Приведенный пример с крепостью в Кенигсберге — ни к селу ни к городу. Но всё ровно спасибо, я теперь знаю как назвать весь тот бардак, который иногда встречаю в безопасности — Agile Cybersecurity.
На самом деле Agile – это просто система ценностей, не дающая никаких практических советов.
Это советы одних жуликов к другим, ложь их главный инструмент и поэтому подобную чушь нужно еще декодировать и воспринимать с точки зрения жулья. Никакой практической ценности Agile не имеет для профессионалов в любой области, кроме блатного менеджмента.
1. Люди и их взаимодействие важнее процессов и инструментов.
2. Работающий продукт важнее исчерпывающей документации.
А разве работающий продукт не является инструментом? Зачастую, процесс основан на каком-то продукте и настолько тесно связан с ним, что по соображением это одно и тоже.
Что в итоге получается? Документация не важнее чем процесс/продукт, который в свою очередь не важнее взаимодействия людей. Встречи-совещания, пустой трёп, неистовое взаимодействие и командный дух на фоне неработающих процессов. Всё дело в том, что блатняк не имеет других скилов, а митинги это их конёк. Поэтому надо создавать видимость работы, даже если по факту всё на дне.
Сотрудничество с заказчиком важнее согласования условий контракта.
Тут открывается простор для творчества и действия силы, которая безгранична по своей сути — алчность.
Готовность к изменениям важнее следования первоначальному плану.
Предыдущий пункт плевать хотел на условия контрактов, а вы про какой-то план.
Тут вот что имелось ввиду, если каким-то чудом зерно рациональности просочилось и задуманный план вот-вот воплотится в жизнь, нужно иметь квалификацию или кадры, которые будут знать что с этим делать, иначе блатной-менеджмент всего этого потерпит фиаско или упустит прибыль.
Помню как однажды пентестер запросил хаб для своих нужд. Такие древние устройства перевелись в компании, выдали ему свич. Однако он настаивал на хабе, пришлось нагуглить инструкцию как спаять 3х портовый хаб. Пентестер был снабжён всем необходимым, паяльником, припоем и прочим барахлом для крафта хаба =)
Это вы еще не знаете про «чудеса» виндового коллектора.
А так да, согласен с автором вся эта подсистема логирования — историческое нагромождение говнокода в угоду обратной совместимости.
Когда говорят о «контроле в DLP» — это в первую очередь маркетологи/продажники. Ну вот какой смысл, если вы контролировали, а данные всё ровно утекли?
В процессе сбора система может не только проверять на именно передачу чувствительной информации, но и анализировать и обрабатывать информацию в соответствии с внесенными настройками — и эти данные можно сделать доступными в наглядной форме в виде графиков, диаграмм, таблиц, схем передачи документов и коммуникации сотрудников
Ага, не хватает только бриллиантовой пыли. Картина маслом — сидят такие «пиджаки», пьют чай и смотрят на все эти графики таблицы, иногда ходят курить.
Вся суть проблемы различия — выдумана. А проблема как раз в том, что сам бизнес(менеджмент) зачастую не знает, что считать конфиденциальной информацией, полагая что безопасность должна знать, что глупейшее заблуждение. При таком подходе безопасники не могут элементарно настроить правила блокировки, в любой DLP системе. На западе, крайне редко встретишь такой неграмотный менеджмент, а у нас это явление повсюду, вот и вся история.
Нет смысла делить DLP на какие-то там придуманные подходы, вопрос лишь в функциональности самой DLP и не более.
Вот например выше, товарищ заблуждается:
Только devicelock выбиваются из этого ряда, они как раз наоборот напирают на блокировки
Можно включить создание теневых копий, забирать данные из базы и проводить их анализ как душе угодно и на сколько ваши нормы морали вам позволяют. Только это уже не безопасность, а охота на ведьм. С таким подходом, тот кому надо сделать слив — сделает его беспрепятственно, а безопасность лишь будет тупо смотреть в бесчисленные графики, диаграммы, таблицы.
Главная задача безопасников — защищать самих себя, чтобы потом, в день Д и час Ч, иметь возможность принимать решение влияющее на менеджмент или, проще говоря, принимать решения менеджмент уровня.
Второстепенные директивы: поддерживать свой скилл, создавать иллюзию защищенности компании, рисовать отчёты, пиариться на конференциях, получать зарплату.
Технологии поиска не очень то продвинулись, чтобы писать ~7 слов в запрос. Длинные сочинения пишут те, кто думает что это всё магия и (ща-ща-ща-ща-ща-щас) будет точная выдача. А к чему эти расширяющиеся строки? Ну для кого запрос, а для кого донос ;)… проигнорировал яндекс в 2008 году.
Так под админом же…
DL имеет весь узкое применение ограниченное его «особенностями», это надо понимать когда выстраиваешь безопасность.
А насчёт пафоса, в энтерпрайз сегменте крутятся большие деньги, а потому любые средства хороши. Обычное дело, враньё маркетологов и продажников, ради того чтобы сорвать куш.
Но одно дело, когда соловьём заливаются зависимые интеграторы и совсем другое, когда инженеры по ИБ ведутся у них на поводу.
•обнаруживать все известные виды вредоносного программного обеспечения;
•удалять все известные виды вредоносного программного обеспечения;
•обеспечивать защиту от всех известных видов вредоносного программного обеспечения
PCI никак не определяет категоризацию этих видов и ни слова про сигнатуры.
