«Стремление к «абсолютной безопасности» в ИБ — иллюзия, ведущая к бесконечной трате ресурсов. Реальная работа начинается с холодного признания: риски нельзя устранить, ими можно только управлять. Управлять — значит принимать решения о том, что защищать в первую очередь, от чего защищаться и сколько за это платить. Этот процесс опирается не на страхи или красивые презентации … Читать далее
Технический текст может маскировать реальную цель под безобидным заголовком. Разбираю, как отличить совет по улучшению формы входа от руководства по исследованию встроенного устройства, и на какие детали смотреть в первую очередь. Начинается всё обычно: браузер подсказывает добавить атрибут autocomplete, менеджер паролей не распознаёт поле, 404 на favicon. Кажется, что речь о стандартной веб-разработке. Потом появляются … Читать далее
Настоящая защита в корпорации, это не железки и софт. Это создание системы, где технологии, люди и правила работают как единый механизм, чтобы управлять рисками, а не тушить пожары. В такой системе главный враг — хаотичные изменения, а лучший друг — продуманные, пусть и скучные, процессы. https://seberd.ru/1714 От разрозненных инструментов к единой системе Проблема начинается не … Читать далее
«Безопасность приложения, это не только про SQL-инъекции и XSS. Это про десятки менее очевидных векторов, которые эксплуатируют доверие системы, её внутреннюю логику и даже физические ограничения сервера. Защита от них требует понимания не только кода, но и того, как этот код выполняется в реальном времени.» Современные приложения, это сложные системы, где уязвимость может скрываться не … Читать далее
Веб-интерфейсы промышленного оборудования часто доверяют клиенту больше, чем следует — роль администратора можно получить, просто подставив число 64 в запрос, если бэкенд не проверяет права. Анализ с просмотра исходного кода страницы. Это стандартный подход при исследовании неизвестных систем. Первый сигнал тревоги отсутствие метатега viewport. Что значит, интерфейс не адаптирован под мобильные устройства. Для панели управления … Читать далее
«Проблема не в том, что разработчики не хотят писать безопасный код, а в том, что безопасность воспринимается как внешнее принуждение, а не часть их экспертизы. Эффективная программа превращает угрозы и требования в инженерные задачи, которые можно понять, спроектировать и автоматизировать. Конечная цель — не контроль, а создание системы, где писать безопасно становится проще, чем допускать … Читать далее
«В российском ИБ-ландшафте WAF и NGFW часто воспринимаются как взаимозаменяемые или конкурирующие решения. Это ошибка, которая приводит либо к избыточным затратам, либо к критическим уязвимостям. Разница между ними — не в «поколениях», а в фундаментальном различии слоёв, на которых они работают. Понимание этой разницы — ключ к построению эффективной и экономичной защиты.» Семь уровней OSI … Читать далее
“Веб-прокси и сканеры директорий, это инструменты, которые выжимают информацию из приложения: первые — из трафика, вторые — из файловой структуры. Но настоящая эффективность приходит не от простого запуска инструментов, а от понимания того, какие именно данные они могут найти и как это соотносится с архитектурой приложения.” Веб-прокси для тестирования безопасности Специалисты по аудиту безопасности используют … Читать далее
«Безопасность, это не про отчет для регулятора, а про создание среды, где правильный код писать проще, чем неправильный. Речь о том, чтобы инструменты работали на команду, а не против неё, превращая требования 152-ФЗ из угрозы штрафа в рабочие инструкции для CI/CD.» Практический план: от хаоса к защищенному пайплайну Попытка немедленно закрыть все требования ФСТЭК, внедрив … Читать далее
«Shift-left, это не про то, чтобы заставить разработчиков за месяц выучить ГОСТ’ы. Это про то, как встроить безопасность так, чтобы она не ломала процесс, а становилась его частью. Метрика успеха — не количество замечаний из ревью, а неспособность небезопасного кода добраться до production». Сдвиг, который застревает на старте Идея сместить безопасность «влево», то есть на … Читать далее