Security Lab



Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти  
Форум » Обсуждение статей (закрыто) » Обсуждение публикаций
Страницы: Пред. 1 2 3 След.
RSS
Кто предупрежден – тот защищен
 
#21
Это нравится:0Да/0Нет
07.12.2005 11:19:49
хех..
скажу следующее
по крайней мере на нашем рынке "спецы" комп безопасности исследуют тока дыры веб-сервисов и ищут известные уязвимости в стандартных сервисах (по второму пункту понимай "являюца скрипткиддисами")
как сервант не защищай, дыры в самопальном ПО должны предвидицца разработчиками и архитекторами
к тому же тупые кошелки и казлы (в том числе и начальство, некоторые из которых считают себя мегаспецами в области обращения с ОСями) имеют обыкновение иногда лазить на служебные сервисы со своих домашних компов а иногда и с чужих
и тут проблема безопасности корпоративных данных переходит из технической проблемы в организационную. а это самое поганое. ибо объяснить начальству что надо работать только на работе не всегда удаецца. а контролировать свой личный комп они не могут
 
 
 
#22
Это нравится:0Да/0Нет
07.12.2005 11:25:12
Цитата
и тут проблема безопасности корпоративных данных переходит из технической проблемы в организационную. а это самое поганое. ибо объяснить начальству что надо работать только на работе не всегда удаецца. а контролировать свой личный комп они не могут

да
тяжело вам... а что бы вы тогда сказали о целых отделах которые работают из дома не нарушая политк безопастности? а вечно гуляющие представители? или отдел продаж?
 
 
 
#23
Это нравится:0Да/0Нет
07.12.2005 11:27:57
Цитата
имеют обыкновение иногда лазить на служебные сервисы со своих домашних компов а иногда и с чужих
и тут проблема безопасности корпоративных данных переходит из технической проблемы в организационную. а это самое поганое. ибо объяснить начальству что надо работать только на работе не всегда удаецца. а контролировать свой личный комп они не могут

Работа в режиме удалённого терминала тебя спасёт.
Нормальные корпоративные решения, разумеется, стоят немало, но часть работы безопасника заключается в том, чтобы убедить руководство, что они того стоят
 
 
 
#24
Это нравится:0Да/0Нет
07.12.2005 11:54:35
Цитата
NC пишет:
выдали бы сертификат? Или Заразе?

Не хочу тебя расстраивать но у 3apa3ы сертификаты есть. Инженер и тренер от MS точно, может и другие...
 
 
 
#25
Это нравится:0Да/0Нет
07.12.2005 11:59:02
Цитата
Serg пишет:
по крайней мере на нашем рынке "спецы" комп безопасности исследуют тока дыры веб-сервисов

За многие годы работы в ИБ _ни разу_ не встречал заказа на оценку защищенности прикладнухи. НИ РАЗУ. Дык если нет спроса, то кто это бует делать?
 
 
 
#26
Это нравится:0Да/0Нет
07.12.2005 14:15:46
не знаю как в столицах.. а у нас на окраинах даж "самые крутые сисадмины" не отличат DDOS от MSDOS. поэтому наверное так остро проблема не стоит. как я объясняю сисадминам, наша задача при обследовании ИБ оценить общую картину ИБ.. для этого вполне достаточно "сканера за 100 баксов"..  поверьте, хорошего админа сразу видно по прозрачной, хорошо оборудованной и работающей сети (интересно.. а у всех "куладминов" на этом форуме есть хотя бы схема своей собственной локалки??).. да и отчет об обследовании расчитан главным образом на руководство, поэтому и ограничивается общей картиной.

В целом статья слишком актуальна чтобы быть полезной и объективной. Так же непонятно название. Да и побольше бы конкретных статей. Намного чаще стоит задача обеспеченить должный уровень ИБ уже у реального клиента.. а не отбирать их по сертификатам, как указано в статье.

