А что вы на безопасников гоните, бизнес не хочет отказываться, для них все ваши модные TOTP это длинный UX и отказ от пенсионеров с кнопочными телефонами. Не у всех вход по SMS то есть, до сих пор логин и пароль однофакторные.
которые не могут кодить без смайликов и тибетского языка
Я не зря привел пример с символом доктора. Он у нас используется на сайте. То есть это не как часть кода или комментария в коде, а как то, что должны видеть конечные пользователи.
обработка SBOM, состоящего из 199 компонентов с графом зависимостей, заняла 12,54 сек. против 9,02 сек. у старого метода. Поэтому мы рекомендуем оставить эту настройку выключенной.
Не понял, почему?
По моему опыту те разработчики, что возмущаются по поводу медленных DevSecOps проверок в PR, часто еще не дождались завершения рецензии реальным коллегой (ами), не устранили выявленные ими проблемы, либо не устранили проблемы других сборок (QA и т.п.).
Согласовано, но! Как можно было такое произнести в слух:
Первый приоритет — это создание собственной низкоорбитальной спутниковой группировки для обеспечения быстрого и дешёвого доступа в Интернет на территории всей страны в любой точке. Эта группировка должна по показателям не уступать ведущим международным проектам, таким как Starlink.
Не стоит опускаться до уровня Рогозина
Почему это приоритет номер один? Смешно, они же даже не начнут на него выделять ресурсы как на проект номер один.
условиях учебной атаки распознавать действия нарушителей и отличать "оригинальное" от "поддельного"
Если в компании половина если не большая часть из учений технически блокируется (скачивание исполняемых файлов, запуск исполняемых файлов из папки Загрузки, подмена отправителя в письме,…), может стоит обучать пользовать чему-то другому?
Ну понятно, что текущий функционал не заточен на не ИТ-пользователей, что плохо, английский язык, нет всяких политик генерации паролей, что можно было бы навязывать пользователям. Но часть наших ИТ-пользователей пользуются, это лучше чем хранить пароли у себя на ПК пусть и в KeePass.
Ну в ЦФТ как помню в спецов по антифроду брали вообще без вышки, там главное было склад ума и часто знание какого-то национального языка СНГ. Причем образование могло быть не профильным.
Я правильно понял, что вы просто ткнули пальцем в первого попавшегося ИТ-шника и сказали «теперь ты чемпион». Просто из:
Впереди:
развитие направления Security Champion в СИГМЕ — проведение курсов, повышение осведомленности и т.д.;
выглядит так, что у вас вдруг ни с того ни с сего появились чемпионы, которых вы ничему не обучали, ведь это только предстоит?
Или может расскажете по какому принципу выбирались эти чемпионы? По моему опыту даже при почти тысяче разработчиков ни бизнес ни ИТ не желают выделять кого-то в качестве чемпионов, а ИБ не готовы считать таковым кого угодно.
А что вы на безопасников гоните, бизнес не хочет отказываться, для них все ваши модные TOTP это длинный UX и отказ от пенсионеров с кнопочными телефонами. Не у всех вход по SMS то есть, до сих пор логин и пароль однофакторные.
Безопасность поймешь, когда выпишешь каждый пункт того же ГОСТа в табличку вида
Пункт | требование | как выполняется/митигируется | комментарий |
Каждая запись имеет категорию, вы можете только смотреть на malware и игнорировать к примеру political_slogans или ip_block
Добавлен в toxic-repos.
Много вы так заработаете ?
Это умение, а не отдельное мероприятие, но судя по историям, пьянки были
Пояснительная бригада?
Я не зря привел пример с символом доктора. Он у нас используется на сайте. То есть это не как часть кода или комментария в коде, а как то, что должны видеть конечные пользователи.
Не понял, почему?
По моему опыту те разработчики, что возмущаются по поводу медленных DevSecOps проверок в PR, часто еще не дождались завершения рецензии реальным коллегой (ами), не устранили выявленные ими проблемы, либо не устранили проблемы других сборок (QA и т.п.).
Согласовано, но! Как можно было такое произнести в слух:
Не стоит опускаться до уровня Рогозина
Почему это приоритет номер один? Смешно, они же даже не начнут на него выделять ресурсы как на проект номер один.
Если в компании половина если не большая часть из учений технически блокируется (скачивание исполняемых файлов, запуск исполняемых файлов из папки Загрузки, подмена отправителя в письме,…), может стоит обучать пользовать чему-то другому?
А в винде можно сделать запрет выставления для lnk ярлыков?
То есть в любой нормальной компании имеется запрет на получение исполняемых файлов и вы его с этим сталкиваете? Потом заявляете, что он сам виноват?
Ну понятно, что текущий функционал не заточен на не ИТ-пользователей, что плохо, английский язык, нет всяких политик генерации паролей, что можно было бы навязывать пользователям. Но часть наших ИТ-пользователей пользуются, это лучше чем хранить пароли у себя на ПК пусть и в KeePass.
Кто не умеет - не пишет, зато на диване сидит и смотрит с высока
Ну в ЦФТ как помню в спецов по антифроду брали вообще без вышки, там главное было склад ума и часто знание какого-то национального языка СНГ. Причем образование могло быть не профильным.
Вопрос, а какой набор персданных требует вайлдберриз из гос услуг, весь набор с постоянным доступом как делают все или что-то конкретное?
Независимый аудит от компании из своего же скоупа?
Где скачать СИГМА:Алькор для iOS?
Я правильно понял, что вы просто ткнули пальцем в первого попавшегося ИТ-шника и сказали «теперь ты чемпион». Просто из:
выглядит так, что у вас вдруг ни с того ни с сего появились чемпионы, которых вы ничему не обучали, ведь это только предстоит?
Или может расскажете по какому принципу выбирались эти чемпионы? По моему опыту даже при почти тысяче разработчиков ни бизнес ни ИТ не желают выделять кого-то в качестве чемпионов, а ИБ не готовы считать таковым кого угодно.