Сегодня осознал, что мои отсылки могут быть непонятны. 😅 В разговоре проскочило про "звёзды ИБ" и я на автомате выдал "готовиться надо ко встрече со звездой". В ответ непонимание. 😳 Пришлось пояснять, что был такой старый мем с Киркоровым. 🤦♂️ Потом посмотрел когда ж Бедросович это отчебучивал. 2004 год, 20 лет назад! Многие коллеги тогда ещё не родились или были совсем маленькими. 🤷♂️🙂 Вот так оно и начинается…
У Checkmarx вышел отчёт "The Future of APPLICATION SECURITY 2024" содержащий чудесный ТОП3 отмазок "почему уязвимый код ушёл в прод?" (от AppSec менеджеров, CISO и разработчиков).
AppSec менеджеры
1. Чтобы уложиться в дедлайны, связанные с бизнесом, выкаткой фич или безопасностью.
2. Уязвимость должна была быть исправлена в более позднем релизе.
3. Уязвимость не была критической.
CISO
1. Надеялись, что уязвимость не будет эксплуатабельной. 🤞
2. Чтобы уложиться в дедлайны, связанные с бизнесом, выкаткой фич или безопасностью.
3. Уязвимость не была эксплуатабельной.
Разработчики
1. Уязвимость должна была быть исправлена в более позднем релизе.
2. Уязвимость не была критической.
3. Чтобы уложиться в дедлайны, связанные с бизнесом, выкаткой фич или безопасностью.
Варианты AppSec менеджеров и Разработчиков различаются только порядком. А вот CISO больше про реальную эксплуатабельность (чтобы это не привело к большому скандалу) и надежду на лучшее. 😏😅
Наверняка старая шутка, но я раньше не слышал. Единственный безопасник в организации как агент 007:
🔸 0 сотрудников,
🔸 0 бюджета на инструменты безопасности,
🔸 7 инцидентов в неделю.
Алексей Федулаев на SafeCode сегодня рассказал. 🙂
Жиза. 😅
Хо-хо-хо или небольшой оффтоп про трудности перевода/произношения и сельское хозяйство. Для английского эпизода искал вчера корректный перевод для слова "мотыга" или "тяпка". Слово это однозначно переводится как "hoe". Теперь вопрос: а как это слово произнести так, чтобы это не звучало как "женщина с низкой социальной ответственностью"? 🤔
Не то чтобы я был настолько щепетилен в вопросе использования нецензурной лексики, но у меня везде стоит галка, что "explicit language" я не использую - непорядочек.
В общем, в произношении разница есть, но весьма тонкая: /hoʊ/ и /hɔː/
По сути уходит ли звук немного в "у" на конце или нет.
Но засада в том, что даже если попасть в нужное произношение, то не поможет. Походу носители тоже не особо эту разницу слышат и эта самая мотыга "hoe" тоже имеет устойчивое сленговое значение как "женщина с низкой социальной ответственностью". 🤷♂️🤦♂️ Со всех сторон демоны обложили.
Может всё-таки другое слово для данного сельхоз инвентаря подобрать? А вот нету. Есть ещё "cultivator", но это именно тяпка с зубьями для разрыхления. А мотыга больше про сорняки и окучивание.
В общем, кое-как компромиссно сформулировал мотыгу как "long-handled farming weeding tool". И по такому запросу даже ищется что-то более-менее релевантное.
Хотя к английскому слову "сорняк" у меня, разумеется, тоже есть вопросики, но все же несколько меньшие. 😅
Upd. В комментах подсказали, что есть ещё слово "mattock", которое родственное "мотыге". Сила соцсетей! 💪
И о важном: вышло второе DLC к Atomic Heart. 🙂 Начал фоном смотреть прохождение Куплинова. Первое DLC, на мой вкус довольно нудное и малоинформативное, было продолжением короткой концовки. Второе DLC является продолжением длинной концовки. Пока это какой-то странный платформер с пряничными человечками - Нечаев путешествует по лимбо. Но встретилась прикольная отсылка к Вавилон 5, которую я никак не мог проигнорировать: "Варлон табута-чок!". 😅 Олды помнят.
Прочитал пост Алексея Лукацкого про мерч, приуроченный к опросу от Positive Technologies. Имхо, вообще любой сувенирчик это приятно. 😊 Не могу согласиться с тем, что классика себя изжила. Для меня всё наоборот.
