У Кати спросите - она же AppSec'овскими решениями занимается.


 Вот София "обрадовалась"


 Сергей, я тебя разочарую. На все, что ты подписываешь своим именем, распространяются авторские права. Неимущественные - твои, имущественные - УЦ. Я тоже думал, что мои статьи принадлежат только мне. При уходе мне сказали, что писал я статьи во время работы в ИЗ, а значит статьи принадлежат ей. Поэтому на сайте до сих пор висят мои статьи.

А вот статьи под псевдонимом принадлежат только тебе  Если кто-то потом не выпустит статью под этим же псевдонимом. И потом доказывай, кто из вас offtopic

А на кой? Проще интегрировать X-Spider с MARS, netForensics и другими системами класса SIM/STM. SecurityFusion - это же сугубо ISS'овская штука ни с чем другим не работающая, в отличие от того же netForensics или MARS.

 Я бы сказал не Информзащита, а независимый Учебный Центр "Информзащита"


 Хорошие люди. Почему бы и не попиарить   Cisco в www.freescan.ru тоже получается их "пиарить".

Ну что сказать? Первое в России грамотное сравнение сканеров. По крайней мере видно, что авторы постарались и провели реальное сравнение, а не просто запустили пару сканеров в тестовой сетке.

Есть конечно и пару ложек дегтя, хотя и незначительных. У меня есть сомнения в корректности рис.2, где указана распространенность разных сканеров (помимо самой диаграммы, где ровно половина ее почему-то равна 42%, есть нарекания и по самим цифрам). И есть вопросы по выбранным для сканирования узлам. Их владельцы вообще ставились в известность по факту сканирования?

Но по большому счету это мелочи. Проделана большая работа. Вот если можно было бы провести аналогичное сравнение по IDS/IPS...

А они-то тут причем? То, что ФСТЭК занимается спецзнаками, кассовыми аппаратами и ПЭМИН, еще не говорит, что этим должен заниматься каждый безопасник.


Ну и ладно. Я сам ее так часто трактую, хотя в голове держу и другие аспекты. Но если я начну учитывать ВСЕ переменные, то уравнение никогда не решится. Тем более, что ИБ - это, по большому счету, вообще не техническая проблема. Если бы все пользователи знали основы ИБ и не открывали что не попадя, то безопасность в том виде, в котором она сейчас есть, вообще бы была не нужна.

Так я и не ставил перед собой такой цели.


Обсуждать есть что. Регулярно в обсуждениях встречаются фразы на тему "ты не настоящий безопасник, потому что Linux не конфигурил" и т.п. Я просто хотел показать многообразие граней этой профессии. Вот собственно и все.

А я его и не хотел делать  Это же флейм чистой воды. Сколько людей, столько и мнений. Каждый делает выводы для себя. И на каждом этапе жизненного и профессионального пути эти выводы будут разными.

Это к чему?

А для этого можно сделать аналог SLA, но в части security. Опять же речь идет не о полном отражении всех угроз, а о снижении риска их реализации (причем не для всех опять же, а для наиболее вероятных).

Ну это вопрос сложный Он должен быть всем понемногу
- технарь, чтобы знать софт и железо
- гуманитарий, чтобы уметь использовать аналогии из привычной жизни
- педагог, чтобы учить пользователей
- экономист, чтобы доказывать руководству необходимость инвестиций
- психолог, чтобы понимать скрытие мотивы руководства и пользователей
- дипломат, чтобы разруливать конфликты
- "сержант", чтобы уметь "прикрикнуть"
- философ, чтобы не "плакать", когда начнется эпидемия или сеть взломают
- и т.д.

Вообще-то нет, если не брать в расчет, что при сдаче на CISSP одна из 10-ти тем - физическая безопасность. Но обычно именно ИБ является составной частью Б. А вот Б уже делится на ИБ, ФБ, ЭБ, РБ, КБ и т.п. И находятся все эти хБ на одном уровне и тесно переплетаются.

Да? А я ее только в пятницу написал. Завидую людям, умеющим видеть будущее


Ну потому что сайт ориентирован на ИБ, а не на просто Б


В ряде случаев да. Т.к. только "болтая" можно выбить деньги на зарплату "крутым" админам, а также на всякие "игрушки", что админы стали на них "крутыми". И вообще. Чтобы большой босс не разогнал ОТЗИ тоже надо уметь чесать языком, а не настраивать МСЭ.


