s
когда уже начнут убивать людей, чтобы показать небезопасность медицинского оборудования
да уже давно как бы
Size: a a a
2020 August 28
s
Therac-25 и это только то, что случайно!
~
у Positive Technologies был любопытный доклад про что-то похожее.
Есть принтеры, которые поднимают собственную WiFI точку. Плюс воткнуты в езернет компании.
Они подходили к внешним стенам компании, через вайфай подключались к принтеру, далее некая бинари магия, перезалив прошивки, и у них доступ в внутрянку
Есть принтеры, которые поднимают собственную WiFI точку. Плюс воткнуты в езернет компании.
Они подходили к внешним стенам компании, через вайфай подключались к принтеру, далее некая бинари магия, перезалив прошивки, и у них доступ в внутрянку
я видел доклад где по городу летали квадрокоптеры, подлетали к небоскребам и делали тоже самое
DR
кто тут из мэйлов, вы чё там такие неэффективные
зачем до слез доводишь? Ну и офк ББ и апсек команда это вообще о разном и это не исключающие понятия, как вам такое вообще в голову пришло
DR
Раз уж тут собрались CISO и около, не могу не поделиться вайтпейпером https://www.dayblink.com/wp-content/uploads/2019/04/Structuring-the-InfoSec-Org_vFINAL_04.pdf мне показался вполне занятным
DR
Там есть понятная пирамида маслоу для Иб потребностей компании
DR
DR
ББ идет в туже часть где и прочит офенс
M
Обычно все начинают сверху и забивают самый низ) ну по крайней мере те, кого видел)
DR
Ну, кажется что инцидент респонс это вообще самое важное что надо уметь + если продукт b2c и еще и развивается, то запросы на безопаную архитектуру и инфраструктуру тоже очень велик. Риск менеджмент может показаться спорным, но тут зависит от того как вы понимаете для себя и доказываете бизнесу необходимость тех или иных мероприятий и бюджетов это все о KPI OKR и прочем не про изящные хаки, а про полезную работу.
Ну и офенсив секьюрити (селф чек, аудиты, бб) это скорее не про безопасность, а про внешние сигналы что докатывается на прод при текущих процессах и вложениях. Для молодой и не зрелой компании результат аудита «нашли у вас 100 уязвимостей, но ниодной в авторизации» вполне себе может быть успешным результатом
Ну и офенсив секьюрити (селф чек, аудиты, бб) это скорее не про безопасность, а про внешние сигналы что докатывается на прод при текущих процессах и вложениях. Для молодой и не зрелой компании результат аудита «нашли у вас 100 уязвимостей, но ниодной в авторизации» вполне себе может быть успешным результатом
DR
Ну, кажется что инцидент респонс это вообще самое важное что надо уметь + если продукт b2c и еще и развивается, то запросы на безопаную архитектуру и инфраструктуру тоже очень велик. Риск менеджмент может показаться спорным, но тут зависит от того как вы понимаете для себя и доказываете бизнесу необходимость тех или иных мероприятий и бюджетов это все о KPI OKR и прочем не про изящные хаки, а про полезную работу.
Ну и офенсив секьюрити (селф чек, аудиты, бб) это скорее не про безопасность, а про внешние сигналы что докатывается на прод при текущих процессах и вложениях. Для молодой и не зрелой компании результат аудита «нашли у вас 100 уязвимостей, но ниодной в авторизации» вполне себе может быть успешным результатом
Ну и офенсив секьюрити (селф чек, аудиты, бб) это скорее не про безопасность, а про внешние сигналы что докатывается на прод при текущих процессах и вложениях. Для молодой и не зрелой компании результат аудита «нашли у вас 100 уязвимостей, но ниодной в авторизации» вполне себе может быть успешным результатом
Некоторые достойные люди даже OWASP SAMM реально используют, тем самым закрывая многие вопросы по «что и зачем»
M
Ну, кажется что инцидент респонс это вообще самое важное что надо уметь + если продукт b2c и еще и развивается, то запросы на безопаную архитектуру и инфраструктуру тоже очень велик. Риск менеджмент может показаться спорным, но тут зависит от того как вы понимаете для себя и доказываете бизнесу необходимость тех или иных мероприятий и бюджетов это все о KPI OKR и прочем не про изящные хаки, а про полезную работу.
Ну и офенсив секьюрити (селф чек, аудиты, бб) это скорее не про безопасность, а про внешние сигналы что докатывается на прод при текущих процессах и вложениях. Для молодой и не зрелой компании результат аудита «нашли у вас 100 уязвимостей, но ниодной в авторизации» вполне себе может быть успешным результатом
Ну и офенсив секьюрити (селф чек, аудиты, бб) это скорее не про безопасность, а про внешние сигналы что докатывается на прод при текущих процессах и вложениях. Для молодой и не зрелой компании результат аудита «нашли у вас 100 уязвимостей, но ниодной в авторизации» вполне себе может быть успешным результатом
Не, я не говорю как надо, просто во всех этих стартапах и вчерашних стартапах, обычно инцедкнт респонс если и есть, то номинальный :(
Есть у нас тут в германии одна крутая компания с шикарным инцидент респонсом, но чёт будто это исключение. Либо компания просто на уровень выше по зрелости
Есть у нас тут в германии одна крутая компания с шикарным инцидент респонсом, но чёт будто это исключение. Либо компания просто на уровень выше по зрелости
M
Ещё часто ,когда ищут первого секурити инженера в команду, ставят в требования как раз пенетрирование
B
Иб говно
HD
Нихуя вы тут разжигаете
B
Держится на соплях мнения общества
HD
Нам бы хсс’ку сдать, что вы тут устроили
B
Потом какой-нибудь чел психанет и сотрёт сплойтом пол мира
B
Nopetya на максималках)
M
Иб говно
+1