В разговорах об архитектуре ИБ часто возникает подмена. Под архитектурой начинают понимать набор внедрённых средств, перечень сегментов сети или схему из презентации для аудиторов. На уровне CISO архитектура решает другую задачу. Речь идёт о модели, которая задаёт границы допустимых решений, определяет логику развития защиты и позволяет объяснять технические выборы бизнесу, финансам и регуляторам на одном … Читать далее
«Для защиты приложений с десятками тысяч компонентов нельзя просто сложить их изолированные гарантии безопасности. Нужен универсальный формализм, который позволяет доказуемо сочетать их безопасность как кубики — без неожиданных утечек, без избыточного контроля и без выгорания команды.» От изоляции к композиции: неизбежный прорыв Представьте себе приложение, состоящее из сотни микросервисов. Каждый из них защищён по отдельности, … Читать далее
“Простое и понятное ТЗ в тендере, это открытый призыв к авантюристам. Они могут откликнуться с минимальными затратами, сыграть на количестве участников и забить стоимость вниз. Если вы не предусмотрите технический барьер, вас обманут сразу или позже, через урезание услуг и подмену технологий. Вот как можно исключить обман.” Проблема с ТЗ на примере концепции ‘информационные системы’ … Читать далее
«Сегментация для IoT, это не просто «отдельная сеть для камер». Это архитектурный принцип, который превращает уязвимое устройство из точки входа в изолированный объект, чей взлом не приведёт к компрометации всей инфраструктуры. В российском контексте это не только лучшая практика, но и прямой путь к выполнению требований 152-ФЗ и ФСТЭК, где изоляция критичных активов — обязательное … Читать далее
«Недостаточно делить SQL-инъекции на простые и сложные. Ключевой критерий — какую информацию о результатах своей атаки получает злоумышленник. От этого зависит выбор инструментов и последовательность действий. Эта классификация идёт глубже учебников: она описывает не абстрактные категории, а реальные сценарии работы пентестера или аналитика ИБ, который сталкивается с ‘чёрным ящиком’.» Три канала получения информации при SQL-инъекции … Читать далее
"В мире, где каждый второй курс обещает превратить тебя в гуру за неделю, реальные знания, это не то, что продают, а то, что добывают. Бесплатные курсы, которые действительно учат, работают по другому принципу: они не скрывают сложность, а показывают её устройство. Это не развлечение, а инструмент для тех, кто готов разбирать системы на части, чтобы … Читать далее
“Забыть о стандартном threat modeling для всех, это не просто совет, а необходимость. Когда вы имеете дело с APT, вы анализируете не технические уязвимости, а цепочки решений, доверие между людьми и внутреннюю культуру компании. Моделирование угроз для APT, это постоянное переосмысление не того, что вы защищаете, а того, кто, как и зачем к этому может … Читать далее
“Bug Bounty, это не просто канал для получения багов. Это сложная распределённая система, которая решает две противоположные задачи: минимизировать стоимость обработки для платформы и максимизировать мотивацию для исследователя. Standoff 365 превратил это противоречие в работающий механизм” . Большинство видит программу Bug Bounty как простой интерфейс: исследователь находит уязвимость, отправляет отчёт, получает вознаграждение. Подобный взгляд сравним … Читать далее
“Если аутентификация, это проверка ключа от дома, то авторизация решает, в какие комнаты ты можешь войти, а учётные записи и аудит, это журнал, который фиксирует, когда ключ повернули и что ты внутри делал. Без всех трёх замок бессмыслен.” Модель AAA: последовательный барьер вместо трёх отдельных замков Аутентификация, авторизация и учёт (AAA), это не просто список … Читать далее
«Мы привыкли думать, что безопасность, это контроль. Что если мы всё проверим, всё просканируем и всё исправим, то система станет неуязвимой. Это иллюзия. Полное знание всех уязвимостей в любой сложной системе — недостижимая цель. Вместо погони за призраком абсолютной осведомлённости стоит понять, почему это невозможно, и как в этих условиях всё равно можно строить эффективную … Читать далее