1807
Чат для обсуждения DevSecOps и постов канала @sec_devops Вакансии: @appsec_job Услуги: https://radcop.online/
Как вариант, на стороне WAF ограничить количество запросов за период каким-нибудь разумным числом. При достижении лимита, кидать на капчу
Читать полностью…
Коллеги, а есть хорошие рецепты борьбы с DDoS на приложения? Т.е. злоумышленник ведёт себя как вполне себе легитимный пользователь. Но, сильно злоупотребляет частотой запросов: начинает заваливать приложение легитимными POST-запросами, из-за чего происходит временное исчерпание ресурсов приложения\сервиса. Как итог: не успевают обрабатываться запросы легитимных пользователей. Когда речь идёт об одном приложении - с этим ещё можно разбираться. А если сотни приложений? Пока идея: в каждой команде разработки заводить security champion-а, чтоб он искал потенциально уязвимые точки в своей зоне ответственности, проверял тестами живучесть сервиса к таким атакам. В т.ч. анализировал причины выявленной тестами проблемы, предлагал более эффективные варианты обработки запросов (или архитектуры?). На уровне WAF для всех приложений (сотни, если не тысячи методов API) - вряд ли получится защищаться так, чтоб и эффективно, и бизнес-логика не страдала
Читать полностью…
Классический "уникальный NGFW" 🤡
Читать полностью…
А вы пользовались? Повыгружаете больше контекста для @Mr_R1p
Читать полностью…
Не согласен))
А вот ее отсутствие, всегда!
Да, это хорошее замечание.
Читать полностью…
А не за 3 судаков с гигантскими прайсом и отсутствием аналогов
Читать полностью…
Ну, потребителю конкуренция только наруку
Читать полностью…
А рынок то маленький + мировая турбулентность продолжает нарастатать:
1. Локальные качели рынка труда из-за развития ИИ;
2. 3я мировая война потенциальная и постоянные кризисы мировые...
Меня здесь скорее удивляет количество неизвестных мне отечественных решений в самых разных нишах рынка...
Читать полностью…
А вы импортозаместили виртуализацию? Тогда мы идем к вам!
С момента мая 2022 и 250 Указа прошло почти 3 года. И хотя в рамках некоторых базовых технологий типа отечественного NGFW активно продолжается так называемое развитие и конкуренция, в других областях, больше привязанных не к "железу", а к "софту", российские решения уже достигли определенного уровня зрелости. Речь не только об известных кейсах типа антивируса Касперского, который еще в досанкционные времена успешно конкурировал с западными вендорами на рынках Америки, но и о множестве других продуктов. 2022 подстегнул этот тренд и дал отечественным разработчикам дополнительные шансы "быть замеченными в своем отечестве" на фоне проверенных решений зарубежных поставщиков. И те разработчики, кто начал развитие собственных продуктов заранее, а не под влиянием "дедлайна 1 января 2025 года" получили возможность "разыграться на полную".
Из критичных для импортозамещения технологий интересно посмотреть на аналитику в области VDI, где согласно аналитикам iKS-Consulting по итогам 2023 года выделился явный фаворит отечественных виртуализаторов - компания "Базис", которая согласно исследованию:
Заняла 52% рынка виртуальных рабочих мест, а следующие игроки - ГК «Астра» и «Даком М», заняли соответственно, 9 и 8 процентов.
не хватает что-то около 30 бустов
Читать полностью…
Обратите внимание что с конца лета/начала осени пошло перепрофилирование и рамки devsecops стали нам узки. В этом смысле трансформация неизбежна.
Читать полностью…
*и я ещё же недаром оговорку делаю про "крупный вендор")))
Читать полностью…
Работать через телевизор (vdi) крайне негативный опыт
Читать полностью…
*не имеющий аналогов в мире...
Читать полностью…
Главное чтобы под капотом не опенсурс обмазанный питоном
Читать полностью…
Тут спорить бессмысленно. Я сейчас в полях уральского форума, но истинно говорю: модель развития качества услуг сильно сложнее, чем конкуренция -> качество)
Читать полностью…
Тоже раньше так думал, а потом начал читать метаобзоры исследований монополий и олигополий и реальность сложнее.
Читать полностью…
Ну вот сложнее все же мир устроен) Конкуренция не всегда рождает качество, кроме того "клиентский экстремизм" (когда мы считаем, что все должно быть ориентировано строго на потребителя, а поставщик "сам дурак") долгосрочно вредит и клиенту, я лично сторонник партнёрских отношений и внутри и снаружи организации...
Читать полностью…
У каждого карася свой бюджет
Я за 100 карасей!
Вопрос сколько они тратят на эту разработку
Читать полностью…
Ну, с учетом объёма рынка это как "в лужу выпустить акулу".
Читать полностью…
Сейчас на ЦБ форуме, и такое ощущение, что каждый делает свой ASOC, ASM, NGFW и т.д....
Читать полностью…
а базис умеет во вложенную виртуализацию?
Читать полностью…
/channel/boost/sec_devops
Читать полностью…
@all ребятушки, а можете бустануть канал? Хочу попробовать делиться всякими новостями, конфами, митапами и т.д. в сториз
Читать полностью…
Да пофиг на количество, главное качество 🫡
(Канал и чат - один из лучших источников инфы по дев сек и опс)