Иными словами вредоносы можно перечислять как trojan, rootkit, backdoor, dos и т.д. а можно как application with Code Injection, Buffer overflow, Privileges Escalation…
да хоть к тому же CWE привязаться, кому как удобнее. Это будет нормально и аудитор с этим не поспорит.
Я не спорю, лишь хочу сказать, что на стандарте PCI-DSS безопасность не должна заканчиваться. В нём весьма обтекаемые формулировки, которые можно обойти.
Определить список разрешенных программ, которые у вас на предприятии — проще, чем определить список сигнатур запрещенных программ во всём мире. Но в этой индустрии упорно поддерживается обратное утверждение, что есть иллюзия.
PCI-DSS мало что определяет конкретно, угроза != сигнатура. Сигнатурный анализ это лишь подход к определению этих угроз. В PCI-DSS пишут, что должен быть реализован периодический скан систем. Здесь мы ничего не сканируем, а мы мониторим процессы постоянно. Так что на вопрос — как вы сканируете и с каким периодом? Можете отвечать — у нас нет периода, мы постоянно сканируем и мониторим угрозы. А угрозой так же может быть определено аномальное поведение программы типа Buffer Overflow и т.д. Вобщем аудиторам можно это залить и 5.2 compliance.
В чём отличие с тем же sonar в symantec?
Что нового предлагает Palo Alto traps для разных реликтов, типа банкоматов, когда уже существует например, Symantec Critical System Protection?
Это советы одних жуликов к другим, ложь их главный инструмент и поэтому подобную чушь нужно еще декодировать и воспринимать с точки зрения жулья. Никакой практической ценности Agile не имеет для профессионалов в любой области, кроме блатного менеджмента.
А разве работающий продукт не является инструментом? Зачастую, процесс основан на каком-то продукте и настолько тесно связан с ним, что по соображением это одно и тоже.
Что в итоге получается? Документация не важнее чем процесс/продукт, который в свою очередь не важнее взаимодействия людей. Встречи-совещания, пустой трёп, неистовое взаимодействие и командный дух на фоне неработающих процессов. Всё дело в том, что блатняк не имеет других скилов, а митинги это их конёк. Поэтому надо создавать видимость работы, даже если по факту всё на дне.
Тут открывается простор для творчества и действия силы, которая безгранична по своей сути — алчность.
Предыдущий пункт плевать хотел на условия контрактов, а вы про какой-то план.
Тут вот что имелось ввиду, если каким-то чудом зерно рациональности просочилось и задуманный план вот-вот воплотится в жизнь, нужно иметь квалификацию или кадры, которые будут знать что с этим делать, иначе блатной-менеджмент всего этого потерпит фиаско или упустит прибыль.
Помню как однажды пентестер запросил хаб для своих нужд. Такие древние устройства перевелись в компании, выдали ему свич. Однако он настаивал на хабе, пришлось нагуглить инструкцию как спаять 3х портовый хаб. Пентестер был снабжён всем необходимым, паяльником, припоем и прочим барахлом для крафта хаба =)
А так да, согласен с автором вся эта подсистема логирования — историческое нагромождение говнокода в угоду обратной совместимости.
Ага, не хватает только бриллиантовой пыли. Картина маслом — сидят такие «пиджаки», пьют чай и смотрят на все эти графики таблицы, иногда ходят курить.
Вся суть проблемы различия — выдумана. А проблема как раз в том, что сам бизнес(менеджмент) зачастую не знает, что считать конфиденциальной информацией, полагая что безопасность должна знать, что глупейшее заблуждение. При таком подходе безопасники не могут элементарно настроить правила блокировки, в любой DLP системе. На западе, крайне редко встретишь такой неграмотный менеджмент, а у нас это явление повсюду, вот и вся история.
Нет смысла делить DLP на какие-то там придуманные подходы, вопрос лишь в функциональности самой DLP и не более.
Вот например выше, товарищ заблуждается:
Можно включить создание теневых копий, забирать данные из базы и проводить их анализ как душе угодно и на сколько ваши нормы морали вам позволяют. Только это уже не безопасность, а охота на ведьм. С таким подходом, тот кому надо сделать слив — сделает его беспрепятственно, а безопасность лишь будет тупо смотреть в бесчисленные графики, диаграммы, таблицы.
Второстепенные директивы: поддерживать свой скилл, создавать иллюзию защищенности компании, рисовать отчёты, пиариться на конференциях, получать зарплату.
DL имеет весь узкое применение ограниченное его «особенностями», это надо понимать когда выстраиваешь безопасность.
А насчёт пафоса, в энтерпрайз сегменте крутятся большие деньги, а потому любые средства хороши. Обычное дело, враньё маркетологов и продажников, ради того чтобы сорвать куш.
Но одно дело, когда соловьём заливаются зависимые интеграторы и совсем другое, когда инженеры по ИБ ведутся у них на поводу.
PCI никак не определяет категоризацию этих видов и ни слова про сигнатуры.
Иными словами вредоносы можно перечислять как trojan, rootkit, backdoor, dos и т.д. а можно как application with Code Injection, Buffer overflow, Privileges Escalation…
да хоть к тому же CWE привязаться, кому как удобнее. Это будет нормально и аудитор с этим не поспорит.
Я не спорю, лишь хочу сказать, что на стандарте PCI-DSS безопасность не должна заканчиваться. В нём весьма обтекаемые формулировки, которые можно обойти.
Что нового предлагает Palo Alto traps для разных реликтов, типа банкоматов, когда уже существует например, Symantec Critical System Protection?