«Когда речь заходит о кибербезопасности, два термина звучат чаще других: пентест и анализ уязвимостей. Но между ними не просто разница в названии, это принципиально разные стратегии, которые отвечают на разные вопросы. Один пытается ответить «а можно ли взломать компанию», другой — «а какие в компании дырки». Смешивая их, можно потратить бюджет, не получив ни реальной … Читать далее
«Безотносительный CVSS-балл, это математическая абстракция. Настоящий риск начинается там, где уязвимость пересекается с ценностью актива и требованиями регулятора. CWSS предлагает формализовать это пересечение, переводя разговор с инженеров на язык бизнес-рисков, понятный руководству и проверяющим.» Почему CVSS недостаточно для приоритизации в российском контексте Common Vulnerability Scoring System (CVSS) стала де-факто стандартом для оценки технической тяжести уязвимости. … Читать далее
«Защита от атак на бизнес-логику, это не поиск технических дыр в коде, а аудит смысла и последовательности бизнес-процессов. Теперь эту задачу, которая раньше была прерогативой узких экспертов, можно частично формализовать и автоматизировать с помощью машинного обучения, изучающего спецификации и поведение системы.» Проблема уязвимостей в семантике процессов Традиционные инструменты анализа безопасности, такие как сканеры или SAST, … Читать далее
«NFV обещает удобство и гибкость виртуальных сетей, но за это приходится платить новой уязвимостью: старые границы аппаратуры исчезают, а изоляцию теперь нужно выстраивать программно, в обстановке общего гипервизора и общей инфраструктуры, где одна ошибка в правилах или утечка памяти может открыть доступ ко всем сетевым сервисам разом». Внутри виртуального коммутатора: почему старая модель защиты не … Читать далее
В информационной безопасности термины «угроза», «уязвимость» и «риск» часто используют как взаимозаменяемые. На практике это приводит к системной путанице. Руководство требует снизить риски, технические специалисты обсуждают критические уязвимости, а подрядчики продают решения для защиты от угроз. Формально речь идёт об одной области, однако сами понятия описывают совершенно разные уровни безопасности. https://seberd.ru/1791 Из-за смешения терминов компании … Читать далее
“То, что в децентрализованных финансах называют безотзывным смарт-контрактом, часто оказывается не таким уж безотзывным — просто возврат денег требует нестандартного мышления и сговора с криптобиржами.” Почему атаки на DeFi, это в первую очередь поиск упущенных допущений Забудьте про хакеров в масках, взламывающих “неприступный” код. Основная масса успешных атак на протоколы DeFi происходит не из-за ошибок … Читать далее
“Уязвимость не всегда в софте. Иногда она сидит в кресле сотрудника, который считает, что старый доступ, это его личная собственность. Я обошёл без технических средств одну из самых дорогих для бизнеса угроз — внутреннюю.” Что на самом деле стоит за угрозой увольнения Увольнение сотрудника с привилегированным доступом — стандартная процедура кадровой и ИБ-службы. Список действий … Читать далее
«Federated Learning стал модным ответом на вопросы о приватности данных, но его зачастую реализуют исходя из наивного представления об угрозах. На практике распределенная архитектура не решает, а лишь трансформирует классические проблемы информационной безопасности, добавляя к ним новые, специфические уязвимости, которые могут оставаться незаметными, пока не станет слишком поздно.» Что на самом деле скрывается за термином … Читать далее
“Кибербезопасность для технологий человеческого усиления, это не просто защита данных, а защита самой человеческой автономии. Когда интерфейс между человеком и машиной становится физическим, уязвимость превращается в угрозу для тела и воли. Мы говорим не о будущем, а о настоящем, где регуляторика ФСТЭК и 152-ФЗ сталкивается с проблемами, для которых они не были созданы.” Что такое … Читать далее
«Если посмотреть на интернет как на сеть, а не как на набор сервисов, становится понятно, почему одни атаки работают, а другие — нет. Теория сложных сетей объясняет, что уязвимость всей системы зависит не от среднего узла, а от нескольких ключевых. Это меняет подход к защите.» Что такое теория сложных сетей и зачем она нужна Теория … Читать далее