Прочитал про подход DigitalOcean к Vulnerability Management-у и концепцию "Риск безопасности как долг"

Добавить комментарий

Прочитал про подход DigitalOcean к Vulnerability Management-у и концепцию Риск безопасности как долг

Прочитал про подход DigitalOcean к Vulnerability Management-у и концепцию "Риск безопасности как долг". Основные моменты можно почитать у Security Wine. Как я себе это понимаю, суть в следующем:

🔹 Они якобы отказываются от отслеживания выполнения SLA на устранение уязвимостей. При этом таски на устранение уязвимостей заводят и фиксируют квази-SLA (под названием "Accepted Insecure Time").

🔹 После того как AIT для таска/уязвимости вышел, они "ставят команды на счётчик". 😏 Скорость ежедневного прироста долга зависит от критичности уязвимости.

🔹 Команды, у которых размер общего долга выходит за определённые значения, шеймят и стимулируют. 🥕

🔹 Лицами, принимающими решения за устранение уязвимостей выставляются руководители инженерных и продуктовых отделов, а не безопасники. 🫠 ИБ только счётчик включают. 😈

Не бог весть какая новация, но как вариант построения работы с командами, забивающими на SLA - почему бы и нет. 🙂 БОСПУУ не противоречит.

Подводные камни Open Source

Добавить комментарий

Подводные камни Open Source

Подводные камни Open Source. Прикольная статья вышла в блоге Swordfish Security на Хабре. Основная идея там в том, что если вы видите бесплатное Open Source решение (в статье разбирается Defect Dojo и Semgrep), то прежде чем кидаться его использовать, неплохо подумать, а почему оно ничего не стоит конечному потребителю. Где подвох?

🔹 Иногда подвоха нет, а проект развивают энтузиасты just4fun или за счёт грантовой поддержки. 😇

🔹 Но частенько подвох в том, что в опенсурсе находится только сознательно урезанная до самой базовой функциональности версия коммерческого продукта (очень даже платного). Что-то вроде демки. Если вам не хватает чего-то для полноценной работы, то это так и задумано. 😉

Тут можно сказать: код-то открытый, сейчас кааак форкнем и допишем что надо? Теоретически да, а практически поддерживать чужой проект бывает настолько грустно, что проще с нуля переписать.

Или выбить бюджет на коммерческое решение с поддержкой и не париться. 🙃

5 сентября в рамках подготовки к конкурсу Security Gadget Challenge пройдёт вебинар "Аппаратные средства защиты информации"

Добавить комментарий

5 сентября в рамках подготовки к конкурсу Security Gadget Challenge пройдёт вебинар Аппаратные средства защиты информации

5 сентября в рамках подготовки к конкурсу Security Gadget Challenge пройдёт вебинар "Аппаратные средства защиты информации". Выступать будет Владимир Смирнов, главный конструктор АО НИЦ. Обещают рассказать про последние достижения в разработке устройств, направленных на защиту данных, обсудить их эффективность и применимость в реальных условиях.

Для контекста, АО НИЦ производит такие устройства как средство для ответвления трафика "СПРУТ100", микросервер "МУРЕНА RD1" и шлюз безопасности "ГРАНИЦА" (последнее, правда, с использованием FortiGate - видимо уже не так актуально сейчас).

Я не особо в курсе реалий разработки отечественных аппаратных СЗИ, так что послушать будет интересно. 🙂

Также организаторы Security Gadget Challenge подробнее расскажут про конкурс и поотвечают на вопросы.

🗓️ Дата: 5 сентября
⏰ Время: 19:00-20:00

➡️ Регистрируйтесь на Timepad

AVLEONOV Start - совместная работа над Open Source проектами для вкатывания в Vulnerability Management

Добавить комментарий

AVLEONOV Start - совместная работа над Open Source проектами для вкатывания в Vulnerability Management

AVLEONOV Start - совместная работа над Open Source проектами для вкатывания в Vulnerability Management. Периодически ко мне приходят люди в такой ситуации: хотят вкатиться в VM, но практического опыта работы с уязвимостями у них нет, поэтому на работу их не берут. А опыта набраться негде. Замкнутый круг. Обычно я на это говорю - идите на стажировку. Вот недавно отбор на PT Start завершился. Но на стажировках мест тоже ограничено и не факт, что получится заниматься именно VM-ными задачами. И что делать?

