Вы знаете, как трудно выбивать бюджет под ИБ в отдельных конторах? Аудит менее страшен и более доступен, чем качественный пентест. Его обосновать гораздо проще.
Вспоминается анекдот про мужичка, который одним ударом молотка починил АЭС и запросил за это $10000 — $1 за удар, а остальное за «знать куда бить». Проведение аудита требует знаний. Пентесты тоже не за спасибо делаются.
Поэтому делают две разные вещи одновременно:
1. Аудит соответствия чему-либо (ISO 27001, СТО БР или PCI DSS), чтобы удостовериться, что выполняются требования документа (часто в части организации процесса защиты)
2. Тестирование защищенности (пентест).
Не путайте, пожалуйста, работы преимущественно бумажную и техническую. Не сделаете 2 — про вас напишут на хабре могут взломать, не сделаете 1 — получите штрафов от проверяющих, а то и лицензии лишат. Будет у вас защищенная ЛВС, но не будет банка.
Толку от «практика», который знает КАК что-то сделать, если он не знает ЧТО надо сделать. «Практик» не сможет самостоятельно обеспечивать ИБ большой организации, это потребует огромных знаний в различных областях. Поэтому CISO формируют общую стратегию, которую потом будут реализовывать инженеры-практики. И ответственности у CISO гораздо больше, так что свои деньги они отрабатывают.
Не путайте кислое с пресным. Информационная безопасность это не только хакИры и дИфейсы. Есть еще обеспечение непрерывности, комплайнс, управление системой ИБ и многое другое. Тот же Лукацкий, например, разбирается в вопросах импорта криптографических средств и защите персональных данных.
Очень сомнительно, что такие знания найдутся в среде победителей CTF-меропрпиятий. Каждый должен заниматься своим делом. Нужны технические аспекты? Обратитесь к технарям.
Ответ 11: "В вопросе не уточнен год. Если речь идет о 2012 годе, то да, кажется вполне реальным." А если 2013, то не, наверно, не успеем…
Все-то они, блин, понимают. Не делается только ничего. Практически ни по одному вопросу нет ощущения, что он будет решен в конкретный и обозримый срок. «Да, вы правы, проблема актуальная. Мы изучаем проблему / ищем решение / проводим консультации / планируем… К (CurrentYear + random(5)) запланировано завершение первого этапа реализации подготовки...».
Два года назад сам перешел с Аваста на Касперского и другим перестал его ставить. Я не знаю как сейчас, но после почти двух лет пользования Аваста я пришел к мнению, что резидентной защиты он не обеспечивает вообще — может запросто найти вирусню при проверке, но заражению никак не препятствует. Касперский за два года не пропустил ни одного вируса.
В начале статьи говорится прямо — Since the pre-shared key can be from 8 to 63 characters in length, it effectively becomes impossible to crack the pre-shared key.
То есть как раз наоборот, при большом и стойком ключе, нет эффективного способа его получения, кроме как brute force'ом.
«Аналогично, есть уязвимости разной степени опасности и сложности, позволяющие ломать TKIP и даже WPA2. Единственным «непробиваемым» методом пока что остается использование WPA2-Enterprise (802.1x) с хотя бы серверными сертификатами.»
Сильное заявление. А можно подробнее про опасность WPA2, в частности Personal? Из последнего на хабре только статья про MS-CHAPv2…
Неоднократно получали такие письма. Осложнялось тем, что спускались «сверху» от руководства через переводчиков с резолюцией «Разобраться»… Приходилось копать, обосновывать, что спам.
Три нации, постоянно воюющие друг с другом; спорные территории, переходящие из рук в руки; смысл жизни у населения — война и поддержка военной машины; тоталитаризм…
Физическое лицо тут не причем. Вы своими ПДн можете разбрасываться как хотите, но вот соцсеть (Цукерберг или Дуров) будет за них отвечать как юридическое лицо.
Не понимаю, откуда Вы сделали такие выводы. Защищать ПДн надо независимо от размера организации. Я просто хотел развеять Ваши, как мне показалось, несколько идеализированные представления.
Я за разумные требования. И еще я за риск-ориентированный подход. Например, в Европе исходят из факта утечки. В плане, защищай как хочешь, но если оплошаешь — сам виноват, ответишь по полной.
