Выбрать дату в календареВыбрать дату в календаре

Страницы: 1 2 3 4 5 6 7 8 9 10 11 ... 14 След.
Поносов обвиняет прокуратуру в пиратстве
 
Интересно, как его встречный иск соотносится с УПК в части проведения экспертизы?
Luka
Особенность IPv6 помогает увеличить в десятки раз силу DOS-атак
 
Цитата
Однако в оборудовании и программном обеспечении IPv4 эта функция практически везде отключена.

Интересно, что мешает отключить эту фишку в оборудовании, поддерживающем IPv6, особенно если учитывать, что это скорее всего будет тоже оборудование ;-)
Luka
Почему в России нет настоящих CISO?
 
Цитата
почему бы Вам не организовать упомянутый клуб CISO

Сейчас есть три попытки разных людей создать такой клуб. Надо посмотреть, что из этого получится.
Luka
Мария Шарапова стала сертифицированным специалистом Cisco
 
Цитата
Гость пишет:
"Как же так, Леша?" - вопрошает общественность: "Неужели работа в компании Cisco не оставила ничего святого?"

Господа, не надо грязи в наше чистый океан ;-)  Первоапрельские шутки надо уметь оценивать. Нехто (и он известен) зарегистрировался на секлабе под именем "Алексей Лукацкий" и написал это. В других новостях и не такое было ;-)  Что можно сказать - кому-то видимо не дает покоя моя святость ;-)
Luka
ИТ-безопасность: никто не готов к новым угрозам. Так ли все серьезно и
 
Цитата
А Щеглов пишет:
Коллеги, вы почему-то не хотите меня "слышать" и давно уже обсуждаете свои вопросы, а не статью.

Ну, во-первых, на любом форуме это нормально, когда дискуссия вообще уходит от первоначальной темы.

А во-вторых, я не вижу смысла разбирать статью, которая даже при беглом просмотре вызывают у меня такое количество нареканий. Если мы с терминами не можем определиться, то как можно к сути переходить?

Если вы по-прежнему стоите на своем и уверяете, что отказ = уязвимость, то я не вижу смысла дальше обсуждать что-то. У нас значит фундаментальные расхождения в понимании безопасности.
Luka
ИТ-безопасность: никто не готов к новым угрозам. Так ли все серьезно и
 
Цитата
Ригель пишет:
Система, имеющая уязвимость, запросто может быть не только не атакована, но и вообще... безопасна. Если у атаки приемлемый ущерб

Ну это вообще заведет нас в дебри ;-) И так-то к статье много претензий, а тут еще ты со своей идеей, которая кстати не нова. Я года 4-5 назад написал статью как раз про это и там было вкратце так: если в процедуре перемножения у одного из трех параметров - вероятность атаки, наличие уязвимости для данной атаки и ущерб от данной атаки, равен нулю, то заниматься такой атакой вообще нет смысла. Умножение на ноль дает в итоге ноль.

Но я не согласен, что система, где для атак ущерб приемлем - безопасна. Скорее у такой системы низкий риск. Совсем безопасной ее не назовешь, если и дыры есть и атаки реализуются.
Luka
ИТ-безопасность: никто не готов к новым угрозам. Так ли все серьезно и
 
Цитата
Под «отказом» средства защиты понимается обнаружение уязвимости системного средства (например, это могут быть ошибки в реализации ОС, либоприложений), которая потенциально может привести к несанкционированному доступу к информации.

Под интенсивностью отказов средства защиты (интенсивностью обнаружения уязвимостей средства защиты) понимаем интенсивность обнаружения в нем уязвимостей в единицу времени.

Ну давайте перейдем к сути тогда. Здесь как-то было уже попытка доказать, что количество уязвимостей определяет защищенность системы. И вновь я повторю, что количество дыр говорит только о количестве дыр. Сама по себе дыра - это просто факт. Ей можно пользоваться, а можно не пользоваться, а можно совсем не найти.

И я категорически не согласен, когда под отказом понимается обнаружение уязвимости. Наличие уязвимости - это факт и все. А отказ - это совершенно другое. Если обратиться к теории надежности (коль скоро мы говорим об академичности), то отказ - это нарушение работоспособности. Переводя это в плоскость ИБ - отказ - это результат проведения успешной атаки вследствие найденной уязвимости. Т.е. наличие только уязвимости не говорит ни об отказе, ни об атаке. Это просто наличие неких условий, при которых может произоти отказ. Но не факт, что он произойдет. А вот когда эта уязвимость ИСПОЛЬЗУЕТСЯ, вот тогда может быть отказ.

