priv8v

Кто чем занимается в ИБ

В этой теме 18 сообщений

Предлагаю к ознакомлению.

m.habrahabr.ru/post/169491/

Если гуглить про ИБ то всплывет куча разных организаций, совещаний, гильдий, всероссийских форумов, экспертиз, лицензирование и прочей дряни от тех, кто в иб вообще не шарит, но зато имеет связи, серьезный представительный вид и знает как строить роспил... ой, простите, хотел сказать "бизнес"...

они умеют с умным и важным видом повторять набившие оскомину фразы, которые даже Капитан постесняется произнести и на этом их знания заканчиваются... зато они эксперты т.к у них бумажка есть, а товарищу из вирлаба вполне можно плюнуть в лицо и спросить кто дал ему право называться экспертом, пофигу на его опыт и образование...

вот так и живем...

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Корней конфликта не нашел, но вступлюсь за "в ИБ не шарит".

АВ защита составляет в общей задаче организации безопасности компаний определённый, не очень большой процент.

Это в общем-то еще митник показывал.

Банальная защита физического периметра, те же серверные закрывающиеся, контроль за наймом сотрудников, за их деятельностью, видеонаблюдение - гигантский кусок.

Никто же из вас серьезно не думает что поставив антивирус на машину вы защитили данные на ней? Даже поставив полный app control и белый список?

Вы же понимаете что данные можно распечатать, слить на флешку, стереть с клавиатуры, подсмотреть пароль на листочке у админа и прочия прочия.

Никакой "простой парень" цискоид не возьмет на себя ответственность за обрыв магистрального канала связи или электричества, а нормальный ответственный за безопасность это должен был предусмотреть.

И не надо думать что вы тут сайт от deface защитили - патчики поставилии - молодцы шо писец, крутые спецы с полей. Бекап-то есть? А что будете делать когда упадет хостер?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Уважаемый, все что вы описали (защита серверной, учет возможности отключения электричества и т.д) входит в компетенцию технических специалистов разного уровня на предприятии (хотя на небольшом с этим справится и один, например помню и все разнообразные методы доступа в серверную и ключи от двери за которой притаился дизель генератор были у одного человека).

Речь идет именно о крупных игроках надувного бизнеса ИБ в РФ, об их мыльных пузырях...

Своим сообщением я никоим образом не хотел сказать, что "тот кто не провел десять лет в отладчике тот нуб"...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
(хотя на небольшом с этим справится и один, например помню и все разнообразные методы доступа в серверную и ключи от двери за которой притаился дизель генератор были у одного человека).

Ну вот вам типичный пример. Слег вот этот человек и капец.

"Я волком бы выгрыз бюрократизм" .... но когда я вижу какой то аццкий писец на который технические специалисты говорят мне "ну так вот оно работает и нет времени исправлять" единственный рычаг воздействия это вот эти вот труженники положений и инструкций.

Далее про игроков "надувного бизнеса". Я помню пришел на слёт таких - как раз был съезд компаний проводящих аттестацию ИС по требованиям инфобезопасности. Думал щас меня с моими антивирусами вопросами закидают - а вот хрен!

Обсуждались средства защиты сети, теоретическая подготовка, а также, что меня особенно поразило - на какой именно клей надо ставить элементы активной защиты от прослушки на окнах, чтобы эффективность сохранялась в течение длительного времени.

ДА, большАя часть - наследие параноидальных советских стандартов, и часть их устарела, и сейчас много проще получить информацию другими методами, чем сидеть с направленными микрофонами, и собирать данные по ПЭМИН, но это значит только то, что объем работы только возрос.

И пусть сейчас АВ защита важнее чем ПЭМИН, но это ни в коем случае не значит что всё остальное - мыльный пузырь.

Понятно что многие реликты эпохи не совсем это понимают, но это типичный процесс.

Сейчас законодательная база сильно меняется, и уже и АВ-защита имеет свой государственный стандарт, и Средства обнаружения вторжений, на очереди другие компоненты. Времена милого "что хочу то и ворочу как я считаю правильным" безвозвратно проходят.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

сейчас безопасник это модно :),

потому как стандартов то и нет, никто этих людей не учил (да и не кому было)

еще 10 лет назад можно было по пальцам пересчитать количество вузов в которых в качестве направления можно было выбрать ИБ.

