На установление шифрованного соединения устройствам необходимо передать намного больше служебных пакетов, плюс сам шифрованный пакет получается "тяжелее". И да, как верно уже заметили, использование шифрования в радиосвязи имеет ряд законодательных ограничений.
Здравствуйте! Вы упоминаете только часть типов фаззинга, в статье мы затронули и black-box фаззинг (подробнее в разделе «Подходы к тестированию»). Конечно, любое тестирование требует вычислительных мощностей, но фаззинг имеет ряд преимуществ перед другими методами: большое покрытие кода, возможность полной автоматизации тестирования (более подробно описано в этом материале), а также применимость даже тогда, когда сведений о тестируемой системе практически нет (об это можно прочитать здесь). На наш взгляд, они чаще окупают возможные издержки, чем наоборот.
Все организации, которые отнесены к ключевым, получили письма от Минцифры в начале июня. Если Ваша организация не получила письмо, то она не отнесена к ключевым, следовательно, не обязана выполнять работы по оценке защищенности до 1 июля 2022 года.
Если у Вас есть сомнения, то можете обратиться к Вашей головной организации и уточнить, необходимо ли выполнять какие-то мероприятия во исполнение Указа Президента.
Если Ваша компания получила письмо, и есть сложности с реализаций мероприятий по оценке уровня защищенности, то можете обратиться за консультациями к нашим специалистам по адресу: compliance@ussc.ru
Перечень ключевых организаций, которым необходимо осуществить мероприятия по оценке уровня защищенности своих информационных систем, Правительством определен, но в общем доступе не опубликован. Организации, вошедшие в перечень, получили уведомления о необходимости проведения мероприятий напрямую от Минцифры.
Типовых положений в общем доступе также нет, однако по устной информации представителей органов власти, документы в работе и уже прошли согласование ФСТЭК России и ФСБ России. Ожидаем их публикации в ближайшее время, даты публикации не обозначены.
Добрый день, спасибо за ваш комментарий! Скорее всего это связано с тем, что Индия все еще продолжает развитие своей судебной системы после получения независимости в 1947 году. Остаются пережитки колониальной системы организации общества и сильного влияния Британской империи. Также можно отметить, что не смотря на то, что штрафы/сроки довольно высоки, также высоки и сроки рассмотрения дел. По различным исследованиям в среднем на рассмотрение дела уходит 5-7 лет, при этом оно сопровождается значительными затратами для участников судебного процесса. Возможно лет через 10 мы увидим совершенно другую картину в Индии.
Информационная безопасность – это не конкретная шаблонная бумажка или железка, а процесс. Процесс этот должен быть не только реализован, но и регламентирован. Это касается и реализации организационных и технических мер. Зачастую утечки, как в Вашем примере, случаются именно потому, что определенные процессы ИБ или меры не были регламентированы должным образом или не регламентированы вовсе. Данная статья предназначена для организаций, которые ведут или планируют вести свою деятельность на территории Республики Беларусь, с целью помочь им обратить внимание на «узкие» места и корректно регламентировать свои процессы для защиты прав граждан и своих интересов, ведь риски для компании заключаются не только в штрафах (например, отток клиентов и потеря прибыли).
Добрый день! NIST SP 800-171 предназначен для защиты контролируемой несекретной информации в нефедеральных системах и организациях, т.е. не является методикой оценки рисков ИБ. Если Вас интересует разбор вопросов оценки и обработки рисков ИБ от NIST, то рекомендуем ознакомиться c:
NIST SP 800-39 «Managing Information Security Risk»;
NIST SP 800-37 «Risk Management Framework for Information Systems and Organizations»;
NIST SP 800-30 «Guide for Conducting Risk Assessments».
Добрый день! В целом методику FRAP можно адаптировать для оценки рисков не только ИБ на первых этапах анализа, таких как установление контекста. Однако, сама методика входит в цикл Data Security Management, а ее автор Thomas R. Peltier является сертифицированным специалистом по информационной безопасности. Таким образом ее основное назначение – оценка рисков ИБ.