Ну с интенсивностью тоже все ясно.
Luka
ИТ-безопасность: никто не готов к новым угрозам. Так ли все серьезно и
 
Цитата
А Щеглов пишет:
О каких процентах речь? Можно поговорить о различных аспектах. Болезнено актуальных тем и проблем в ИБ сегодня скопилось очень много,
но данный-то материал о другом!

У вас в резюме говорится про проценты. Если статья вообще не об этом, то зачем вообще приводить эти проценты.

Цитата
А Щеглов пишет:
Давайте поговорим о квалификации администраторов безопасности, которым непонятны многие технические проблемы

Давайте. Только боюсь администраторам будут непонятны и приведенные в статьи формулы ;-(
Luka
ИТ-безопасность: никто не готов к новым угрозам. Так ли все серьезно и
 
Цитата
Но, настораживает то, какой процент отечественных компаний и организаций на сегодняшний день (это мы видим из результатов исследования, представленных на рис.3), не задумываются на тему серьезности существующих проблем в области ИТ-безопасности, не видят назревшей необходимости квалифицированного решения задач защиты информации.

Ну сколько можно твердить, что абсолютные цифры ничего не говорят. Более того, говорят о квалификации "аналитиков" и исследователей.

С каких пор сумма затрат на безопасность говорит о квалифицированности решения/нерешения задач ИБ? Сумма затрат говорит только о сумме затрат! На что они потрачены? В каком соотношении? Где качественная (а не количественная) оценка данных цифр.

Второе. Когда руководитель ИБ требует увеличения бюджета своего отдела исходя из "общепринятого" (кем?) мнения, что на ИБ должно тратиться от 5 до 20% от ИТ-бюджета - я могу это понять. Ну как еще обосновать выделение денег?! Но когда эта же ни кем и ничем необоснованная цифра приводится в "аналитическом" материале... Бюджет на ИБ зависит только от решаемых задач и ни от чего больше. Он может быть и больше 5% и меньше 1%. К тому же, как выделить бюджет на ИБ от бюджета на сетевую инфраструктуру, системные и бизнес-приложения и их администрирование? Это цифра очень спорна и обычно приводится, когда все остальные доводы исчерпаны.
Luka
Западный или российский производитель ИБ: кого выбрать?
 
Цитата
Ронин пишет:
Если оно сертифицировано и разрешено на рынке - значит безопасно

Очень большая ошибка так считать. Сертификат говорит всего лишь о соответствии некоторым требованиям.
Luka
Западный или российский производитель ИБ: кого выбрать?
 
Цитата
bbeeaa пишет:
Компании халявшики, не развалятся их основные заказчики - гос. структуры, а там у них все схвачено. Компании делающие реальные продукты для массового рынка и так ориентированы на западных потребителей

Пропущен ну ОЧЕНЬ большой пласт заказчиков, не относящихся к госструктурам и западным потребителям.


Цитата
bbeeaa пишет:
У нас софт в стране, как известно, не очень-то покупают

Ну рынок ИБ - это не только софт. Хотелось бы мне посмотреть как пираты будут Pix'ы или ASA'ы копировать ;-)  И даже софтовой безопасности пиратство не всегда страшно. Стоимость лицензии - это процентов 15-20 от итоговой стоимости решения. Своровать софт можно. Вопрос кто и как его внедрять будет. И где поддержку получать...


Цитата
bbeeaa пишет:
Просто писать про ВТО сейчас очень модно, гораздо моднее, чем про ИБ.

Не надо разносить эти 2 темы. Например, одно из препятствий при двусторонных переговорах для вступления в ВТО (между США и Россией) была тема криптографии. А это как раз ИБ.

Цитата
bbeeaa пишет:
хочется людям на голову покакать, как же без этого.

У меня вообще-то для этого туалет с унитазом есть.
Luka
Западный или российский производитель ИБ: кого выбрать?
 
Цитата
inetd пишет:
ладно, cisco упоминается только 2 раза и в контексте с другими производителями

 Ну есть тут отдельные личности, которые не воспринимают меня в отрыве от места моей работы.

Цитата
inetd пишет:
На мой взгляд, это маловероятно, аргументированно отстаивать "бизнес по-русски" будет значительно сложнее

 Ну тогда им остается признать, что они работают так, как сказал
Цитата
VladimirRV
, а это было бы очень и очень неприятно.
Luka
Западный или российский производитель ИБ: кого выбрать?
 
Цитата
Козлов Михаил пишет:
частично даже убедить

Убеждать я хотел только разработчиков/интеграторов и т.п., но не пользователей. Пользователь должен сам сделать свой и обоснованный выбор. Не хотелось бы, чтобы после прочтения считали, что я ратую за продукцию компании, в которой работаю (к сожалению, на двух круглых столах, где я говорил об этой теме, российские разработчики упрекали меня в том, что я лью воду на цискину мельницу).

