Обсуждение статьи
Кто предупрежден – тот защищен
|
06.12.2005 20:46:23
|
|
|
|
|
|
06.12.2005 22:05:08
Саша, это заблуждение - аудитор никакой ответственности за результат своей работы не несет и никаких гарантий не дает. Тем более финансовых.
Luka
|
|||
|
|
|
|
06.12.2005 22:07:59
>А ты гонишь какую-то ахинею про nmap....
Просто некоторые считают что безопасность == установка патчей и настройка файрвалла  А nmap лучший инструмент безопасника. Некоторая польза от пен тестов есть но только на начальном этапе чтобы убедить компанию что все плохо и что то надо делать, но не больше.
Хочешь быть мудрым? Не желай всего, что видишь; не верь всему, что слышишь; не говори всего, что знаешь; не делай всего, что умеешь, а только то, что полезно.
|
|
|
|
|
|
06.12.2005 22:10:51
>Саша, это заблуждение - аудитор никакой ответственности за результат своей работы не несет и никаких гарантий не дает. Тем >более финансовых.
А.. Ну хотябы он рискует своей репутацией.. Хотя в России репутация это пустое слово.
Хочешь быть мудрым? Не желай всего, что видишь; не верь всему, что слышишь; не говори всего, что знаешь; не делай всего, что умеешь, а только то, что полезно.
|
|
|
|
|
|
06.12.2005 22:33:14
> А всякие Крисы Касперские и Заразы только и годятся
> на статьи в хацкер.ру и "советы бывалых" в форумах. Не рискну их защищать. Специально для Guest, 06.12.2005 21:54:53 --- осень - традиционный период повышенного уровня тестостерона в крови у самцов млекопитающих и человека также. Из чего следует повышенная агрессивность. |
|
|
|
|
|
06.12.2005 23:49:18
>аудитор никакой ответственности за результат своей работы не несет и никаких гарантий не дает
которое прикрывается фразой:" на момент проверки бла-бла-бла не выявлено" Кстати Nmap это не сертифицированное средство. > |
|
|
|
|
|
07.12.2005 10:04:51
ну вот
 опять громкая статья, бурное обсуждение, а базы с данными все равно сопрут, и советы тут не помогут. красивые речи важных дядей и тетей ничего не изменят, ибо полемика. Реальная инфо безопасность сильно отличается от данной статьи. И угрозы совсем другие. И защищать эту самую инфу зачастую приходится не рульсетом на фаере и не аудитом хваленым, а служебками и приказами по отделам, убеждением людей в вопросе некомпетентных или вообще заинтересованных в возможности красть информацию, выбиванием денег под циски и серверы у начальников, потративших половину бюджета структуры на собственный кабинет... да ладно, далека в общем статья от реалити. Автор, напишите лучше про безопасность сетей, это приятней читать с утра чем о российской действительности. |
|
|
|
|
|
07.12.2005 10:10:08
Один слоган чего стоит:
Ну предуприлили вас что база с проводками из ЦБ гуляет по стране, ну и что дальше? правильней былло писать "Кто силен – тот защищен" |
|||
|
|
|
|
07.12.2005 10:14:15
очень смешно смотреть реакцию "бумажных специалистов", которые только и кличат своими сертификатами, бумажками, стандартами мля мля мля.
и не уважают действительно признанных специалистов. только в россии такая дурь с безопасностью твориться. что по поводу что такое безопасность - я посмотрю как вы мой пропатченный и затюнингованный сервак за файрволлом будите обезопашивать =), я вам не газпром мне тут рисками и стандартами не отделаешься ), а то поговоришь с вами про архитектуру grsecurity, неисполняемого стека/кучи так сразу затыкаетесь и смотрите в потолок =). то что вы не знаете банальные вещи для настоящего безопасника вроде bof, fmt bugs, shellcode development и пр. ваше дело - риски подсчитывать, да по бумажке сертифицированным сканнером за 100k$ чекать ). к реальной безопасности это мало относится, так что свои прогоны оставьте для бюрократических компаний где вы и работаете в почетной должности бумажного специалиста ). p.s. без обид |
|
|
|
|
|
07.12.2005 10:30:10
Смешно слушать технарей которые выучили умные слова и кидают пальцы. Любая безопасность должна строиться по отношению к рискам бизнесса, так как в конечном счете предназначена только для того, чтобы снизить эти риски. А любые технические и программные средства это лишь способ понизить риск текущего события и не более того. А для понижения риска очень часто оказывается что организационные меры более эффективны технических.
