На прошлой неделе опубликована информация о нескольких исследованиях.
Одно из них – отчет об исследовании безопасности Oracle Siebel CRM от компании Positive Technologies.
Из отчета можно понять, что ребята исследовали какую-то версию OracleCRMв какой-то организации. Но что значат эти 6 найденных уязвимостей? Это хорошо или плохо? Система безопасна? Система OracleCRMбезопасна при каких условиях? Система безопасна OracleCRMпри установленном кумулятивном патче?
Исследование – это, по определению, систематическое рассмотрение, изучение чего либо. А для этого в отчете не хватает:
· определения проблемы, определение целей и задач исследования
· описания объекта обследования – какая система, какие компоненты, работающая система или в вакууме, с настройками по умолчанию или с реальными настройками заказчика
· методологии исследования - описание методов, которые использовались для изучения (внешнее сканирование, ффазинг, анализ исходного кода, анализ настроек)
· выводов и рекомендаций по результатам исследования
Может быть в новости не надо было это называть исследованием?
PS: Кстати такие работы проводятся бесплатно или это заказ от вендора или это в рамках программы bug bounty?
PPS: А вот новость про поддержку ERPсистем в MaxPatrol– интересная. Я бы почитал или послушал подробнее, как именно они поддерживаются? Проверка наличия обновлений или есть анализ конфигурации?
PPS: А вот новость про поддержку ERPсистем в MaxPatrol– интересная. Я бы почитал или послушал подробнее, как именно они поддерживаются? Проверка наличия обновлений или есть анализ конфигурации?
Второй отчет опубликовал аналитический Центр InfoWatch – он посвящен анализу статистики утечек ПДн в 2013 году
Вот в этом отчете системный подход налицо – есть и определение проблемы и методология и выводы. Ниже привожу наиболее интересные результаты:
Доля утечек ПДн в общем числе утечек
Распределение утечек по каналам
Распределение утечек по источнику. (Хм. На банковском форуме приводили статистику, в которой руководитель был виновен в 50% инцидентов)