Альтернатива - участие в опенсурсных проектах. Здесь я могу немного помочь. Открытых VM-ных проектов у меня довольно много, а времени, чтобы их тянуть не всегда хватает. Я могу выделить задачку, отслеживать её выполнение, смерджить код в основной проект с указанием авторства и описать заслуги в канале и changelog проекта. Будет что приложить к резюме. 😉

Гарантирует ли это трудоустройство? Нет. Ничто не гарантирует. Но плюсом будет.

Если что, пишите в личку. 🙂

Размышляю о развитии Scanvus

Добавить комментарий

Размышляю о развитии Scanvus

Размышляю о развитии Scanvus. Давненько не было обновлений проекта. Так-то понятно, что опекать конкретную инфру мне стало не нужно, поэтому приоритизирующий уязвимости Vulristics мне стал важнее, чем детектирующий их Scanvus. 🤷‍♂️ Однако проблема оценки качества детектирования уязвимостей никуда не делась, поэтому и необходимость в "прозрачном" (и желательно бесплатном 😏) сканере остаётся.

Подход к интерпретации OVAL-контента в рамках Vuldetta показал, что хоть это делать и можно, но местами довольно хлопотно (для уязвимостей ядра например).

Использовать для детектирования OpenSCAP было бы гораздо проще. В этом случае задачей Scanvus было бы зайти на хост, определить версию дистрибутива, найти инсталляцию OpenSCAP, скачать и загрузить на хост актуальный OVAL-контент, запустить утилиту OpenSCAP, забрать и отобразить отчёт сканирования.

Мне кажется, что такой "агентный" режим работы имеет смысл реализовать.

Установка RHVoice TTS на Linux с помощью Snap

Добавить комментарий

Установка RHVoice TTS на Linux с помощью Snap

Установка RHVoice TTS на Linux с помощью Snap. Прежде чем выкладывать пост, я стараюсь прогонять его через Text To Speech, чтобы услышать и убрать все ошибки и "шероховатости". К сожалению, очередной "бесплатный" онлайн-TTS, которым я пользовался, обновился и начал просить денег. 🤷‍♂️

Поэтому я сделал очередной подход к локальным TTS-кам под Linux. В частности, к отечественной RHVoice. Несколько лет назад установку из исходников я не осилил. Сейчас же установка Snap-ом тривиальна. Как и использование. 

sudo snap install rhvoice
sudo rhvoice.vm -a
# смотрим список голосов
sudo rhvoice.vm -i BDL
# устанавливаем голос
cat test_en.txt | rhvoice.test -p BDL
# читаем текст из файла
sudo rhvoice.vm -i Artemiy
cat test_rus.txt | rhvoice.test -p Artemiy

Ещё послушал интересное интервью из 2020-го с разработчиком RHVoice Ольгой Яковлевой. Она очень крутая. Как можно такую сложную штуку сделать в одиночку и будучи незрячей - просто невероятно! 🤯 Пример нам всем.

Открыт приём заявок на конкурс по разработке ИБ-устройств Security Gadget Challenge

Добавить комментарий

Открыт приём заявок на конкурс по разработке ИБ-устройств Security Gadget Challenge

Открыт приём заявок на конкурс по разработке ИБ-устройств Security Gadget Challenge. Организаторы АО «Национальный Инновационный Центр» и платформа Phystech.Genesis.

Что можно подавать:

🔹 Готовые прототипы и схемы - Hardware challenge (до 16 сентября)
🔹 Концепции - Idea challenge (до 7 октября)

Участники получат помощь в реализации пилотного проекта, в том числе смогут бесплатно напечатать плату своего устройства. Предусмотрены и приятные денежные призы. 😉

К участию в конкурсе приглашаются студенты технических ВУЗов, специалисты по ИБ, инженеры, предприниматели и аналитики в сфере ИБ. Не секрет, что такие конкурсы/хакатоны это хорошая возможность продемонстрировать свои скиллы работодателям и получить оффер. 😎

Размер команды 2-5 человек, если нет команды - помогут собрать.

Канал "Управление Уязвимостями и прочее" в информационных партнёрах конкурса, так что буду отслеживать и подсвечивать происходящее. 🙂

➡️ Регистрация на сайте
💬 Чат конкурса в Telegram