На самом деле проблема качественного обследования уровня ИБ и аудита упирается в целый букет проблем: время, деньги, специалисты и оборудование, так же очень часто стоит задача не мешать работе организации, т е обследование приходится проводить чуть ли не по ночам. Да и глупые вопросы сис админов "что такое BO и слышали ли вы про Kaht?" тож отвлекают :)..
 
 
 
#27
Это нравится:0Да/0Нет
07.12.2005 14:37:44
епрст, сколько брызгов))))) и все ведь правы со своей стороны.
на самом деле автор просто не упомянул простого момента: аудиторской команды.
про тесты на проникновение мое мнение отрицательно - это непрофессионально, так как имеет лишь одну цель и результат - психологическое воздействие на клиента, что не есть гут. Если клиент осознал проблему, то ему не нужен тест на проникновение, а если не осознал - то тест дает не тот результат, который нужен - не "давайте вместе работать", а "ебзаногу как все плохо - делайте что хотите, но чтоб все было".

по аудиту. все мы знаем, что в нашей стране стандартов на аудит безопасности нет. получение международных сертификатов - например на внедрение ISO - стоит дорого, поэтому их получают КОНТОРЫ, а не специалисты. Поэтому и не отражает это их квалификацию, а отражает лишь намерения конторы.

по аудиторской команде. Аудит должен проводить человек, разбирающийся комплексно в опросах безопасности (если уж говорить о сертификатах, то это что то вроде CISSP). Этот человек должен иметь команду, в которой может присутствовать системщик (хакер, админ), назовите как хотите, но этот тот самый - с кучами, переполнениями буфера, патчами и выяснениями - где блин здесь патчкорд заело. Никто не говорит, что это мало. Но факт есть факт - такой человек понимает только в технической части. Информации море, в одной башке все это не поместится ни в жизнь. Также в этой команде должен присутствовать человек, обладающий навыками исследования организационной безопасности. Я применяю термин "разведчик". Этот человек должен проверить организационную безопасность с ВНЕШНЕЙ стороны. "Разведчик", работавший на меня один раз - придя в банк через общую дверь  с помощью только разговорных навыков дошел до серверной и открыл ее. Вот вам и патчи. Должен быть человек (или два человека), исследующий организационную безопасность изнутри - так называемая безопасность бизнес-процессов и безопасность информационных потоков (я разделяю эти понятия). Плюс не забудем о физической безопасности. Видите, как много получается?
А вы говорите, патчи, средства сканирования. Шире надо смотреть на вещи.
 
 
 
#28
Это нравится:0Да/0Нет
07.12.2005 15:08:33
2janeRKC: мы говорили о информационной безопасности =). при чем тут физическая безопасность, всякие инсайдеры с длинным языком )). тут имеется ввиду безопасность
серверой/сетевой инфраструктуры компании.
просто пока в россии безопасность обеспечивают только на бумаге, резульатат будет плачевен. однако отдадим должное нашим безопасникам - защищаться от скрипткидди при помощи коммерческих продуктов за 100к $ и работы админов (и программеров которые патчи клепают) они все таки научились )) респект ))

2Гость2: где ты видел сканнер за 100 баксов ))? имелось ввиду сканнеры за 100к = 100 000 - типа дорогие бесполезные махины для безопасников которые сканируют десятки тысяч доисторических уязвимсотей =) +выводят красивые отчеты с графиками ))))

кстати действительно комично было бы посмотреть как эти же самые безопасники будут эксплоитить якобы найденные уязвимости... вот лол был бы =))). тогда бы сразу полезли бы на packetstromsecurity и изучали бы варез от rst team который че-нить там
POST'om посылает скрипту.. типа file=../../../../../etc/passwd :))).
или POC'ом бы калькуляторы запускали ))) хаххахаах =)))
 
 
 
#29
Это нравится:0Да/0Нет
07.12.2005 18:44:23
ИМХО, в процессе обсуждение народ путает понятия "информационная безопасность" и "компьютерная безопасность", причем второе является подмножеством первого.
 
