Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Выбрать дату в календареВыбрать дату в календаре

Страницы: Пред. 1 2 3 4 5 6 7 8 9 10 11 ... 14 След.
Найдена уязвимость в брандмауэрах Cisco серии PIX
 
Обсуждение статьи Найдена уязвимость в брандмауэрах Cisco серии PIX
Luka
Группа европейских специалистов обнародовала подробности проекта Diad
 
Цитата
Проект по разработке Диадемы уже "съел" около $3.6 млн бюджета, одно только это указывает на важность предотвращения DDoS атак в Сети.

Да, "бешеные" суммы. Всего 3 миллиона... Это даже российские разработчики могут себе позволить. А уж для такого консорциума - это копейки.
Luka
Группа европейских специалистов обнародовала подробности проекта Diad
 
Нормальный AntiDDoS не отрубает IP-адрес - он чистит сам трафик, вычленяя вредоносный контент и отправляя его в Black Hole/ А легитимный трафик передается дальше без ограничений.
Luka
Российские ученые направили письмо Путину о запрете зарубежного ПО
 
Цитата
r00t пишет:
Или сначала проверяется код того же самого компилятора той же самой версии, что использует вендор, он сертифицруется, а уже затем проходит аудит кода, код собирается и сравнивается с тем, что предоставляется в бинарном виде?

Ну в данном деле чему-то надо исходно доверять. Т.к. помимо компилятора, есть недоверенная ОС, а под ней еще и недоверенная элементная база. Достаточно смешно компилировать сертифицированную Windows из-под несертифицированной Windows.

Цитата
r00t пишет:
Или на самом деле никто толком досконально код не проверяет...

Это ближе к истине. Несколько лет назад на sec.ru была длительная дискуссия на эту тему. Представители сертификационной лаборатории признались, что они проверяют от силы 50-70% всех ветвлений кода. И скорее всего они не имели ввиду операционки, а говорили об обычных СЗИ.
Luka
Российские ученые направили письмо Путину о запрете зарубежного ПО
 
Цитата
Гость пишет:
Т.е. из того что win xp сертифицирована следует, что она собрана этим сертифицированным компилятором ?

Нет. Это к слову пришлось по поводу нашего компилятора
Luka
Российские ученые направили письмо Путину о запрете зарубежного ПО
 
Цитата
r00t пишет:
Отечественного производства или сертифицированный зарубежный?

Перелопаченный какой-то зарубежный по-моему...
Luka
Российские ученые направили письмо Путину о запрете зарубежного ПО
 
Цитата
^rage^ пишет:
а на чём основывается предположение, что исходники винды не вычищены на предмет закладок?
btw, насколько я помню, был случай, когда закладку положили в компилятор. И можете обсмотрется в исходники.

Вообще-то сертификация операционной системы - это не только анализ предоставленных исходных кодов. Это еще и их компиляция и сравнение с тем, что поставляется заказчикам.

И в России есть сертифицированный компилятор. Это так, к слову.
Luka
Российские ученые направили письмо Путину о запрете зарубежного ПО
 
Цитата
r00t пишет:
Неужели в Центре Управления Космическими Полетами стоит зарубежная ВТ под управлениям зарубежных ОС и прикладного ПО?

А ты там был? Ты бы видел что там стоит. И на чем там построена безопасность ;-)
Luka
Возможности Cisco Security Agent 4.5
 
Цитата
pablo пишет:
Нет описания learn mode. Может в 4.5. его нет?

Test mode и Learn mode - это 2 разных режима и появились они в разных версиях. Один в 4.x, другой в 5.x.
Luka
McAfee: Microsoft несерьезно относится к безопасности в собственных пр
 
А суть наезда в совершенно ином. Точечные антивирусные вендоры просто боятся выхода MS на рынок безопасности. Так же как нас боятся производители МСЭ. Они говорят примерно следующее - "<вендор такой-то> не занимается безопасностью, а известен своими <рутерами, ОС, СУБД и т.п.>". И никто не задумывается, что эти вендоры занимают на рынке безопасности положение на порядки превосходящее точечных игроков с одиночными решениями. И если раньше антивирусные производители жили спокойно, то сейчас им станет очень туго. MS выпустил OneCare и свой Defender, Cisco выпустила антивирусный модуль для своего оборудования... Точечным игрокам скоро просто не место будет на рынке - их вытеснят. И не потому что они хуже, а потому что у них ресурсов нет на борьбу с гигантами индустрии. Еще Дарвин говорил: "выживает сильнейший". То же применимо и к рынку информационной безопасности.

И вообще, если посмотреть на рынок, то можно заметить, что безопасность становится интегрированной - в сетевое оборудование, ОС, СУБД, приложения. Все серьезные игроки (Cisco, MS, Oracle, SAP...) встраивают безопасность в себя. А раз так, то зачем нужны навесные системы? Через некоторое время они совсем уйдут с рынка. По крайней мере с коммерческого. На рынке гостайны или оборонки они будут и дальше жить, а вот с коммерческого рынка их вытеснят.
Luka
Игровые компании отказываются от Российской системы защиты Starforce п
 
А это тот самый StarForce, который Safe'n'Sec создал?
Luka
«Условно опасные» программы стали яблоком раздора для антивирусных ком
 
Цитата
Гость пишет:
Вы действительно считаете, что тот же mIRC, и ему подобные абсолютно безопасны???

