Архив метки: VMprocess

В воскресенье со своими девчонками ходил на балет "Золушка" в Театр на Цветном

Добавить комментарий

В воскресенье со своими девчонками ходил на балет Золушка в Театр на Цветном

В воскресенье со своими девчонками ходил на балет "Золушка" в Театр на Цветном. Появился повод поразмышлять о том, как эта сказка перекликается с Vulnerability Management процессом. 😉

О чём она? О том, что безрадостное существование может измениться к лучшему. ✨ Так к VM-щику, который тянет весь процесс на себе, борется по мере сил с IT-шным хамством и саботажем, старается, чтобы все активы были покрыты, все уязвимости были продетектированы, учтены и устранены, однажды спустится C-level фея-крёстная. 🧙‍♀️🪄

🔹 Отвалит бюджет на нормальное VM-решение. 🎃➡️🏎

🔹 Промотивирует дорогих коллег перестать крысить и впрячься в совместную работу. 🐀➡️🐴

Жаль, что так бывает только в сказках. Да и там ненадолго. 🕛😉

В реальности VM-щику, у которого начало что-то получаться, запросто могут назначить "созвон с руководителем и HRBP". 🤷‍♂️ А у C-level феи-крёстной может быть своя agenda и следовать её советам следует с осторожностью (а то будет, как в песне Пикника 😉).

На портале @CISOCLUB вышло интервью со мной "Эволюция подхода к управлению уязвимостями"

Добавить комментарий

На портале @CISOCLUB вышло интервью со мной Эволюция подхода к управлению уязвимостями

На портале @CISOCLUB вышло интервью со мной "Эволюция подхода к управлению уязвимостями". В прошлом году я рассказывал о вещах, которые считаю наиболее важными в VM-е, а в этот раз в основном о будущем VM-а и Exposure Management (Управление Экпозициями). И немного о своих регуляторных хотелках. 😉

Ответил на вопросы:

🔹 Как изменился подход российских организаций к VM процессу в 2025 году?
🔹 По структуре EM и VM процессы совпадают?
🔹 Моделирование действий атакующего - это не то же самое, что пентест?
🔹 Насколько актуальными остаются традиционные способы приоритизации уязвимостей и выделение «трендовых уязвимостей»?
🔹 Как расширенные VM-практики (EM) соотносятся с требованиями регуляторов?
🔹 Какие регуляторные требования могли бы повысить защищённость российских организаций и национальную безопасность?
🔹 Какие изменения в VM/EM-решениях ждут нас в будущем?

"Вовка в Тридевятом царстве" - это самый VM-ный советский мультфильм

Добавить комментарий

Вовка в Тридевятом царстве - это самый VM-ный советский мультфильм

"Вовка в Тридевятом царстве" - это самый VM-ный советский мультфильм. Подумалось мне после вчерашней экскурсии. 🙂

Сюжет матчится идеально:

👑 CEO Царёв (выходец из технарей) не согласен с молодым VM-щиком Вовкой, что устранять уязвимости должны только IT-шники и грозится уволить его как тунеядца.

🐡 CTO Рыбкин игнорирует эскалацию проблем по устранению уязвимостей от VM-щика, который "палец о палец не ударил, а туда же, задачи заводит".

🧝‍♀️ Премудрые эксперты-Василисы преподают оторванный от реальности курс по VM-у.

🤤 Команда "одинаковых с лица" IT-шников, выделенная для решения задач патчинга, включает дурака и саботирует VM-процесс.

🥧🔥 Лютый фейл при попытке устранить уязвимости в OT-инфраструктуре PECHKA своими силами.

📃 Определённые успехи у Вовки пошли только после изменения майндсета, изучения нормативки, формализации общения и VM-процесса. 😉

Попался на глаза замечательный пост в паблике "Типичный Сисадмин" про то, как выглядит устранение уязвимостей со стороны IT-специалистов

Добавить комментарий

Попался на глаза замечательный пост в паблике Типичный Сисадмин про то, как выглядит устранение уязвимостей со стороны IT-специалистов
Попался на глаза замечательный пост в паблике Типичный Сисадмин про то, как выглядит устранение уязвимостей со стороны IT-специалистовПопался на глаза замечательный пост в паблике Типичный Сисадмин про то, как выглядит устранение уязвимостей со стороны IT-специалистовПопался на глаза замечательный пост в паблике Типичный Сисадмин про то, как выглядит устранение уязвимостей со стороны IT-специалистовПопался на глаза замечательный пост в паблике Типичный Сисадмин про то, как выглядит устранение уязвимостей со стороны IT-специалистовПопался на глаза замечательный пост в паблике Типичный Сисадмин про то, как выглядит устранение уязвимостей со стороны IT-специалистовПопался на глаза замечательный пост в паблике Типичный Сисадмин про то, как выглядит устранение уязвимостей со стороны IT-специалистовПопался на глаза замечательный пост в паблике Типичный Сисадмин про то, как выглядит устранение уязвимостей со стороны IT-специалистов

Попался на глаза замечательный пост в паблике "Типичный Сисадмин" про то, как выглядит устранение уязвимостей со стороны IT-специалистов. Всем VM-щикам будет полезно почитать комменты. 😉 Как можно видеть, там обсуждают не то, как эффективнее выполнять задачи на устранение уязвимостей, а то, как лучше от них уклоняться.