И стоклнется с тем же самым. При достижении определенного масштаба любая компания сталкивается с одними и теми же проблемами.


Статус инженера, особенно сертифицированного, и у нас можно получить за 2 недели.


Ну парадокс в том, что именно так дело и обстоит. Информацию защищать надо? Надо. Делать это должен как минимум один человек. Но учитывая 8- часовой рабочий день и необходимость круглосуточной работы, как раз и получается 3 человека

Саша, это заблуждение - аудитор никакой ответственности за результат своей работы не несет и никаких гарантий не дает. Тем более финансовых.

Например, сертификат GIAC.


Ты уверен? Во время становления Евгения Касперского как специалиста, сертификаты еще не выдавали. А потом он уже просто ему не понадобился.

Идея ловушек уже давно реализована - любой нормальный AV-вендор использует их, чтобы быстро обнаруживать новые эпидемии. Только проблема не в обнаружении эпидемии и не в скорости выработки "антидота", а в скорости его распространения по всем заказчикам. Именно это самое главное.

Чтобы перевести все в практическую плоскость, давайте рассмотрим пример сайта SecurityLab. Допустим я просканировал его и нашел дыру. И что теперь? SecurityLab мне никаких услуг не оказывает, я с ним договор не заключал, а значит я не пользователь этой компании и НЕ ВПРАВЕ чего-то от нее требовать. Из списка сайтов, который были названы в исходной статье (на которую, собственно, все ссылаются), имхо, только МТС можно было хоть как-то притянуть к компании, которая оказывает услуги автору статьи (если он владелец МСТС'овского телефона, а не другого оператора). Во всех остальных случаях он обычный посетитель сайта.

Или возьмем другой пример - Microsoft. Если вы найдете дыру в ПО от MS, то даже в этом случае вы не вправе от MS требовать устранения, т.к. в лицензии написано, что вы используете софт "КАК ЕСТЬ". Если же вы найдете дыру в сайте MS, то вы вообще к сайту никакого отношения не имеете. Сайт - это добрая воля MS (рассматривается именно юридическая точка зрения). Вы, являясь юридически правомочным пользователем ПО от MS при этом не являетесь таким же пользователем его сайта. MS с вами договор на предоставление услуг на сайте не заключал. А значит и требовать от него ничего нельзя.

Я именно это позицию и отстаиваю. Я не против "разглашения" дыр, но в конкретном софте, а не у конкретного заказчика.

А много ли в том списке сайтов с дырами общедоступных служб? 90% из них - это корпоративные сайты компаний.

 Ну это было ясно с самого начала ;-(


 Не такие "достижения" ;-(  Все-таки бизнес диктует определенные рамки поведения.

А контроль защиты - это не деятельность по защите? В лицензии ФСТЭК даже пункт такой есть.


Мы о чем вообще говорим? О разглашении дыр в конкретном ПО, используемом тысячами заказчиков, или о разглашении имени заказчика, использующего дырявое ПО? Почувствуйте разницу. И в bugtraq, насколько мне помнится, речь ВСЕГДА шла именно о первом варианте. И в CERT, и в X-Force, и в NIAP, и в CVE, и в SecurityTracker всегда публиковалась инфа о дыре в ПО, а не у конкретного заказчика. Речь идет именно об этом.

Когда появляется новость, что в ПО Check Point найдена дыра, а они на нее никак не отреагировали, это одно. Но когда появляется новость, что в компании "Рога и копыта" есть дыра в их Check Point FW-1, то я это категорически неприемлю.

Во-первых, ст.272 - несанкционированный доступ. Во-вторых, на такие действия требуется лицензия ФСТЭК, которой у частного лица нет.


Небезразлично - напиши владельцам. Незачем об этом на весь мир трубить.



Пустырник надо пить  Если меня что-то раздражает, я пытаюсь это решить с тем, что/кто меня раздражает, а не кричу на весь мир "Он меня раздражает".



Еще раз повторю свой вопрос - как это связано с тобой лично? Эта дыра - проблема производителя. Сообщи ему о ней. Он тебе спасибо скажет. Или не скажет, но ты-то свое доброе дело сделал. А вот кричать на весь мир, что "я их так люблю и потому использую их сайт, а они меня нет, потому что их сайт дырявый"... Это извините, напоминает, действия Герострата.



Золотые слова!