 
 
#30
Это нравится:0Да/0Нет
07.12.2005 19:04:10
Информационная безопасность == безопасность информации. И неважно в каком виде эта информация, в виде файла или распечатка на принтере либо разговор по телефону. Бесмысленно защищать файл не контролируя информацию на бумажках, и наоборот бесмысленно следить за каждой бумажкой когда у тебя дырявая сеть..
 
 
 
#31
Это нравится:0Да/0Нет
07.12.2005 19:18:18
Хы :)
Дурь это всё...

Простой пример - во многих организациях стоят шрёдеры...
Какие фаерволы, какие сервера...
Да возьмут сисадмина за причинное место сам всё раскажет и покажет где куда и как...
А если ещё хуже..

Секурити она из того и проистекает.. из физической охраны.. от этого никакие сертификаты и фаерволы непомогут...
 
 
 
#32
Это нравится:0Да/0Нет
07.12.2005 19:37:32
Цитата
Гость пишет:
тяжело вам... а что бы вы тогда сказали о целых отделах которые работают из дома не нарушая политк безопастности?
Проходной двор, по которому через VPN шарятся все, кому не лень.
 
 
 
#33
Это нравится:0Да/0Нет
07.12.2005 20:04:34
Цитата
techman пишет:
кстати действительно комично было бы посмотреть как эти же самые безопасники будут эксплоитить якобы найденные уязвимости... вот лол был бы =))). тогда бы сразу полезли бы на packetstromsecurity и изучали бы варез от rst team который че-нить там
POST'om посылает скрипту.. типа file=../../../../../etc/passwd )).
Есть продукты вроде профессионального пентестерского Core Impact - тестер нажал на кнопочку и вся сеть через пять минут взломана, думать нифига не нужно ваще. :)
 
 
 
#34
Это нравится:0Да/0Нет
07.12.2005 20:17:15
to Гость, 07.12.2005 11:27:57
вот-вот цитирую:
Цитата
часть работы безопасника заключается в том, чтобы убедить руководство, что они того стоят
на моей прошлой работе был ваще голяк
-- тетки, которые не просто не знают основных правил, но еще и не хотят из знать! при попытке объяснить, ответ такой: ой не знаю - ты мне покажи где какую кнопочку нажать и все. а я уж как-нить сама...
-- начальство, которое говорит так: мне надо вот это. как ты это сделаеш - не знаю. но мне нужно, что бы было это это и это (посколько единственная прога, которой они умеют пользоваца - эксплорер, то речь в 99.99% случаях идет о веб-интерфейсе). достаточно одного трояна в царственный домашний комп, что бы кто-то слева получил аккаунт на сервисе (причем почему-то начальтво обязательно трубет себе полных привелегий для сервиса -- интересно зачем)
-- начальники программерского отдела, которые в очередном прогибе перед самым верхним начальством запускают на поток неотлаженные корпоративные сервисы, страдающие неприкрытыми дырами типа sql-injection, или дырами типа когда вместо параметра вставляеш |id| и получаеш вывод консольной команды... и мотивирующие это тем, что "сервис работает во внутренней сети и поэтому у нас никто его ломать не будет", а из вне стоит авторизация, которая иногда тоже страдает различной формы дырами)
причем когда с этим идеш к своему начальству, ему побарабану - это проблемы другого отдела и они напрямую вроде бы и не касаюцца нас.. но когда гром грянет, весь навоз приходица разгребать админу. и первому вазелином приходица запасаца именно ему, потому что в первую очередь парафинят не того, кто виноват, а того кто ближе.