Абсолютно безопасного ничего нет. Даже Антивирус Касперского не является абсолютно безопасным. Любой софт в руках "специалиста" может стать небезопасным. И не дело антивирусной компании вешать ярлыки. Если уж хочется так помочь пользователю, то лучше идти по пути контроля поведения приложений и процессов, а не использовать устаревший сигнатурные метод. Как говорит закон "меры по защите определяет собственник информации" и именно собственник информации определяет какой софт является у него безопасным, а какой нет. Либо внешний консультант, который знает изнутри бизнес собственника и может за него сделать вывод о безопасности/небезопасности софта.

Цитата
Гость пишет:
При этом тот же Касперский по умолчанию имеет настройки, которые не позволяют ему трогать riskware - ВООБЩЕ!!! Не нужно - не включайте

А есть у Антивируса Касперского возможность отключать отдельные сигнатуры? Я в бытность свою отказался от этого антивируса именно по этой причине - он не давал мне использовать различные хакерские утилиты, которые я демонстрировал во время своих курсов. Да и Remote Admin, который я использовал для удаленного управления рабочими станциями слушателей, он также блокировал. А т.к. в нем не было функции активации каждой сигнатуры в отдельности, как в любой нормальной системе предотвращения атак, то я эту систему прекратил использовать. Не знаю, как сейчас, сделали эту функцию или нет...
Luka
О бесполезности информационной безопасности
 
Цитата
Соответственно информационная безопасность, раз за неё платят, должна приносить деньги.

Автор не очень хорошо знаком с современным бизнесом. Эффективность тех или иных процессов не всегда определяется финансовой прибылью. Существуют и другие показатели и критерии оценки эффективности. Например, соответствие законодательству, улучшение прозрачности и управляемости и т.д.

Цитата
Внедрение ИТ, как правило снижает уровень безопасности информации.

Тоже неверно, хотя такая точка зрения считается общепризнанной. Все от того, что безопасность считается самостоятельной задачей - в отрыве, как от стратегии развития бизнеса, так и от стратегии ИТ-развития. Если понимать безопасность, как один из бизнес-процессов (или можно утрировать - как неотъемлемуюю часть любого ИТ-проекта), то внедрение ИТ никак не связано со снижением уровня безопасности. В нормально организованном процессе это просто невозможно. Ка раз наоборот - безопасность является одной из решаемых задач при внедрении ИТ.

Цитата
Своя информационная безопасность не может приносить прибыль

Тоже неверно. Исходит из очень недалекой, но распространенной, точки зрения на ИТ/ИБ. Достаточно посмотреть на 5-тиуровневую модель зрелости ИТ Gartner, которая идеально проецируется и на безопасность, и сразу все встает на свои места. Самые отсталые компании находятся на нулевом уровне - хаотическое применение ИБ. Большинство компаний перешли на первый уровень - реактивная безопасность ("пока гром не грянет, мужик не перекрестится"). Очень небольшой процент компаний на втором уровне - проактивном. Это как раз тогда, когда безопасность воспринимается, как гигиенический фактор или страховка от будущих бед. А вот на третьем (безопасность, как сервис) или в идеале, четверотом (безопасность - как бизнес-процесс или как add value для бизнеса) вообще никого нет. А все потому, что большинство компаний-производителей сами находятся на втором уровне (недавнее обсуждение статьи Ильи Медведовского это лишний раз доказывает). Они же это пропагандируют среди заказчиков. А раз так, то вполне закономерно такое отношение к ИБ, как описано в статье и материалах многих разработчиков. Собственно это проблема не только российская, но и западная.
Luka
Бизнес и информационная безопасность – новые тенденции.
 
Цитата
janeRKC пишет:
восприятие процессов,связанных с ИБ - как природной стихии, с которой ничего нельзя поделать, это всего лишь показатель того, что люди не знают, что с этим делать. Но только не надо говорить, что люди не готовы платить за то, что их научат прогнозировать и управлять своими действиями в зависимости от стихии. Готовы. Проблема то в том, что очень мало кто способен этому научить.

Золотые слова. Согласен на все 100. К сожалению, слишком сильна у многих "специалистов" позиция, что ИБ - это техническая проблема (видимо инженерное образование играет большую роль). Более того, сам заказчик часто воспринимается такими "специалистами" как "идиот", который "сам не знает чего хочет", "требует каких-то обоснований и оценки эффективности" и "не понимает человеческого (технического) языка". В результате имеем то, что имеем.
Luka
Бизнес и информационная безопасность – новые тенденции.
 