А сертификация для того и предназначена чтобы компания понимала что она защищает и от чего. Админ безопасности это лишь средство достижения поставленной цели. Реальная безопасность это намного выше и сложнее установки патчей или лабудени типа "вроде bof, fmt bugs, shellcode development". P.S. Без обид |
|
|
|
|
|
07.12.2005 10:35:52
насколько это актуально для предотвращения утечки информации? А когда любая секретутка имеет доступ к базе уровня dba потому что так удобнее было програмеру и админу..... или бухи в однов вилане с шоферами тусуются..... и тут же публичный инет где то..... Аудит спасает от неправильной политики безопастности..... а если политика настроена правильно то всякую кулхаекрскую фихню гораздо проще отлавливать и контролировать. |
|||
|
|
|
|
07.12.2005 10:41:42
Вообще говоря, каждый из нас по-своему прав. а полемика по этому поводу - извечные "кто виноват?" и "что делать?". Проблема, по сути, проста как батон: человек либо может обеспечить комплексный подход к защите корпоративной информации, либо нет. Есть у него сертификат, нет у него сертификата, соответствует его уровень заявленному, не соответствует - это дело второстепенное. Так что лажать и тех, и других не стоит. Главное в таких вопросах - максимально серьезный и ответственный подход, и, обязательно, наличие практического опыта. Не стоит переоценивать роль сертификата, но, в то же время, и недооценивать ее тоже не стоит. Как водится, истина где-то посредине. Это что касается сертификатов.
Что по поводу статьи ..... неплохо, автор изложил свое видение проблемы... но уж больно напоминает статьи г-на Голубева с crime-research.ru.... очень много общих рекомендаций, мало конкретных примеров... общую идею можно выразить одной фразой "мля, как все плохо, с этим надо что-то делать"... :ban: хотя, конечно, есть кое-что полезное. А в целом, согласен ,
Наиболее умными словами для себя выделил фразу Павла Бойко, президента Инвестсбербанка:
|
|||||
|
|
|
|
07.12.2005 10:51:03
>мдя
>насколько это актуально для предотвращения утечки информации ggg =))). так это же те атаки для предотвращения использования которых каждый день выпускают с 10ок патчей =). безопасник не обязан умень аудитить код на безопасность, но понимает эти атаки - безусловно, хотя бы чтобы не быть полным профаном в таких вещах как перехват шеллкодов для защиты от 0-day и пр. и не надо говорить что 0-day это миф )) хыхы )) many peoples actually have this stuff © gobbles  >А когда любая секретутка имеет доступ к базе уровня dba потому что так удобнее >было програмеру и админу..... или бухи в однов вилане с шоферами тусуются..... и тут >же публичный инет где то..... надо нанять хорошего админа. >Аудит спасает от неправильной политики безопастности..... а если политика >настроена правильно то всякую кулхаекрскую фихню гораздо проще отлавливать и >контролировать. вот именно что кулхацкерскую ). но для этого и нормальный админ подойдет. тогда выходит какова роль безопасника? вот-вот... в россии у нас так, только бумажки писать (90% job position's) |
|
|
|
|
|
07.12.2005 10:57:33
>Реальная безопасность это намного выше и сложнее установки патчей или
>лабудени типа "вроде bof, fmt bugs, shellcode development". хыхыхыхы= ))) > Смешно слушать технарей которые выучили умные слова и кидают пальцы. Любая >безопасность должна строиться по отношению к рискам бизнесса, так как в >конечном счете предназначена только для того, чтобы снизить эти риски. А любые >технические и программные средства это лишь способ понизить риск текущего >события и не более того. А для понижения риска очень часто оказывается что >организационные меры более эффективны технических. отражает безопасников. бумажных безопасников ). чего ссориться то? каждый занимается своим делом. вы думается что такие фундаментальные проблемы вроде переполнения буфера, кучи, ошибки форматной строки и много чего еще - пустой звук, то это лишь ваша некомпетентность. ( |
|
|
|
|
|
07.12.2005 11:04:23
>вы думается что такие фундаментальные проблемы вроде переполнения буфера, кучи, ошибки форматной строки и много чего еще >- пустой звук, то это лишь ваша некомпетентность. (
Это проблемы и не более. причем тут "реальная безопасность"? |
|
|
|
|
|
07.12.2005 11:15:03
Я уверен, что ни одна из вышеописанных проблем не имеет отношения ни к одному описанному случаю утечки информации....
для мелкой конторы это может делать и админ, но для больших это нужен отдельный человек или даже штат сотрудников... да работа примерно процентов на 70 состоит из вещей бумажных, но это не означает, что проблема 0-day для них пустой звук.... в принципе они то и работают для того, что бы предотвратить её, а патчи уж должен ставить админ |
|||||
|
|
|
||||
Читают тему