1807
Чат для обсуждения DevSecOps и постов канала @sec_devops Вакансии: @appsec_job Услуги: https://radcop.online/
Они обычно не приносят счастьица
Читать полностью…
С одной стороны, случай называется так не случайно - это не системное событие, поэтому анекдоты про него травить можно, а закладываться на его повторяемость не нужно.
И? Это HR риск и если HR даст ИБ такие полномочия - они будут.
- денежки
- отсутствие ответственности
типа как будто бы я в пароле передавал SQL инъекцию гы
Читать полностью…
Каждый сам выбирает, что и как он делает на работе и какова его цель.
Читать полностью…
Человек предлагает включить рейт лиммты на ваф для сервисов без согласования со стороны ИТ, я ему предложил включить их для условного Сбера без согласования и посмотреть что получится
Читать полностью…
я могу рассказать охренительную историю как путем WAF в одной компании сломали логин в одну из систем
Читать полностью…
коллеги, я просто пошутил. :)
Читать полностью…
Обычно такое пишут когда собирается толпа из людей с позицией: «не наш метод, мы лишь винтики, а владельцы там-то». И в итоге так и кивают друг на друга. А у семи нянек дитя без глазу
Читать полностью…
Всем доброе утро 😎
Читать полностью…
gnome не пройдёт. защита проплачена kde.
Читать полностью…
Извините, что пишу вам лично. Тут нужно на шаг отступить и прочитать, что написано вами - в одном предложении есть критика подхода “отработал смену - и ладно” и одновременно девиз этого подхода "Пока ИБ не начнут мерить"
Если условный ИБ постоянно что-то от кого-то ждет прежде чем он сможет показать всем какой он красавец - это и означает, что на самом деле ему пофигу и нужно только смену отработать
OSINT, GEOINT, SIGINT… осталось только HUMINT прикрутить и можно открывать свою разведку полного цикла.
Видео, судя по описанию, больше похоже на «курс молодого бойца» по пентесту в стиле «разведка идёт впереди атаки».
Почти любое утверждение можно оспаривать.
Про Г-Л вполне можно прочитать и все как следует понять.
Зашифрованная инфраструктура ОЧЕНЬ редко означает полное уничтожение бизнеса.
Я ж так и сказал: бекдоры можно предположить. Вот только вероятность ими воспользоваться совсем другая
Читать полностью…
И еще момент.
Вот это "не отмыться потом" это сколько в маржинальности EBITDA или ROE?
Или это просто тема, которую удобно подкидывать там, где нужно добавить в диалог FUD?
+Удалёнка для полного счастья
Читать полностью…
хотя все было легитимное
Читать полностью…
WAF ловил логин как потенциально опасную строчку
Читать полностью…
Я тут никаких проблем не вижу. Кроме одной.
Это реактивный подход, а должен быть наоборот. Т.е. установившаяся культура управления рисками между ИТ и ИБ должна этот пункт включать в таком формате, чтоб для ИТ он был бы не пунитивным "мы вам все закрутим за вашу нерадивость", а премиальным "мы вас прикроем, пока вы находите время"
Было бы интересно почитать
Читать полностью…
Давайте, включите рейт лимиты на процессинге Сбера, интересно будет понаблюдать за появлением красной дыры вселенского масштаба
Читать полностью…
Тут не всё однозначно.
Был в моей практике случай, когда один из топ-менеджеров банка, "молодой да ранний", уж не знаю, что употребив, начал трансляцию своих "дик-пик" прямо из вполне узнаваемого интерьера.
С одной стороны, он отвечает за казначейские операции, а с другой - творит в прямом эфире такое, что потом не отмыться, если что...
И?..
А как насчёт практики:
найдена угроза уровня критического/высокого, если через неделю так и не найдётся ответственный за устранение - создаём правило на WAF для ограничения rate limit (митигация массовой эксплуатации)
А можете коллегу разбанить, господа админы? Капча чет лютая
@gnome627
Попробую ответить.
У ИБ нет и не должно быть механизмов выключать что-то из ИТ сервисов. Но должен быть и в 90% есть механизм надлежащего оповещения, правда чаще всего ИБ им не умеет пользоваться.
В описанной ситуации ИБ может:
- получить "премию" если регулярно представляет на нужные комитеты при СД объем мертвых ИТ сервисов, добавляющих площадь атаки, но не создающих ценность
- получить "депремирование", если будет стоять на позиции - мое дело принести проблему, а решение вы сами находите, чай умненькие.
Извините. Gordon-Loeb model, которая на рисунке
https://activecyber.net/learn-the-fundamentals-of-the-gordon-loeb-cyber-investment-model-in-this-interview-with-professor-gordon/
И да и нет.
Можете провести эксперимент, посчитать ущерб от полной остановки бизнеса на, скажем, неделю, и сформировать бюджет весом в 70% от этой суммы. Все показать на одном слайде и посмотреть, где там что сориентируется в бизнесе и на каком снижении вы потом сойдётесь.
Спасибо за такой развернутый фитбэк! Приятно такое читатать, был рад выступить перед такой замечательной публикой🔥🔥🔥
Читать полностью…
Про текущее образование лучше вообще не говорить, как будто я не работаю с выпускниками
Читать полностью…