Было бы идеально, если бы на секлабе появилась статья, отстаивающая противоположную точку зрения. Тогда были бы доводы двух сторон.
Luka
Безопасность Skype в корпоративной среде
 
Цитата
Александр Антипов пишет:
А что это не корпоративный пользователей?

Нет. Это вообще-то SMB-пользователь ;-) В т.ч. и для Infowatch, кстати ;-)  Вот представь себе 1424 "корпоративных пользователя" (компании по 20 человек). Общее число пользователей - 28000 ;-)  А только у нас в конторе 40000 IP-телефонов ;-) А таких контор, которые используют также решения и других вендоров - множество. Даже в России. Поэтому надо было четко дифференцировать профиль пользователей. А так очень большие претензии возникают ко всему отчету, да и другим отчетам, если такая же неряшливость в исходных данных.

Цитата
Александр Антипов пишет:
Вообще опрос был как раз о безопасности skype как программы. И именно 9 из 10 вопросов касались безопасности.

Так я и не спорил насчет безопасности. Я поставил под сомнение только цифры о распространенности скайпа.
Luka
Касперский считает Windows Vista небезопасной
 
Цитата
Ни разу не видел совместителей программист - ген. директор.

Практически любой ИТшный стартап с этого начинается. Был программер, разработал систему, основал компанию, стал гендиректором. И так везде - даже на Западе. Только там помимо гендиректора есть еще и бизнес-человек, который рулит всеми финансами и бизнесом.
Luka
Безопасность Skype в корпоративной среде
 
Цитата
Александр Антипов пишет:
Ну да мнение нескольких коллег более релевантное, чем опрос 1500 посетителей.

Несколько коллег, проффесионально занимающихся VoIP несколько лет и имеющих "имя" в России и в Европе.

Саш, я ведь не зря спросил "что такое 1424 пользователя"? Где профиль респондентов? В каких компаниях они работают? Какие конкретно вопросы задавались? От этого очень многое зависит. Есть подозрение, что "корпоративный пользователь" для данного опроса - это в основе своей компания на 10-20 компов.

Я доверяю опросам секлаба, касающимся безопасности, но телефония, тем более корпоративная, - не ваш конек. Уж извини.
Luka
Безопасность Skype в корпоративной среде
 
Мы тут с коллегами посовещались ;-) и все сошлись, что цифра в 47% корпоративных пользователей Skype в России - это мягко говоря некорректная цифра.
Luka
Безопасность Skype в корпоративной среде
 
Цитата
Skype действительно лидирует по популярности среди всех VoIP-продуктов. Почти половина всех респондентов (46,8%) использует Skype, а если отбросить тех, кто вообще не использует VoIP-средства, то доля Skype возрастет до 64,9%.

Интересный вывод, в который я верю с трудом. Что такое 1242 посетителя секлаба, участвовашие в опросе? Они все представляют одинаковые по размеру компании? И они все отвечают за ответ на такой непростой вопрос? Или вопрос звучал примерно так "Используется ли Skype в вашей компании?" В итоге даже личное использование Skype на работе "считается", что неправильно. И учитывался ли как-нибудь размер компании? А то получится, что сранивается компания с 5 сотрудниками и компания с 40000 сотрудниками имеют одинаковый вес. Я не спорю о дальнейших выводах о (не)защищенности Skype, но говорить, что он является самым распространенным КОРПОРАТИВНЫМ средством IP-телефонии - некорректно. Мой опыт как раз говорит об обратном. Да и профиль респондентов не совсем репрезентативен для телефонии. Связисты в этом профиле где? А часто именно они отвечают за телефонию. Но посещают ли они секлаб? Не уверен.
Luka
Безопасность Skype в корпоративной среде
 
Обсуждение статьи Безопасность Skype в корпоративной среде
Luka
Крупные американские компании теряют $30 млн в год из-за хакеров
 
Цитата
Каждая крупная компания из-за проблем с безопасностью теряет 2,2% годового дохода. Это немного

2.2% - это немного? При доходе в 1 миллиард (а ведь мы говорим о крупной компании), 2.2% составит 22 миллиона; при доходе в 10 миллиардов - 220 миллионов; при доходе в 15 миллиардов (а таких компаний в Северной Америке не так уж и мало) - 330 миллионов (прогноз объема российского рынка ИБ в 2007 году).

Хотелось бы мне посмотреть на переводчика этого материала, для которого даже упомянутые в начале 30 миллионов - это немного. Это в разы превышает инвестиции в безопасность для таких компаний.
Luka
Страницы: 1 2 3 4 5 6 7 8 9 10 11 ... 14 След.