Лучше пока не придумали. Выше давал ссылку на модель EPSS, там приведена статистика, что ресурсов компании обычно хватает на закрытие не более 5 … 20% уязвимостей. Понятно, что эта цель движущаяся - окно воздействия от обнаружения до массовой эксплуатации всё время сокращается благодаря соцсетям. Поэтому приходится расставлять приоритеты, прицеливаясь по наиболее значимым и эксплуатируемым.
Мне кажется, тема различий между рисками угрозами и уязвимостями не раскрыта. Всегда считал, что риск - это потенциал ущерба активам, вызванный угрозой; угроза - это процесс, который увеличивает вероятность негативного события, такого как эксплуатация уязвимости; а уязвимость- это недостаток в конфигурации инфраструктуры или дефект в приложении, которые потенциально подвергают их угрозам. В этом свете OWASP Top 10, скорее, относится к угрозам, а не к уязвимостям, к коим из перечисленных в материале относится только CVE. К дефектам разрабатываемого ПО CVE не подходит, т.к. ответов на часть вопросов CVSS на этом этапе ещё нет, поэтому для них чаще применяется CWE. Разрабатывавшаяся CWSS, судя по всему, не взлетела. К CVSS накопилось довольно много критики из-за её сложности и одновременно недостаточного учёта эксплуатируемости угроз и контекста окружающих мер защиты, что вызвало разработку v4 и новых моделей оценки (EPSS, SSVC и др.) и онтологий (например, Vulntology).
Развитие идеи port knocking - это single packet authorization, когда сеть открывается только после стука по нескольким портам одним пакетом, причём последовательность портов уникальна и каждый раз генерируется с помощью HOTP, например, 23076 64251 33198 50071. Это не заменяет аутентификации по сертификатам, но решает проблему сканирования. (источник).
Лучше пока не придумали. Выше давал ссылку на модель EPSS, там приведена статистика, что ресурсов компании обычно хватает на закрытие не более 5 … 20% уязвимостей. Понятно, что эта цель движущаяся - окно воздействия от обнаружения до массовой эксплуатации всё время сокращается благодаря соцсетям. Поэтому приходится расставлять приоритеты, прицеливаясь по наиболее значимым и эксплуатируемым.
Мне кажется, тема различий между рисками угрозами и уязвимостями не раскрыта. Всегда считал, что риск - это потенциал ущерба активам, вызванный угрозой; угроза - это процесс, который увеличивает вероятность негативного события, такого как эксплуатация уязвимости; а уязвимость - это недостаток в конфигурации инфраструктуры или дефект в приложении, которые потенциально подвергают их угрозам. В этом свете OWASP Top 10, скорее, относится к угрозам, а не к уязвимостям, к коим из перечисленных в материале относится только CVE. К дефектам разрабатываемого ПО CVE не подходит, т.к. ответов на часть вопросов CVSS на этом этапе ещё нет, поэтому для них чаще применяется CWE. Разрабатывавшаяся CWSS, судя по всему, не взлетела. К CVSS накопилось довольно много критики из-за её сложности и одновременно недостаточного учёта эксплуатируемости угроз и контекста окружающих мер защиты, что вызвало разработку v4 и новых моделей оценки (EPSS, SSVC и др.) и онтологий (например, Vulntology).
Рекомендую видео тех же авторов по данной проблематике. Стандарты безопасной разработки по этапам жизненного цикла алгоритмов ИИ уже появляются.
Интересно, спасибо! А про гайку тут как-то был целый цикл https://habr.com/ru/post/264381/ с расчётом периода смены оси вращения. Ещё материалы на https://bivector.net рекомендую посмотреть.
https://habr.com/ru/post/542030/
Развитие идеи port knocking - это single packet authorization, когда сеть открывается только после стука по нескольким портам одним пакетом, причём последовательность портов уникальна и каждый раз генерируется с помощью HOTP, например, 23076 64251 33198 50071. Это не заменяет аутентификации по сертификатам, но решает проблему сканирования. (источник).
А про C5 не забыли? AWS, GCP и Azure уже подсуетились.
И ни слова про поддержку SDP (см. спецификацию) - известная технология, без которой применение SD-WAN ограничено…