Сертифакаты - это официальные аудиторы, например ISO 17799 или BS7799. Аудитор отвечает за качество аудита своей репутацией и деньгами. Тесты на проникновения тут ни причем, они совершенно для других задач предназначены.
Хочешь быть мудрым? Не желай всего, что видишь; не верь всему, что слышишь; не говори всего, что знаешь; не делай всего, что умеешь, а только то, что полезно.
>Интересно..А Крису Касперскому выдали бы сертификат? Или Заразе? А они то тут причем? Пусть получат флаг им в руки. Только это не так просто
Хочешь быть мудрым? Не желай всего, что видишь; не верь всему, что слышишь; не говори всего, что знаешь; не делай всего, что умеешь, а только то, что полезно.
>Афтар выпей яду! Статья бред! >Автор понятия не имеет о том,о чем пишет.
Ты бы лучше помолчал, согласно поговорке: "промолчишь, авось за умного сойдешь"
Это ты совершенно не имееешь представления о состоянии современной корпоративной безопасности. Сегодня обеспечить почти полную безопасность по периметру от твоих "тестов на проникновение" - как два пальца обос.... И специалисты такие на хрен ни кому не нужны. А всякие Крисы Касперские и Заразы только и годятся на статьи в хацкер.ру и "советы бывалых" в форумах.
Статистика корпоративной безопасности (а статистика, как известно, вещь неумолимая) утверждает, что сегодня 90% секюрити инцедентов происходят ИЗНУТРИ компании. (Дефэйс домашних страничек вэбмастеров-самоучек не в счет). Ты и вправду думаешь, что базы по доходам, или ГИБДД увели через дыры в файрволе?! Вот где и для чего нужен секюрити аудит. А ты гонишь какую-то ахинею про nmap....
>А ты гонишь какую-то ахинею про nmap.... Просто некоторые считают что безопасность == установка патчей и настройка файрвалла А nmap лучший инструмент безопасника.
Некоторая польза от пен тестов есть но только на начальном этапе чтобы убедить компанию что все плохо и что то надо делать, но не больше.
Хочешь быть мудрым? Не желай всего, что видишь; не верь всему, что слышишь; не говори всего, что знаешь; не делай всего, что умеешь, а только то, что полезно.
>Саша, это заблуждение - аудитор никакой ответственности за результат своей работы не несет и никаких гарантий не дает. Тем >более финансовых. А.. Ну хотябы он рискует своей репутацией.. Хотя в России репутация это пустое слово.
Хочешь быть мудрым? Не желай всего, что видишь; не верь всему, что слышишь; не говори всего, что знаешь; не делай всего, что умеешь, а только то, что полезно.
> А всякие Крисы Касперские и Заразы только и годятся > на статьи в хацкер.ру и "советы бывалых" в форумах.
Не рискну их защищать. Специально для Guest, 06.12.2005 21:54:53 --- осень - традиционный период повышенного уровня тестостерона в крови у самцов млекопитающих и человека также. Из чего следует повышенная агрессивность.
ну вот опять громкая статья, бурное обсуждение, а базы с данными все равно сопрут, и советы тут не помогут. красивые речи важных дядей и тетей ничего не изменят, ибо полемика. Реальная инфо безопасность сильно отличается от данной статьи. И угрозы совсем другие. И защищать эту самую инфу зачастую приходится не рульсетом на фаере и не аудитом хваленым, а служебками и приказами по отделам, убеждением людей в вопросе некомпетентных или вообще заинтересованных в возможности красть информацию, выбиванием денег под циски и серверы у начальников, потративших половину бюджета структуры на собственный кабинет... да ладно, далека в общем статья от реалити. Автор, напишите лучше про безопасность сетей, это приятней читать с утра чем о российской действительности.
Как говарят математики "необходимое, но не достадочное условие"... Ну предуприлили вас что база с проводками из ЦБ гуляет по стране, ну и что дальше? правильней былло писать "Кто силен – тот защищен"
очень смешно смотреть реакцию "бумажных специалистов", которые только и кличат своими сертификатами, бумажками, стандартами мля мля мля. и не уважают действительно признанных специалистов. только в россии такая дурь с безопасностью твориться.
что по поводу что такое безопасность - я посмотрю как вы мой пропатченный и затюнингованный сервак за файрволлом будите обезопашивать =), я вам не газпром мне тут рисками и стандартами не отделаешься ), а то поговоришь с вами про архитектуру grsecurity, неисполняемого стека/кучи так сразу затыкаетесь и смотрите в потолок =). то что вы не знаете банальные вещи для настоящего безопасника вроде bof, fmt bugs, shellcode development и пр. ваше дело - риски подсчитывать, да по бумажке сертифицированным сканнером за 100k$ чекать ). к реальной безопасности это мало относится, так что свои прогоны оставьте для бюрократических компаний где вы и работаете в почетной должности бумажного специалиста ).
Смешно слушать технарей которые выучили умные слова и кидают пальцы. Любая безопасность должна строиться по отношению к рискам бизнесса, так как в конечном счете предназначена только для того, чтобы снизить эти риски. А любые технические и программные средства это лишь способ понизить риск текущего события и не более того. А для понижения риска очень часто оказывается что организационные меры более эффективны технических.