У нас же напротив. Мудрые дяди посовещались между собой и решили, что ПДн надо защищать ВОТ ТАК. Шаг вправо, шаг влево — штраф. А для прикола, это все еще надо написать так, что у специалистов печень не выдерживает разбираться… Эффективность такого решения сомнительна.
Например, у вас есть сеть на CISCO, бухгалтерия и кадры вынесены в отдельные VLAN, на компьютерах стоит opensource-решение по резервному копированию, групповыми политиками AD настроен аудит и ограничены права пользователей. Да, антивирус у вас, например, Norton. А потом приходит проверяющий и выясняется, что ничего то у вас и нет и нарушитель вы злостный. Потому что средства защиты оценку соответствия не прошли, ставил их какой-то сертифицированный на непонятных языках Вася, журнал регистрации журналов учета не ведется… И так далее.
До поправок риск нарушения требования был приемлем. Я знал, что могу сделать защиту и ждать прихода проверяющего, который, в случае чего, укажет что и где надо поменять. Теперь же варианта кроме обратиться к лицензиату и выложить ему кучу денег за несомненно интересную, но явно избыточную работу — нет.
1. Аудит соответствия чему-либо (ISO 27001, СТО БР или PCI DSS), чтобы удостовериться, что выполняются требования документа (часто в части организации процесса защиты)
2. Тестирование защищенности (пентест).
Не путайте, пожалуйста, работы преимущественно бумажную и техническую. Не сделаете 2 —
про вас напишут на хабремогут взломать, не сделаете 1 — получите штрафов от проверяющих, а то и лицензии лишат. Будет у вас защищенная ЛВС, но не будет банка.Очень сомнительно, что такие знания найдутся в среде победителей CTF-меропрпиятий. Каждый должен заниматься своим делом. Нужны технические аспекты? Обратитесь к технарям.
Все-то они, блин, понимают. Не делается только ничего. Практически ни по одному вопросу нет ощущения, что он будет решен в конкретный и обозримый срок. «Да, вы правы, проблема актуальная. Мы изучаем проблему / ищем решение / проводим консультации / планируем… К (CurrentYear + random(5)) запланировано завершение первого этапа реализации подготовки...».
Два года назад сам перешел с Аваста на Касперского и другим перестал его ставить. Я не знаю как сейчас, но после почти двух лет пользования Аваста я пришел к мнению, что резидентной защиты он не обеспечивает вообще — может запросто найти вирусню при проверке, но заражению никак не препятствует. Касперский за два года не пропустил ни одного вируса.
То есть как раз наоборот, при большом и стойком ключе, нет эффективного способа его получения, кроме как brute force'ом.
Сильное заявление. А можно подробнее про опасность WPA2, в частности Personal? Из последнего на хабре только статья про MS-CHAPv2…
Отсюда, «Облака — Зло = Облака + Добро», разве нет?
Сказал бы, что все же немножо имеет.
Я за разумные требования. И еще я за риск-ориентированный подход. Например, в Европе исходят из факта утечки. В плане, защищай как хочешь, но если оплошаешь — сам виноват, ответишь по полной.
У нас же напротив. Мудрые дяди посовещались между собой и решили, что ПДн надо защищать ВОТ ТАК. Шаг вправо, шаг влево — штраф. А для прикола, это все еще надо написать так, что у специалистов печень не выдерживает разбираться… Эффективность такого решения сомнительна.
Например, у вас есть сеть на CISCO, бухгалтерия и кадры вынесены в отдельные VLAN, на компьютерах стоит opensource-решение по резервному копированию, групповыми политиками AD настроен аудит и ограничены права пользователей. Да, антивирус у вас, например, Norton. А потом приходит проверяющий и выясняется, что ничего то у вас и нет и нарушитель вы злостный. Потому что средства защиты оценку соответствия не прошли, ставил их какой-то сертифицированный на непонятных языках Вася, журнал регистрации журналов учета не ведется… И так далее.
До поправок риск нарушения требования был приемлем. Я знал, что могу сделать защиту и ждать прихода проверяющего, который, в случае чего, укажет что и где надо поменять. Теперь же варианта кроме обратиться к лицензиату и выложить ему кучу денег за несомненно интересную, но явно избыточную работу — нет.