а бабло пилят.. да еще как такие компании и у нас в Казахстане тоже... наймут для аудита за NN лимонов.. те не утруждаясь просканят стандартными сканерами внешку и ЛВС и выкатывают общие рекомендации без учета реалий и специфики, после повторного скана через месяц грят какие вы молодцы, все проект закрываем, бабло распилено.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

стандарты были и есть, и людей учат. Другое дело, что сегодняшние программы безбожно отстали от реалий... И, скажем, защита от ПЭМИН для крупного дата центра - это уже вопрос. Другое дело - сколько людей вокруг этого кормятся. Как там- если не можешь делать - учи, не можешь учить - руководи и т.д. И вся эта бюрократия совершенно осознанно тормозит и стандартизацию, и внедерение новых программ обучения в ИБ... Не успели в СНГ толком разобраться с ISO 27001:2005 как в мире уже обсуждается ISO 27001:2013. Аналогично с другими стандартами безопасности

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

мои мысли находятся на той же волне что и у mvs...

OlegA, я нигде не писал, что все ограничевается антивирусом, я достаточно неплохо знаком и с аппаратными кейлоггерами и клопами и понимаю что если он сидит в люстре над головой, то от увода паролей ничего не спасет... разница в наших словах лишь в одном - я пишу что бОльшая часть это пузырь, а вы, что большАя...

имхо, мы с вами живем в параллельных мирах: в вашем мире по словам царька Путина учителям ежеквартально в полтора раза повышают зарплату и админ делает только админскую работу и ему не приходится выполнять обязанности инженера по охране труда и механика/электрика, разбираясь почему не фурычит генератор и дверь в серверную никого не хочет пускать...

тут мне помогли и коллективом вспомнили причины этого: бюрократия, показуха, роспил, дилетантство.

Еще в тему можно вспомнить шутку Райкина про табуретки (столяр знает работу..., а его начальник..., а начальник его начальника...)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
в вашем мире по словам царька Путина учителям ежеквартально в полтора раза повышают зарплату

Это уж точно не про Олега =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

OlegA, я нигде не писал, что все ограничевается антивирусом, я достаточно неплохо знаком и с аппаратными кейлоггерами и клопами и понимаю что если он сидит в люстре над головой, то от увода паролей ничего не спасет...

На самом деле проблема шире. Достаточно добавить инсайдеров, хакеров и мобильные технологии...

Что касается экономической модели РОЗ - распил, откат, занос - то - увы! это всеобщая болезнь, слабо относящаяся к ИБ, а скорее - к общей финансовой безопасности. Потому и уход в безнал так невыгоден всем коррумптрованным чиновникам

Откуда тогда брать откат? Потому на фоне очень положительных законов идет их компиляция в не в сути, а в окружении

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Я не в коем разе не отрицаю того что многия некомпетентности либо старые стандарты живы только потому что это кому-то выгодно, и прочее.

Моя основная мысль в том, что нельзя отрицать эту работу полностью потому что "парень из вирлаба" лучше знает. Что-то он знает лучше, но о чем-то он не думает вообще, а что-то другое оценивает неправильно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
На самом деле проблема шире. Достаточно добавить инсайдеров, хакеров и мобильные технологии...

понимаю, просто речь шла о пэмин, потому в тему и написал о непрограммных методах отъема нажатий клавиш... :)

нельзя отрицать эту работу полностью потому что "парень из вирлаба" лучше знает. Что-то он знает лучше, но о чем-то он не думает вообще, а что-то другое оценивает неправильно.

согласен :)

я лишь указал на то, что много дутого ради роспила... вот и все...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Кстати я уж вернусь к стадартам -

Все существующие ( и разрабатываемые) стандарты антивирусной зищиты говорят "продукт должен ловить вирусы". Хороший продукт - еще и эвристически.

Количественных критериев ему никто не ставит, это уже не консьюмерские тесты, все понимают что 100% не будет - сертифицирующие органы рассказывают анекдоты про компании, которые пытались делать такие заявления.