и далее могу продолжать в том же духе
 
 
 
#35
Это нравится:0Да/0Нет
07.12.2005 20:22:10
>тестер нажал на кнопочку и вся сеть через пять минут взломана

Ты не забыл добавить?: "Вся сеть через пять минут взломана" только при условии, что используется 5 лет небновляемый OpenSSH (цитата из "Матрицы"), 10-ти летней давности sendmail, или тому подобное. А может в "профессиональном пентестерском Core Impact" используются 0day? По одному, на каждое тестирование?
 
 
 
#36
Это нравится:0Да/0Нет
07.12.2005 20:50:04
Цитата
Guest пишет:
Ты не забыл добавить?: "Вся сеть через пять минут взломана" только при условии, что используется 5 лет небновляемый OpenSSH (цитата из "Матрицы"), 10-ти летней давности sendmail, или тому подобное.
PHP memory_limit exploit CVE-2004-0594, Exchange SMTP CVE-2005-0560, Veritas  CVE-2005-0773, MS05-043, MS05-046, MS05-039, Solaris CVE-2005-2072 и т.д. - свежак.

Цитата
Guest пишет:
А может в "профессиональном пентестерском Core Impact" используются 0day?
Помимо публичных эксплоитов там есть и приватные, зеродеев там есессно нет.
 
 
 
#37
Это нравится:0Да/0Нет
08.12.2005 11:09:42
Цитата
тестер нажал на кнопочку и вся сеть через пять минут взломана
а собственно кто сказал, что ломать надо в лоб? к тому же на кнопочку нажимает тока скрипткиддис. обычно сервисы ломаюца тока ручками, ибо они в массе своей самопальны
 
 
 
#38
Это нравится:0Да/0Нет
08.12.2005 11:12:33
:| Мну удивлён

>Кстати Nmap это не сертифицированное средство.  

У меня в рабочей практике возникало уже очень много проблем по поводу сертификации
К примеру, на Украине возможно использовать беспроводное оборудование только одного (название не скажу) производителя. А это оборудование своей функциональностью не балует. А прохождение получения сертификата для использования в беспроводных сетях (как и везде, впрочем) требует открытия производителем исходного кода всего программного обеспечения, используемого в оборудовании. Какой производитель на это пойдёт????
Но приэтом везде разрешино использовать Мастдай, а его исходники при этом не требуют.
Вопщем полный бред с сертификацией как знаний, так и оборудования
 
 
 
#39
Это нравится:0Да/0Нет
08.12.2005 12:59:20
Цитата
techman, 07.12.2005 15:08:33
2janeRKC: мы говорили о информационной безопасности =). при чем тут физическая безопасность, всякие инсайдеры с длинным языком )). тут имеется ввиду безопасность
серверой/сетевой инфраструктуры компании.
просто пока в россии безопасность обеспечивают только на бумаге, резульатат будет плачевен. однако отдадим должное нашим безопасникам - защищаться от скрипткидди при помощи коммерческих продуктов за 100к $ и работы админов (и программеров которые патчи клепают) они все таки научились )) респект ))

)))))))))))))) очень смеялась)))))
вот поэтому и существует такой раздрай в отрасли - пока есть люди, именующие себя специалистами по информационной безопасности, а на деле оказывающиеся лишь техническими специалистами. Могу Вам также сказать, что контора, имеющая хорошо поставленную организационную безопасность со средненькой сетевой инфраструктурой - в проценте инцидентов безопасности оказывается в более выигрышном положении, нежели контора БЕЗ организации ИБ, но с навороченной сетью (обновления, нормальное оборудование и т.д.). Это простая статистика.
 
 
 
#40
Это нравится:0Да/0Нет
08.12.2005 13:33:14
Все смешалось....


:!:  Информационная безопасность состоит из трех основных компонентов:
а) конфиденциальность: защита конфиденциальной информации от несанкционированного раскрытия или перехвата;
б) целостность : обеспечение точности и полноты информации и компьютерных программ;
в) доступность: обеспечение доступности информации и жизненно важных сервисов для пользователей , когда это требуется.
 
 
 
Страницы: Пред. 1 2 3 След.
Читают тему