🔻 Футболки - топ! Основа моего гардероба. Главное, чтобы достаточно качественные, с нормальным принтом (без эффекта горчичника) и не белые (чтобы со стиркой не заморачиваться). Ну и без каких-то совсем уж провокационных надписей.
🔻 Если вдруг худи, то ещё лучше. Но тут важно, чтобы не большемерили. Оверсайз ещё ок, но что-то откровенно гигантское а-ля баленсиага носить вряд ли будет возможно.
🔻 Блокноты и ручки - отлично. Я когда работаю люблю разбивать большие задачки на как можно более мелкие, организоваывать их в "диаграммы" с прямоугольничками и стрелочками, а по завершении каждой задачки перечеркивать её прямоугольничек и переходить к следующей. Такой вот простенький GTD метод, чтобы разделить микропланирование и непосредственное выполнение. Поэтому блокнотики у меня расходуются только в путь. Ну и вообще я люблю всякую канцелярщину. 🤤
🔻 Носки? Мне пока такое не перепадало, но если годные, то почему бы и нет.
По остальному даже и не знаю. Из вишлиста Алексея Викторовича меня что-то ничего не впечатляет. То есть я такое приму безусловно с благодарностью, но пользоваться вряд ли буду и постараюсь кому-то поскорее передарить. 😇
Правда ли, что 96% компаний в России можно взломать с помощью старых эксплуатабельных уязвимостей на периметре? Статья CNews выглядит забавно потому, что там тезис из аналитического отчёта опровергается одним неаргументированным мнением эксперта. Типа завышено и всё тут. Но когда я смотрю на эту цифирь, то я тоже думаю, что она с реальностью не особо бьётся. 🙂 Попробую аргументировать.
🔻Если мы просто посмотрим организации из ЕГРЮЛ, очевидно, что там будет значимое число организаций типа ООО "Вектор", у которых весь условный "сетевой периметр" это сайт-визитка с телефоном и email-ом на бесплатном сервисе. Очевидно, что если у вас нет периметра, уязвимости ему не страшны. 😏
🔻В отчёте Джеты не пишут, что это статистика по всем российским организациям. Они пишут, что отчёт на основе работ с клиентами и опроса более 100 организаций. В статье CNews это тоже пишут "Все данные из отчета относятся к клиентам и сервисам компании «Инфосистемы Джет», но представитель компании объяснил CNews, что эти данные могут быть релевантны для экстраполяции на российские компании в целом, поскольку компания давно на рынке и обслуживает крупнейших клиентов из самых разных сфер, а в статистику вошло около 500 крупных компаний". Т.е. "96% компаний используют на внешнем периметре версии ПО, имеющие уязвимости уровня «Critical» и «High», для которых существуют публично доступные эксплойты" это не про все российские компании, а про некоторую выборку. А оценку для всех российских компаний можно получить путём какой-то хитрой экстраполяции. Но там будет уже не 96%.
🔻 Так от какого числа компаний посчитаны эти 96% и достоверна ли информация, что у них на периметре эксплутабельные уязвимости? Учитывая, что в отчёте ссылаются на сервис Jet Nautilus (надо ж было назваться как и популярная модель раций - в поиске фиг найдёшь 🙂), видимо речь о клиентах этого сервиса. Сколько этих клиентов непонятно. Но цифра 96% может быть, к примеру, получена, если у вас 25 клиентов и у 24 у них вы продетектировали эксплутабельные уязвимости. Если посмотреть описание сервиса, то в части детектирования уязвимостей он проводит "Пассивное сканирование внешней инфраструктуры компании без прямого контакта с ней. Обеспечивает оценку потенциальных векторов атак и инвентаризацию внешнего периметра". Что это за пассивное сканирование без прямого контакта стоит уточнять у Джетов, но я при таких словах воображаю себе, что у них есть доступ к условному Shodan/Censys и они смотрят результаты баннерных детектов через API-шку и ищут для продетектированных CVE-шек эксплоиты. Метод простой, но достоверность таких детектов, конечно, низкая. Но это не более чем мои домыслы на основе чтения лендинга, конкретно нужно у вендора узнавать.
➡️ Так что, имхо, нет. Доля российских компаний, которых можно взломать с помощью старых эксплуатабельных уязвимостей на периметре, меньше 96%. А для того, чтобы оценить сколько конкретно таких компаний нужно уметь активно и достоверно сканировать весь рунет на уязвимости и понимать какие IP-адреса к каким организациям относятся. А до этого это всё прикидки уровня пол-палец-потолок.
Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.