующих область иб у нас, пишется по принципу: "сделать хорошо, а то!".
Так вот, прежде чем карать, я считаю, нужно показать, что делать, как, в каких ситуациях делать, и, если спрашивают разъяснений, то отвечать не так, как это делает ФСТЭК с 90, наверно, процентах случаев, а развернуто, по-человечески, не на от... вали.
Я так считаю. Лично мне интересно работать, не менее интересно, чем 29 лет тому, когда я только начинал в ИБ, но, сталкиваясь с... иной раз, хочется сделать с неумными людьми что-то вроде того, что делают с зерглингами..
Энтузиазм у людей появляется, когда бумага с печатью уже появляется. А до этого момента всем пофиг и никто учиться не хочет.
Читать полностью…
А на практике будет отдуваться какой-нибудь девопс/аппсек которому вроде как и не сложно задачу вместо человека сделать (тыж сосурите чемп) 🤷🏿♂
Читать полностью…
Нужно не указывать, а учить, разьяснять, а уж наказывать - только за злостное небрежение.
Читать полностью…
но со здравым смыслом
Читать полностью…
Поверьте человеку, который СССР застал очень плотно - там такие чудеса в нормативке (не-ит, правда) встречались...
И дело было не в вычислительных мощностях Госплана, в системе как таковой.
Сейчас, на мой взгляд, в сфере иб, с точки зрения законодательства и связанного - плохо то, что толком разьяснять - никто и не пробует. ГОСТы, приказы,.. - они "за всё хорошее против всего плохого". Возьмите ГОСТы, относящиеся к области БРПО - только проектируемый ещё на что то похож, а уж на ГОСТ по УБИ - без слез не взглянешь..
Насчет коммунизма - там хотя бы цель была понятная. Вероятно, если бы Госплан обладал вычислительными мощностями как сейчас - он бы вывез и в самой системе не было такой лютой неэффективности. Капитализм едет только за счёт монополий и перепроизводства
Читать полностью…
Старая история с Лурка про столовую, хакера и солонки)
Читать полностью…
Тогда надо отменять капитализм
Читать полностью…
Забавно вообще слышать про штрафы, а штрафовать будут суды, которым мы "очень" доверяем
Читать полностью…
Всё что описано в бизнесе цветёт и пахнёт. О безопасности не думают даже в последний момент. Инциденты кроме некоторого шума больше ничего имеют (пример со СДЭК). Персональные данные собираются, подбиваются и продаются оптом, если что списывается на утечку данных. Всем плевать пока не будут введены штрафы с оборота. Для крупных игроков штрафы от миллиарда, иначе они даже не заметят. Для объектов КРИ с посадкой
Читать полностью…