Добрый день! Спасибо за Ваш комментарий. Вы правы, построение системы защиты ИС или АСУ ТП должно исходить оценки рисков и анализа затрат и выгод. Однако, нередко внутренним специалистам по ИБ на это не хватает ресурсов, и для обоснования работ по оценке рисков возможно использование данного материала.
Добрый день! Спасибо за Ваш комментарий. Абсолютно согласны с Вами, но затраты на проведение внешнего пентеста также могут потребовать обоснования. В этом может помочь данный материал.
Добрый день! Спасибо за Ваш комментарий. Согласны, в таблице по этому вопросу присутствует атака, вызванная вирусом вымогателем WannaCry в 2017 году. Среди пострадавших есть и Минздрав России. Если Вы обладаете более точечной официальной информацией или более актуальной на 2021 год в сфере здравоохранения, то будем признательны, если Вы поделитесь с нашими коллегами :)
Разница NetBIOS на разных версиях Windows наблюдалась только на 2000 и более новых. На 2000 мы имеем null-session (как на самом первом скрине c Linux), с единственным отличием от Linux — win2000 сообщит свой MAC, тогда как Linux вернёт 00:00:00:00:00:00. Так, более глубокое исследование различий не производилось.
Что касается рекомендаций — всё это не уязвимости, а лишь сбор безобидной информации. Вся получаемая информация не является конфиденциальной. И даже если у вас Null-session, и злоумышленник установил, что вы в домене и у вас много сетевых карт, в случае если у вас стойкий пароль и установлены все обновления — вам не чего бояться. Однако NetBIOS может использоваться для атаки, как это делают с помощью инструмента Responder. Но это уже отдельная статья…
исправили неточность, спасибо!
На установление шифрованного соединения устройствам необходимо передать намного больше служебных пакетов, плюс сам шифрованный пакет получается "тяжелее". И да, как верно уже заметили, использование шифрования в радиосвязи имеет ряд законодательных ограничений.
В примере из статьи важным фактором стала скорость переключения рации между режимами приема/передачи - отсюда и низкая скорость.
Передачу данных тестировали на дальности до 100 м. Но в целом, на этих рациях удавалось добиться голосовой связи на дальности в 18 км.
Как был пробит периметр - это уже другая история. Но если в двух словах - уязвимые самописные сайты.
Проникновение в компанию несколько отличается от взлома домашнего роутера.
Здравствуйте! Вы упоминаете только часть типов фаззинга, в статье мы затронули и black-box фаззинг (подробнее в разделе «Подходы к тестированию»). Конечно, любое тестирование требует вычислительных мощностей, но фаззинг имеет ряд преимуществ перед другими методами: большое покрытие кода, возможность полной автоматизации тестирования (более подробно описано в этом материале), а также применимость даже тогда, когда сведений о тестируемой системе практически нет (об это можно прочитать здесь). На наш взгляд, они чаще окупают возможные издержки, чем наоборот.
Добрый день, благодарим за Ваш комментарий! Вопрос хороший, но однозначно ответить сложно.
Рекомендуем попробовать включить правила фильтрации на ряде активных хостов и посмотреть, на что это повлияет.
Скорее всего, никаких побочных эффектов быть не должно.
Перечень ключевых организаций опубликован в пятницу – http://publication.pravo.gov.ru/Document/View/0001202206240033?index=0&rangeSize=1.
Перечень дополнен 14-тью организациями по сравнению с его первоначальной версией.
Все организации, которые отнесены к ключевым, получили письма от Минцифры в начале июня. Если Ваша организация не получила письмо, то она не отнесена к ключевым, следовательно, не обязана выполнять работы по оценке защищенности до 1 июля 2022 года.
Если у Вас есть сомнения, то можете обратиться к Вашей головной организации и уточнить, необходимо ли выполнять какие-то мероприятия во исполнение Указа Президента.
Если Ваша компания получила письмо, и есть сложности с реализаций мероприятий по оценке уровня защищенности, то можете обратиться за консультациями к нашим специалистам по адресу: compliance@ussc.ru
Перечень ключевых организаций, которым необходимо осуществить мероприятия по оценке уровня защищенности своих информационных систем, Правительством определен, но в общем доступе не опубликован. Организации, вошедшие в перечень, получили уведомления о необходимости проведения мероприятий напрямую от Минцифры.