А сертификация для того и предназначена чтобы компания понимала что она защищает и от чего. Админ безопасности это лишь средство достижения поставленной цели.
Реальная безопасность это намного выше и сложнее установки патчей или лабудени типа "вроде bof, fmt bugs, shellcode development".
про архитектуру grsecurity, неисполняемого стека/кучи так сразу затыкаетесь и смотрите в потолок =). то что вы не знаете банальные вещи для настоящего безопасника вроде bof, fmt bugs, shellcode development и пр.
мдя насколько это актуально для предотвращения утечки информации?
А когда любая секретутка имеет доступ к базе уровня dba потому что так удобнее было програмеру и админу..... или бухи в однов вилане с шоферами тусуются..... и тут же публичный инет где то.....
Аудит спасает от неправильной политики безопастности..... а если политика настроена правильно то всякую кулхаекрскую фихню гораздо проще отлавливать и контролировать.
Вообще говоря, каждый из нас по-своему прав. а полемика по этому поводу - извечные "кто виноват?" и "что делать?". Проблема, по сути, проста как батон: человек либо может обеспечить комплексный подход к защите корпоративной информации, либо нет. Есть у него сертификат, нет у него сертификата, соответствует его уровень заявленному, не соответствует - это дело второстепенное. Так что лажать и тех, и других не стоит. Главное в таких вопросах - максимально серьезный и ответственный подход, и, обязательно, наличие практического опыта. Не стоит переоценивать роль сертификата, но, в то же время, и недооценивать ее тоже не стоит. Как водится, истина где-то посредине. Это что касается сертификатов. Что по поводу статьи ..... неплохо, автор изложил свое видение проблемы... но уж больно напоминает статьи г-на Голубева с crime-research.ru.... очень много общих рекомендаций, мало конкретных примеров... общую идею можно выразить одной фразой "мля, как все плохо, с этим надо что-то делать"... :ban: хотя, конечно, есть кое-что полезное. А в целом, согласен ,
Цитата
Статистика корпоративной безопасности (а статистика, как известно, вещь неумолимая) утверждает, что сегодня 90% секюрити инцедентов происходят ИЗНУТРИ компании.
10% - вторжения снаружи. Наиболее умными словами для себя выделил фразу Павла Бойко, президента Инвестсбербанка:
Цитата
«Появляется та информация, стоимость раскрытия которой превышает цену, затраченную владельцем на содержание ее в тайне. Последние события показывают, что, с одной стороны, держателям конфиденциальной информации необходимо увеличивать затраты на охрану, а с другой – надо ужесточать меры по наказанию информационного пиратства».
Коротко, самое главное, таксзть, "суть в чистом виде".
>А когда любая секретутка имеет доступ к базе уровня dba потому что так удобнее >было програмеру и админу..... или бухи в однов вилане с шоферами тусуются..... и тут >же публичный инет где то.....
надо нанять хорошего админа.
>Аудит спасает от неправильной политики безопастности..... а если политика >настроена правильно то всякую кулхаекрскую фихню гораздо проще отлавливать и >контролировать.
вот именно что кулхацкерскую ). но для этого и нормальный админ подойдет. тогда выходит какова роль безопасника? вот-вот... в россии у нас так, только бумажки писать (90% job position's)
>Реальная безопасность это намного выше и сложнее установки патчей или >лабудени типа "вроде bof, fmt bugs, shellcode development".
хыхыхыхы= )))
> Смешно слушать технарей которые выучили умные слова и кидают пальцы. Любая >безопасность должна строиться по отношению к рискам бизнесса, так как в >конечном счете предназначена только для того, чтобы снизить эти риски. А любые >технические и программные средства это лишь способ понизить риск текущего >события и не более того. А для понижения риска очень часто оказывается что >организационные меры более эффективны технических.
отражает безопасников. бумажных безопасников ). чего ссориться то? каждый занимается своим делом. вы думается что такие фундаментальные проблемы вроде переполнения буфера, кучи, ошибки форматной строки и много чего еще - пустой звук, то это лишь ваша некомпетентность. (
>вы думается что такие фундаментальные проблемы вроде переполнения буфера, кучи, ошибки форматной строки и много чего еще >- пустой звук, то это лишь ваша некомпетентность. ( Это проблемы и не более. причем тут "реальная безопасность"?
вы думается что такие фундаментальные проблемы вроде переполнения буфера, кучи, ошибки форматной строки и много чего еще - пустой звук, то это лишь ваша некомпетентность.
вы считате что знание проблем вроде переполнения буфера, кучи, ошибки форматной строки и много чего еще достаточны для предотвращения утечки?
Я уверен, что ни одна из вышеописанных проблем не имеет отношения ни к одному описанному случаю утечки информации....
Цитата
вот именно что кулхацкерскую ). но для этого и нормальный админ подойдет. тогда выходит какова роль безопасника?
Роль безопастника это организация политк безопастности, проверка их исполнения разработка инструкций которые исполняет админ....
для мелкой конторы это может делать и админ, но для больших это нужен отдельный человек или даже штат сотрудников... да работа примерно процентов на 70 состоит из вещей бумажных, но это не означает, что проблема 0-day для них пустой звук.... в принципе они то и работают для того, что бы предотвратить её, а патчи уж должен ставить админ