Всех скорее волнует, где, как, насколько надёжно ты будешь ловить то что ты можешь, и не будешь ли ты в процессе ловли ставить под угрозу остальные аспекты инфобезопасности.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

но есть же еще и другие стандарты, которые определяют место и практики антивирусной защиты.... Те же ISO 27001/27002, PCI DSS etc. и их производные. Плохо, что вокруг их локализации разом возникают мощгые структуры, которые тут же предлагают "обучить", "сертифицировать" и т.д. А вот тут то распил и пошел

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

нет, не сргласен

5.1 For a sample of system components including all operating system types commonly affected by malicious software, verify that anti-virus software is deployed if applicable anti-virus technology exists.

5.1.1 For a sample of system components, verify that all anti-virus programs detect, remove, and protect against all known types of malicious software (for example, viruses, Trojans, worms, spyware, adware, and rootkits).

можно дальше продолжать - хранение логов, периодический скан и т.д. Когда вникаешь в процессы, оказывается, что все совсем не так просто - АВ должна быть. Должна быть и еще настроена! а результаты вирусных инцидентов должны быть исследованы и оценены с точки зрения рисков

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Именно, только вопросы хранения и ведения логов как правило мало волнуют парней из вирлаба.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Пот теме отличный комментарий в топике на хабре - http://habrahabr.ru/post/169491/#comment_5877249

Вы занимаетесь исследованиями. Вы хорошо знаете свою область. Вам внезапно предлагают работу CISO…

Вы начинаете разбираться и осознаете, что есть такое понятие как риски. И потери от проверки ПДн в следующем квартале будет гораздо больше, чем потенциальный ущерб от XSS на корпоративном сайте-визитке. Что у вас есть коммерческие секреты, которые никто не защищает. Что у вас у пользователей права администратора и в вашей сети с компьютерными вирусами борются исключительно другие вирусы. Что начальник соседнего отдела пишет на вас доносы («мешают работать») и открыто саботирует все ваши попытки разграничить права пользователей… Что есть еще сотня срочных вопросов, из них десяток ОЧЕНЬ срочных. А спрашивают все с вас.

Больше у вас нет времени заниматься своими исследованиями. Вы смотрите как другие справляются со всем этим комом задач. Учитесь менеджменту, а не программированию. Читаете стандарты и методики вместо новой фантастики. Предновогодняя пора для вас время составления отчетов и битвы за бюджет. Плюс аналитика от вендеров и исследователей. Плюс планы развития, плюс переоценка рисков…

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вот о чем я и поднимал тему. Что куча пустых пафосных разговоров с нулем знаний:

anti-malware.ru/forum/index.php?showtopic=25141

такое выносилось на обсуждения всякие, всяким комиссиям, чиновникам, жерналистам, управленцам в ИБ... и хоть бы кто заметил... а если и заметили, то не сказали чтобы роспилу никто не мешал :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • Wenderoy
      Обновляю: https://mega.nz/#!0FYBnRzT!Kh8GaRMVOzm99QJZX0NsDD51vDaFzPI-Vil02kw53rQ
    • Sergey22101979s
      Площадку надо свою делать и развивать её. А потом продавать места на ней. И не важно какую площадку - сайт, группу в соцсети, или что-то тому подобное.
    • homeobed
      На дому за копейки работать - дело нехитрое) Вот чтобы зарабатывать приличные деньги, на одних комментариях далеко не уедешь)
    • Mike
      Вышел McAfee VirusScan Enterprise 8.8.0 Patch 10  
    • Wenderoy
      Да, лучше удалить. Но это, разумеется, решает администрация... Я никакой не тролль, ANDYBOND прекрасно это понимает, просто именно с ним был разлад безо всякой причины, подробности приводить не буду, но теперь он старается как можно больше "навредить" мне. Собственно, вот отзывы про PS - https://www.mywot.com/ru/scorecard/provisionsecurity.ru Думаю, комментарии будут излишними. Есть очень много свидетелей, которых "примерная" администрация Provisionsecurity даже "поливала" нецензурной лексикой, у меня есть все скриншоты и т. д. И после всего этого надо подумать, а стоит ли верить таким людям? Это я в качестве отступления. Главное - то, что я устал здесь распинаться, тратя свое личное время, что идет только на руку уже упомянутым участниками форума. Все, что мне надо было доказать, я доказал, пользователи моего приложения знают и понимают мои цели и стремления, я ни от кого ничего не скрываю. Поэтому программу уже используют многие, а это значит, что дело поставлено на рельсы. Самое смешное, что на каждый мой аргумент, который я не поленился снабдить всей необходимой информацией в форме ссылок, скриншотов, записей, копий писем, сообщений лабораторий etc, в ответ мне летят одни и те же фразы: "мошенник", "вирусописатель", "тролль". Так кто же больше попадает под значение последнего слова? Просто упомяну еще пару вещей. Когда я объяснял, почему продукт детектит пустой файл, все равно меня никто не слышал. Каким же, интересно, образом мне следует растолковать это? Были приведены доказательства, что я часть баз собираю с ресурса VirusShare (благо, имеются очень хорошие источники самой разнообразной информации), где AVP в свое время почему-то пометил файл как Trojan... (где-то на предыдущих страницах все чрезвычайно подробно описано). Так вот, копируя MD5, в комплект попала и хеш-сумма пустого файла, вследствие чего как бы Вы его ни переименовывали, все рано будет сработка продукта (кстати, ее уже нет). Далее. Насчет "мошенник" и "вирусописатель". Если зимние переписки (не просто отчетов автоматического анализа лабораторий) с вирусным аналитиком McAfee ни о чем Вам не говорят, это, как говорится, не мои проблемы. Другие вендоры, да практически все (даже популярные Avast, Qihoo и др.) устанавливаются втихомолку вместе с другим ПО (DRP Solutions, различные дополнения для монетизации в пакеты дистрибутивов), но их Вы почему-то "вирусописателями"  не называете. И последнее. Насчет "мошенник". Я никого не принуждаю устанавливать KAR, каждый делает это добровольно. Лицензионное соглашение и Privacy Statment присутствуют на сайте, там все четко и ясно описано. На сервер высылаются исключительно анонимные отчеты, как и в любых других разработках аналогичного типа, не более того.  Kuranin Anti-Ransomware распространяется абсолютно бесплатно, никакой рекламы ни в продукте, ни даже на сайте, т. к. это мое хобби. Поэтому здесь не вижу ничего, связанного с мошенничеством. Это очень краткое обобщение, все мои подробные ночные отписки на однотипные бессмысленные сообщения можно посмотреть, листая предыдущие ни много ни мало двенадцать страниц. @VMS, радует, что еще есть адекватные люди, которые умеют слушать. Да, к сожалению, это не те времена, когда жизнь кипела в каждом уголке Anti-Malware и других подобных форумов. Обидно, что перевились разработчики-добровольцы, которые были очень активны в 2004-2014 годах. Сейчас в основном крупные компании все вытеснили, да есть те, кто просто сдался (Александр Калинин, его судьба мне не известна, но смею предположить, что он воплотил свое хобби в жизнь; Kerish, который, правда, стал чрезвычайно полезной утилитой Kerish Doctor, а ведь совсем немногие знают прошлое этого творения; ScreamAV, бесплатныq антивирус то ли из Индонезии, то ли с Филиппин; путем долгого анализа удалось выяснить, что создатели данного антивируса примкнули к проекту SmadAV;  SMK антивирус, когда-то известный в узких кругах; "Зоркий глаз" Петелина Александра;  AWS Core, приостановивший свое развитие и т. п.) Вообще обожаю древние сайты, особенно варианты на narod.ru и им подобные, пропахшие стариной и историей. Очень приятные ощущения, как будто бы открыл давно забытую, но вновь найденную на чердаке книгу с пожелтевшими от времени листами.  А еще очень много полезных ресурсов, которых уже нет, но они сохранились в "архиве". Все это "богатство" сложно отыскать, но зато там есть чрезвычайно много полезной информации... Вот, кстати, один из примеров: https://web.archive.org/web/20040905203536/http://www.winchanger.narod.ru:80/ Или https://web.archive.org/web/20070624081145/http://winchanger.whatis.ru:80/ Как бонус прилагаю собственную коллекцию малоизвестных продуктов любителей информационной безопасности, среди них, кстати, все вышеупомянутые образцы! https://mega.nz/#!tZBkkCKa!0WzfYt4A1zK4aCvVLtu3FLt7pfPIp7wWtyPIr9c-cbo Может, кому пригодится...