«Мы доверяем цивилизованным цифровым замкам, потому что они выглядят как логичная замена ключу — код или смартфон. Но это только верхушка айсберга. Под ней — сложная распределённая система, чья безопасность равна безопасности самого слабого её компонента. Сбой в мобильном приложении, уязвимость в облачном API или несовершенство протокола связи превращают любую дверь в формальность.» Архитектура умного … Читать далее
Приложение запущено. Пользователи оформляют заказы, переводят деньги, бронируют услуги. Через месяц звонок от клиента. Деньги списались дважды. Еще через неделю в личном кабинете отображаются чужие данные. Потом приходит письмо от регулятора с требованием отчитаться после утечки. Тестировали же перед запуском. Всё проверяли. Работало. Тестирование функционала и безопасность разные задачи Тестировщик подтверждает, что функция работает. Товар … Читать далее
«Инженерная уязвимость встроена прямо в стандарт — USB передаёт не только электричество, но и команды. В аэропорту под давлением времени человек сам разрешает доступ к своим данным, стремясь поскорее зарядить телефон. Главная проблема — не в вирусах, а в протоколах, созданных для удобства подключения без мысли о злонамеренном зарядном устройстве.» Почему аэропорт — идеальное место … Читать далее
«Цифровизация систем контроля и управления часто рассматривается как путь к эффективности. Но в сфере стратегической стабильности она создаёт парадокс: чем совершеннее автоматизация, тем больше появляется новых, неочевидных векторов атаки. Прямой несанкционированный запуск — лишь вершина айсберга. Настоящая угроза кроется в эрозии доверия к системе, дезорганизации в критический момент и непреднамеренной эскалации, спровоцированной скомпрометированными данными.» От … Читать далее
“Многие думают, что если уязвимость заложена в самой архитектуре системы, её нельзя называть уязвимостью, это дизайнерская ошибка. На деле это тонкая граница, за которой скрываются правовые, технические и культурные аспекты работы в ИБ. Ошибка названия меняет всё: от стоимости устранения до юридической ответственности за инцидент.” Зачем нам два термина? В отрасли информационной безопасности термины «уязвимость» … Читать далее
«Одноразовая почта, это симптом глобального сбоя в цифровом доверии. Она показывает, что пользователь больше не верит в добросовестность компаний, собирающих его данные, и вынужден создавать собственную, оборонительную инфраструктуру. Это меняет корпоративную безопасность, потому что защищённый периметр теперь заканчивается не на границе сети, а на клавиатуре сотрудника, который решает, какую свою цифровую идентичность он готов вам … Читать далее
«Сравнение уровня защиты между секторами показывает не только текущие риски, но и скрытые уязвимости всей системы, которые становятся очевидными только при взгляде снаружи». Что значит «benchmarking security posture» в реальных условиях? Benchmarking security posture, это не просто сравнение количества инцидентов или объёма инвестиций в защиту. Это структурный анализ того, как разные отрасли (финансы, промышленность, государственный … Читать далее
«Когда в компании нет отдельной команды по уязвимостям, кажется, будто эту задачу можно оставить на потом. Но пробоины в защите не ждут, пока у вас появится штатная единица. Управление уязвимостями, это не должность, а процесс. Этот процесс можно встроить в существующие рабочие рутины, превратив его из чьей-то личной инициативы в системную практику. Всё, что для … Читать далее
«Часто кажется, что безопасность, это вопрос выбора правильного инструмента. На самом деле всё сводится к тому, как эти инструменты связаны друг с другом в архитектуре. Уязвимость отдельного компонента, это лишь симптом, а болезнь, это просчёт в их взаимодействии. Вопрос не в том, обновили ли вы фаервол, а в том, может ли атакующий обойти его, используя … Читать далее
«Проблема классических моделей многоуровневой безопасности (МБ) — они формализуют правила и неформализуют саму структуру опасности. Теоретико-решеточный анализ не даёт готовых ответов, но превращает эту структуру в объект исследования, позволяя увидеть скрытые уязвимости и неизбежные компромиссы системы.» Теоретико-решеточный анализ моделей многоуровневой безопасности Основные принципы многоуровневой безопасности — классификация информации и её субъектов, а также строгие правила, … Читать далее