Кстати, по поводу SOX. По данным последнего отчета CSI важность SOX с точки зрения интереса к ИБ растет. Но это так, к слову...
Luka
Подведены итоги предсказаний Билла Гейтса, опубликованные 10 лет назад
 
Цитата
Tip пишет:
А на тему его дара уговорить IBM купить у него DOS мне кто-то рассказывал, про этот дар. Как раз в это время его мама была в совете директоров IBM. :)

Не совсем так. Мэри Гейтс заседала вместе с Джоном Эйкерсом (высокопоставленным сотрудников IBM - одним из инициаторов контракта с MS) в совете директоров общественное организации United Way. И в один момент она просто рассказала Эйкерсу про новое поколение очень перспективных мелких компьютерных фирм, представляющих угрозу крупным гигантам наподобие IBM. А дальше не совсем понятно, либо Мэри Гейтс уговорила Эйкерса, либо просто подтолкнула в направлении, о котором Эйкерс и так думал, но факт есть факт - именно после разговора с Мэри Гейтс, IBM обратила внимание на мелкие фирмы и, в частности, на MS.
Luka
Бизнес и информационная безопасность – новые тенденции.
 
Цитата
vgarry пишет:
Цель принимаемых мер по ИБ есть минимизация этих рисков и потенциального ущерба .

Вот именно отсюда и начинается все непонимание. Мы берем неправильную (или точнее однобокую) предпосылку и на ней строим все наши рассуждения. При таком подходе, когда изначально ИБ считается гигиеническим фактором, и все выводы просто приходят к тому же результату. А если взять за гипотезу, что ИБ не только занимается предотвращением ущерба, но и способствует росту бизнеса, то ситуация начинает выглядеть совершенно по иному. И сразу возникают достаточно интересные примеры применения ИБ для снижения издержек (минимум) и роста бизнеса (максимум). Надо просто уйти от традиционного технократичного толкования ИБ.

Цитата
vgarry пишет:
Но если безопасность есть – совершенно не факт, что будут услуги и будут новые продажи.

Мне кажется, что этого никто и не утверждал. ИБ всегда вторична по отношению к бизнесу (если не брать ИБ - как способ ведения бизнеса и зарабатывания денег). Но это не значит, что ИБ не может способствовать росту бизнеса или снижению издержек.
Luka
Бизнес и информационная безопасность – новые тенденции.
 
Цитата
vgarry пишет:
подтверждается моим более чем 10-ти летним опытом работы в области безопасности

В России!!! Где ИТ только начинают подниматься, а ИБ до сих пор воспринимается многими, как технический способ затыкания дыр. А уж когда даже компании, продвигающие безопасность, начинают говорить о ней, как о "гигиеническом факторе", то чего уж ожидать от заказчиков.
Luka
Бизнес и информационная безопасность – новые тенденции.
 
Цитата
vgarry пишет:
По поводу твоего замечания по SOX...зачем ты мне рассказываешь о вещах, не имеющих к нему отношения

А затем, что SOX - не стандарт по безопасности и не может содержать конкретных требований по ее соблюдению. Я говорю только об этом.

Цитата
vgarry пишет:
Приведенные тобой примеры некорректны.  Хотел бы услышать хотя бы один пример насчет снижения издержек и технологии, которые позволяют не только тратить, но и зарабатывать.

Не надо делать выводы, даже не удосужившись покопаться в теме. Конкретно Tiscali защищает СЕБЯ от DDoS-атак и существенно снижает издержки. И ни к каким сервисам MSS это отношения не имеет. Возьмем другой пример - УкрТелеком. Один из немногих примеров на постсоветском пространстве, когда был подсчитан ущерб от нарушения ИБ - миллион гривен. Или Choice Point. Утечка базы данных сказалась на курсовой стоимости акции, отказе от крупных контрактов и других, уже сложнее измеримых вещах. Вот тебе прямая связь между собственной ИБ и бизнесом.
Luka
Бизнес и информационная безопасность – новые тенденции.
 
Цитата
vgarry пишет:
Во-вторых, формат самого SOX не внушает оптимизма для специалистов по ИБ. В нем нет требований к тому, как именно должна быть построена система управления рисками или система управления безопасностью. Там есть только требование о том, что все это должно быть.

Ну начнем с того, что SOX - это не стандарт по безопасности. Также как и трехглавый закон не описывает конкретные требования. Или если быть ближе к теме, рекомендации ЦБ по управлению операционным риском (имеющим прямое отношение к ИБ), прописанные в письме №76-Т от 24 мая 2005 года, также не включают подробный перечень требований по ИБ - для этого есть стандарт ЦБ по ИБ, конкретизирующий те или иные требования. Также как и в пока еще не принятой Концепции Минсвязи по ИБ. Там есть требование защиты оператором определенных категорий информации. А вот детализация этих требований не является задачей концепции. Аналогичная задача и у SOX. Он говорит "Должно быть". А вот как, это уже другой разговор.
Luka
Страницы: Пред. 1 2 3 4 5 6 7 8 9 10 11 ... 14 След.