Рынок уязвимостей, это спекулятивный инструмент, который не создаёт новые уязвимости, а лишь перераспределяет информацию о них между теми, кто может их закрыть, и теми, кто хочет их использовать. И та, и другая сторона платит за информацию, но в разное время и при разных условиях. https://seberd.ru/5284 Что скрывается за рынком уязвимостей Когда говорят о рынке уязвимостей … Читать далее
"Измерение — первый шаг к контролю. В DevSecOps это значит заменить ощущения цифрами, чтобы видеть не только уязвимости, но и скорость их устранения, и то, насколько безопасность стала частью культуры, а не внешним требованием." Метрики зрелости DevSecOps Внедрение практик безопасности в процесс разработки и эксплуатации, это не бинарное состояние «сделано/не сделано», а путь. Метрики зрелости … Читать далее
“Сравнение сканеров, это не просто таблица с галочками. Это поиск инструмента, который не сломает твою инфраструктуру, поймёт твои отчёты для ФСТЭК и не заставит тебя писать костыли для каждого нового сервиса. В России выбор часто сводится к трём именам, и за каждым стоит своя философия работы с уязвимостями.” Три подхода к одной задаче Сканирование уязвимостей … Читать далее
«Не смотри на бюджет. Смотри на картину, которую видит тот, кто будет принимать решение после отчета. Вот где кроется настоящая эффективность.» Разные цели, разное покрытие Баунти-программы и регулярные пентесты решают одну задачу — поиск уязвимостей. Но достигают этого по-разному. Баунти, это широкая, неглубокая проверка силами большого сообщества. Каждый из сотен или тысяч исследователей изучает поверхность … Читать далее
“Когда исследователь находит дыру в протоколе шифрования, об этом сообщают производителю. Когда находят уязвимость в маршрутизаторе, отдают в CVE. А когда открывают принципиально новый вектор атаки на технологию, которая по закону должна применяться, но её никто не изучал на предмет рисков? Здесь действуют другие правила — этические, правовые и регуляторные. И да, это касается именно … Читать далее
«Программа Bug Bounty, это не просто «нашли баг, получили деньги» . В мире российского Standoff 365 это сложный процесс согласования, который превращает потенциальную уязвимость в оплаченную находку. Многие думают, что главное, это сканеры и хакерские навыки, но реальный вызов — пройти через внутреннюю кухню платформы, где от твоей находки до её признания лежит путь через … Читать далее
«Умный замок, это не просто железка с API. Это модель доверия, спроектированная для удобства, где решение «открыть» принимается не в точке входа, а где-то в цепочке — в облаке, в приложении, в прошивке. Сбой в логике этой цепочки делает бессмысленной любую механическую прочность.» Как работает взлом через приложение Взлом сместился в плоскость логических ошибок. Задача … Читать далее
«Если ты работаешь в ИБ, ты привык думать о рисках. Любой проект по безопасности, это ставка. Ставка времени, денег, человеческого капитала. Сравнивать pentest и bug bounty как просто два разных метода тестирования — в корне неверно. Это два разных бизнес-процесса, два разных подхода к управлению угрозой. Один, это плановый ремонт дороги. Другой, это система сообщений … Читать далее
«Правила игры в CTF часто остаются за кадром: ты видишь задания, ищешь флаги, но не понимаешь логику их составления. Разбор, это не просто решение, а обратный инженерный разбор уязвимостей, как если бы ты сам писал таски для соревнований. Это показывает, как создатели думают о безопасности.» Структура CTF и типы заданий CTF от Positive Technologies традиционно … Читать далее
«Индустрия построена так, что создавать уязвимости выгоднее, чем предотвращать их. Мы тратим силы на поиск виноватых в каждом провале, вместо того чтобы изменить правила игры, которые эти провалы гарантируют.» Когда происходит крупный инцидент, ритуал один: найти конкретного виновника. Разработчик, который не проверил библиотеку. Администратор, который оставил базу данных открытой. Пользователь, который кликнул не на ту … Читать далее