Основные приёмы:

📄 Сваливание в бумажную волокиту. Работы не проводятся без служебных записок, завизированных "от генерального до клининга".

😱 Нагнетание страха простоя в случае неудачного обновления.

💰 Запрос бюджета. "Нужно новое железо/ПО - без денег не сделаю".

😏 Дискредитация сканера. "Это false positive, наших активов это не касается, это неэксплуатабельно". Этапы игры в "докажи-покажи".

🤤 Включение дурака. "Без детального мануала не понимаю, как делать". Фактически "как челобитную подаёшь".

Имхо, лучший способ борьбы с этим - формализация. Как VM-процесса, так и связанной аргументации. Не вовлекайтесь в лишние дискуссии, берегите психику! 😉

Вчера прочитал свою третью и заключительную лекцию "Управление уязвимостями в соответствии с методическими требованиями регуляторов и лучшими практиками" в рамках магистерской программы ИТМО

Добавить комментарий

Вчера прочитал свою третью и заключительную лекцию Управление уязвимостями в соответствии с методическими требованиями регуляторов и лучшими практиками в рамках магистерской программы ИТМО

Вчера прочитал свою третью и заключительную лекцию "Управление уязвимостями в соответствии с методическими требованиями регуляторов и лучшими практиками" в рамках магистерской программы ИТМО.

🇷🇺 Начали с разбора руководства ФСТЭК по организации процесса управления уязвимостями в органе (организации). Рассмотрели структуру, роли участников и операции. Затем перешли к методике оценки уровня критичности уязвимостей ФСТЭК (версия этого года). Подробно разобрали, как рассчитывается уровень и как он определяет сроки устранения уязвимостей. По устранению рассмотрели рекомендательный алгоритм НКЦКИ и методику тестирования обновлений ФСТЭК. Коснулись методики оценки показателя защищённости ФСТЭК и требований по управлению уязвимостями в 117 приказе ФСТЭК.

🌎 Международные best practices рассмотрели на основе PCI DSS 4.0.1. Упомянул и руководство NCSC.

👻 Закончил рассказом о реалиях VM-процесса на основе БОСПУУ и о методах саботажа со стороны IT [1, 2].

Сходили сегодня в театр на детский спектакль "Кентервильское привидение"

Добавить комментарий

Сходили сегодня в театр на детский спектакль Кентервильское привидение

Сходили сегодня в театр на детский спектакль "Кентервильское привидение". Если помните, по новелле Оскара Уайльда или советскому мультфильму, там сюжет строится на том, что американская семья приобретает замок с привидением и успешно его курощает.

Я смотрел и размышлял, что ITшник, который под различными предлогами отказывается устранять уязвимости во вверенной ему инфраструктуре, напоминает такое привидение, которое гремит цепями, зловеще завывает и рисует на полу "несмываемые" кровавые пятна. То есть уверяет всех, что обновить системы невозможно, что это приведёт к катастрофическим последствиям и что единственный вариант - оставить всё как есть. А VMщикам убираться подальше. 😉

И бороться с этим следует методами тех американцев. Не вестись: удалять пятна пятновыводителем, смазывать цепи, давать микстуру от завываний, а на запугивания запугивать в ответ. 😈

А в конце можно и помочь демотивированному привидению, когда оно будет готово принять помощь.

Сходили сегодня на детский спектакль "Золотая антилопа", в результате я сформулировал принципы Управления Уязвимостями по методу хитрого Раджи

Добавить комментарий

Сходили сегодня на детский спектакль Золотая антилопа, в результате я сформулировал принципы Управления Уязвимостями по методу хитрого Раджи

Сходили сегодня на детский спектакль "Золотая антилопа", в результате я сформулировал принципы Управления Уязвимостями по методу хитрого Раджи. 🤴🙂

1. К продетектированным уязвимостям относись как к золоту, которого "не может быть слишком много". Стремись обладать наиболее качественными средствами детектирования, своей "золотой антилопой". 🦌🔍

2. Нормальное управление уязвимостями возможно только при наличии реальных рычагов давления, аналогичных мотивированному исполнительному палачу: "позволь я отрублю ему голову". ⚔️😈

3. Одного детектирования уязвимостей недостаточно. Необходимо инвестировать в приоритизацию и автоматизацию их устранения. Иначе "золото превратится в черепки", а уязвимости - в реальные инциденты, в результате чего ты потеряешь своё место. 💥👨‍💻

4. Никогда не принимай отказа в устранении уязвимостей. Всегда требуй поэтапный план устранения с зафиксированными дедлайнами. Если не готовы отдать буйвола, пусть отдают "ногу буйвола". 🐃😉