Выбрать язык


Выбрать язык | Show only


Русский | English


воскресенье, 9 сентября 2018 г.

Техника информационной безопасности при обращении с мобильными устройствами

Хотя направление Consumer Security в информационной безопасности - не мое, но недавно пришлось систематизировать рекомендации о том, на что обращать внимание при работе с мобильных устройств, чтобы при этом минимизировать риск утери/утечки корпоративной информации и очень личных данных. Почему бы и со всеми не поделиться?

Картинки по запросу mobile security

Утечка информации, особенно той, которую не хотелось бы афишировать - событие неприятное, и последствия могут быть разнообразными, в зависимости от того, с чем эта информация связана (очень личный материал, коммерческая тайна, параметры доступа к банковскому счету и другим сервисам...).

воскресенье, 8 апреля 2018 г.

Protect yourself from Cisco Smart Install Attack and others. ToDo list

I can see a lot of publications about Cisco Smart Install attack on Aprl 6, 2018. Vedor and researchers started some interesting war of words as rap battle. Let's try to be independent side in this battle. I want to share my experience how to protect your infrastructure from such attacks.

On March 28, 2018 Cisco published 2 Smart Install vulnerabilities:

But community forgot another vulnerabilities from March 28, 2018:
Exploit is not published for free yet but it is not a reason to ignore these vulnerabilities. Some people have this exploit, one can be sure. And you must protect your devices now because it is not too late yet.

суббота, 7 апреля 2018 г.

Атака Cisco Smart Install и другие - порядок действий для защиты

Относительно вчерашнего цископада уже написано немало как официальных статей, так и неофициальных заметок. Не буду и я исключением, поделюсь своими рекомендациями по действиям для защиты. Ведь в этом противостоянии исследователей уязвимостей и вендора должна появиться незаинтересованная объективная сторона.

28 марта опубликованы 2 уязвимости Smart Install:

Что интересно, на фоне большой шумихи с Cisco Smart Install почему-то обошли вниманием аналогичные уязвимости Cisco от 28 марта 2018:

То, что еще не опубликован и не используется массово эксплоит - не значит, что не нужно защищать устройства. Он наверняка есть, но у очень ограниченного количества людей. И действовать нужно именно на этом этапе, пока не поздно.

воскресенье, 1 апреля 2018 г.

WAF: Open Source vs Proprietary

В четверг, 29 марта 2018, выступал в Краснодаре на конференции "Код ИБ" с докладом на тему "Технические аспекты внедрения WAF". Тема не то, чтобы очень новая, но для меня когда-то была очень актуальной. 5 лет назад ни вендор, ни интегратор не смогли мне толком ответить, каким образом правильнее интегрировать WAF под мои требования, только твердили "vendor-recommended design". В итоге пришлось делать все самому. Иногда я рассказываю на внешних или внутренних конференциях, как правильно выбрать архитектуру, отвечаю на возникающие вопросы, чтобы мой опыт пригодился и другим.


На конференции в Краснодаре у меня спросили:
- примеры open source WAF
- сравнивал ли я производительность коммерческих и open source решений WAF.

суббота, 24 марта 2018 г.

Третий кит информационной безопасности - доступность. Когда кластеризация бессильна

В прошлой заметке я описывал, на что стоит обратить внимание при организации отказоустойчивой резервируемой системы, независимо от того, это ИБ, ИТ или телеком. Но даже при соблюдении этих правил можно испытать фиаско. 
доступность сайта
В каких случаях кластеризация не спасёт от потери сервиса.

воскресенье, 25 февраля 2018 г.

Актуальные вопросы ИБ в искусстве. Форсаж 8

Несмотря на несомненный интерес, этот фильм я посмотрел только неделю назад. Как и прошлые части, "Форсаж 8" был построен на элементах спецэффектов и супергеройства. Если не обращать внимание на многие откровенные ляпы в оборонке и неиссякаемый запас везения главных героев, то получилось даже интересно. Но критиковать ляпы - много умения не нужно. Интереснее было наблюдать за относительно новыми, либо не слишком популярными акцентами в кинематографе. Возможно, они были всегда, просто я только со временем начал обращать внимание на эти нюансы. Итак, начнём.

пятница, 23 февраля 2018 г.

Третий кит информационной безопасности - доступность. Checklist

Конфиденциальность, целостность, доступность - этот набор слов знаком каждому, кто крутится около ИБ, независимо от глубины погружения. И если с первыми двумя все понятно, то третье часто отодвигается в сторону функционала ИТ/телеком. 
При внедрении практически каждого ИТ-/ИБ-/телеком-решения поднимается вопрос отказоустойчивости. Особенно в случае, если решение обрабатывает продуктивный трафик, либо предоставляет востребованный внутренними/внешними клиентами сервис. Так что же нужно сделать, чтобы ее обеспечить? Статей на этот счет написано немало, так что не буду и я исключением.

Высокая доступность обеспечивается совокупностью следующих факторов: