А я готовился по книге Peter Gregory CISM All-in-One Exam Guide, которую выбрал из-за хороших отзывов. К ней прилагался диск с тестовыми вопросами, которые помогли закрепить материал. Параллельно готовился к CISSP по книге Eric Conrad CISSP Study Guide, которая неплохо дополняет предыдущую. Сдал с первого раза и то и другое с интервалом в неделю. Итого на оба сертификата потратил три месяца без отрыва от работы. Другие источники не использовал.
Мне кажется, для пентеста нужно перенимать опыт площадок bug bounty по условиям приёмки отчётов, оплачивая только эксплойты с PoC, реализующие недопустимые события. Их, конечно, сначала надо ещё сформулировать, что само по себе полезное упражнение для любой компании, чтобы знать врага в лицо. Ну или попросить пентестера доказать, что обнаруженная им уязвимость приводит к такому событию, хотя оно и не было предусмотрено в условиях изначально.
И ещё. Триада КЦД - не угрозы, а фундаментальные свойства ИБ. Вы привели пример БДУ, назвав банк данных угроз уязвимостями, и их там точно больше трёх.
Лучше пока не придумали. Выше давал ссылку на модель EPSS, там приведена статистика, что ресурсов компании обычно хватает на закрытие не более 5 … 20% уязвимостей. Понятно, что эта цель движущаяся - окно воздействия от обнаружения до массовой эксплуатации всё время сокращается благодаря соцсетям. Поэтому приходится расставлять приоритеты, прицеливаясь по наиболее значимым и эксплуатируемым.
Мне кажется, тема различий между рисками угрозами и уязвимостями не раскрыта. Всегда считал, что риск - это потенциал ущерба активам, вызванный угрозой; угроза - это процесс, который увеличивает вероятность негативного события, такого как эксплуатация уязвимости; а уязвимость- это недостаток в конфигурации инфраструктуры или дефект в приложении, которые потенциально подвергают их угрозам. В этом свете OWASP Top 10, скорее, относится к угрозам, а не к уязвимостям, к коим из перечисленных в материале относится только CVE. К дефектам разрабатываемого ПО CVE не подходит, т.к. ответов на часть вопросов CVSS на этом этапе ещё нет, поэтому для них чаще применяется CWE. Разрабатывавшаяся CWSS, судя по всему, не взлетела. К CVSS накопилось довольно много критики из-за её сложности и одновременно недостаточного учёта эксплуатируемости угроз и контекста окружающих мер защиты, что вызвало разработку v4 и новых моделей оценки (EPSS, SSVC и др.) и онтологий (например, Vulntology).
Развитие идеи port knocking - это single packet authorization, когда сеть открывается только после стука по нескольким портам одним пакетом, причём последовательность портов уникальна и каждый раз генерируется с помощью HOTP, например, 23076 64251 33198 50071. Это не заменяет аутентификации по сертификатам, но решает проблему сканирования. (источник).
А я готовился по книге Peter Gregory CISM All-in-One Exam Guide, которую выбрал из-за хороших отзывов. К ней прилагался диск с тестовыми вопросами, которые помогли закрепить материал. Параллельно готовился к CISSP по книге Eric Conrad CISSP Study Guide, которая неплохо дополняет предыдущую. Сдал с первого раза и то и другое с интервалом в неделю. Итого на оба сертификата потратил три месяца без отрыва от работы. Другие источники не использовал.
На рисунке с треугольником на всех чёрных плашках первой буквой должна быть “C” (Common)
Мне кажется, для пентеста нужно перенимать опыт площадок bug bounty по условиям приёмки отчётов, оплачивая только эксплойты с PoC, реализующие недопустимые события. Их, конечно, сначала надо ещё сформулировать, что само по себе полезное упражнение для любой компании, чтобы знать врага в лицо. Ну или попросить пентестера доказать, что обнаруженная им уязвимость приводит к такому событию, хотя оно и не было предусмотрено в условиях изначально.
И ещё. Триада КЦД - не угрозы, а фундаментальные свойства ИБ. Вы привели пример БДУ, назвав банк данных угроз уязвимостями, и их там точно больше трёх.
Лучше пока не придумали. Выше давал ссылку на модель EPSS, там приведена статистика, что ресурсов компании обычно хватает на закрытие не более 5 … 20% уязвимостей. Понятно, что эта цель движущаяся - окно воздействия от обнаружения до массовой эксплуатации всё время сокращается благодаря соцсетям. Поэтому приходится расставлять приоритеты, прицеливаясь по наиболее значимым и эксплуатируемым.
Мне кажется, тема различий между рисками угрозами и уязвимостями не раскрыта. Всегда считал, что риск - это потенциал ущерба активам, вызванный угрозой; угроза - это процесс, который увеличивает вероятность негативного события, такого как эксплуатация уязвимости; а уязвимость - это недостаток в конфигурации инфраструктуры или дефект в приложении, которые потенциально подвергают их угрозам. В этом свете OWASP Top 10, скорее, относится к угрозам, а не к уязвимостям, к коим из перечисленных в материале относится только CVE. К дефектам разрабатываемого ПО CVE не подходит, т.к. ответов на часть вопросов CVSS на этом этапе ещё нет, поэтому для них чаще применяется CWE. Разрабатывавшаяся CWSS, судя по всему, не взлетела. К CVSS накопилось довольно много критики из-за её сложности и одновременно недостаточного учёта эксплуатируемости угроз и контекста окружающих мер защиты, что вызвало разработку v4 и новых моделей оценки (EPSS, SSVC и др.) и онтологий (например, Vulntology).
Рекомендую видео тех же авторов по данной проблематике. Стандарты безопасной разработки по этапам жизненного цикла алгоритмов ИИ уже появляются.
Интересно, спасибо! А про гайку тут как-то был целый цикл https://habr.com/ru/post/264381/ с расчётом периода смены оси вращения. Ещё материалы на https://bivector.net рекомендую посмотреть.
https://habr.com/ru/post/542030/
Развитие идеи port knocking - это single packet authorization, когда сеть открывается только после стука по нескольким портам одним пакетом, причём последовательность портов уникальна и каждый раз генерируется с помощью HOTP, например, 23076 64251 33198 50071. Это не заменяет аутентификации по сертификатам, но решает проблему сканирования. (источник).
А про C5 не забыли? AWS, GCP и Azure уже подсуетились.
И ни слова про поддержку SDP (см. спецификацию) - известная технология, без которой применение SD-WAN ограничено…