Типовых положений в общем доступе также нет, однако по устной информации представителей органов власти, документы в работе и уже прошли согласование ФСТЭК России и ФСБ России. Ожидаем их публикации в ближайшее время, даты публикации не обозначены.
Добрый день, спасибо за ваш комментарий! Скорее всего это связано с тем, что Индия все еще продолжает развитие своей судебной системы после получения независимости в 1947 году. Остаются пережитки колониальной системы организации общества и сильного влияния Британской империи. Также можно отметить, что не смотря на то, что штрафы/сроки довольно высоки, также высоки и сроки рассмотрения дел. По различным исследованиям в среднем на рассмотрение дела уходит 5-7 лет, при этом оно сопровождается значительными затратами для участников судебного процесса. Возможно лет через 10 мы увидим совершенно другую картину в Индии.
Спасибо за комментарий.
Информационная безопасность – это не конкретная шаблонная бумажка или железка, а процесс. Процесс этот должен быть не только реализован, но и регламентирован. Это касается и реализации организационных и технических мер. Зачастую утечки, как в Вашем примере, случаются именно потому, что определенные процессы ИБ или меры не были регламентированы должным образом или не регламентированы вовсе. Данная статья предназначена для организаций, которые ведут или планируют вести свою деятельность на территории Республики Беларусь, с целью помочь им обратить внимание на «узкие» места и корректно регламентировать свои процессы для защиты прав граждан и своих интересов, ведь риски для компании заключаются не только в штрафах (например, отток клиентов и потеря прибыли).
Добрый день! NIST SP 800-171 предназначен для защиты контролируемой несекретной информации в нефедеральных системах и организациях, т.е. не является методикой оценки рисков ИБ. Если Вас интересует разбор вопросов оценки и обработки рисков ИБ от NIST, то рекомендуем ознакомиться c:
NIST SP 800-39 «Managing Information Security Risk»;
NIST SP 800-37 «Risk Management Framework for Information Systems and Organizations»;
NIST SP 800-30 «Guide for Conducting Risk Assessments».
Добрый день! В целом методику FRAP можно адаптировать для оценки рисков не только ИБ на первых этапах анализа, таких как установление контекста. Однако, сама методика входит в цикл Data Security Management, а ее автор Thomas R. Peltier является сертифицированным специалистом по информационной безопасности. Таким образом ее основное назначение – оценка рисков ИБ.
Добрый день! Спасибо за Ваш комментарий. На сегодняшний день такое исследование не проводили, но рассмотрим подготовку такого материала в будущем.
Добрый день! Спасибо за Ваш комментарий. Вы правы, построение системы защиты ИС или АСУ ТП должно исходить оценки рисков и анализа затрат и выгод. Однако, нередко внутренним специалистам по ИБ на это не хватает ресурсов, и для обоснования работ по оценке рисков возможно использование данного материала.
Добрый день! Спасибо за Ваш комментарий. Абсолютно согласны с Вами, но затраты на проведение внешнего пентеста также могут потребовать обоснования. В этом может помочь данный материал.
Добрый день! Спасибо за Ваш комментарий. Согласны, в таблице по этому вопросу присутствует атака, вызванная вирусом вымогателем WannaCry в 2017 году. Среди пострадавших есть и Минздрав России. Если Вы обладаете более точечной официальной информацией или более актуальной на 2021 год в сфере здравоохранения, то будем признательны, если Вы поделитесь с нашими коллегами :)
Что касается рекомендаций — всё это не уязвимости, а лишь сбор безобидной информации. Вся получаемая информация не является конфиденциальной. И даже если у вас Null-session, и злоумышленник установил, что вы в домене и у вас много сетевых карт, в случае если у вас стойкий пароль и установлены все обновления — вам не чего бояться. Однако NetBIOS может использоваться для атаки, как это делают с помощью инструмента Responder. Но это уже отдельная статья…