Выбрать язык


Выбрать язык | Show only


Русский | English


воскресенье, 8 апреля 2018 г.

Protect yourself from Cisco Smart Install Attack and others. ToDo list

I can see a lot of publications about Cisco Smart Install attack on Aprl 6, 2018. Vedor and researchers started some interesting war of words as rap battle. Let's try to be independent side in this battle. I want to share my experience how to protect your infrastructure from such attacks.

On March 28, 2018 Cisco published 2 Smart Install vulnerabilities:

But community forgot another vulnerabilities from March 28, 2018:
Exploit is not published for free yet but it is not a reason to ignore these vulnerabilities. Some people have this exploit, one can be sure. And you must protect your devices now because it is not too late yet.

суббота, 7 апреля 2018 г.

Атака Cisco Smart Install и другие - порядок действий для защиты

Относительно вчерашнего цископада уже написано немало как официальных статей, так и неофициальных заметок. Не буду и я исключением, поделюсь своими рекомендациями по действиям для защиты. Ведь в этом противостоянии исследователей уязвимостей и вендора должна появиться незаинтересованная объективная сторона.

28 марта опубликованы 2 уязвимости Smart Install:

Что интересно, на фоне большой шумихи с Cisco Smart Install почему-то обошли вниманием аналогичные уязвимости Cisco от 28 марта 2018:

То, что еще не опубликован и не используется массово эксплоит - не значит, что не нужно защищать устройства. Он наверняка есть, но у очень ограниченного количества людей. И действовать нужно именно на этом этапе, пока не поздно.

воскресенье, 1 апреля 2018 г.

WAF: Open Source vs Proprietary

В четверг, 29 марта 2018, выступал в Краснодаре на конференции "Код ИБ" с докладом на тему "Технические аспекты внедрения WAF". Тема не то, чтобы очень новая, но для меня когда-то была очень актуальной. 5 лет назад ни вендор, ни интегратор не смогли мне толком ответить, каким образом правильнее интегрировать WAF под мои требования, только твердили "vendor-recommended design". В итоге пришлось делать все самому. Иногда я рассказываю на внешних или внутренних конференциях, как правильно выбрать архитектуру, отвечаю на возникающие вопросы, чтобы мой опыт пригодился и другим.


На конференции в Краснодаре у меня спросили:
- примеры open source WAF
- сравнивал ли я производительность коммерческих и open source решений WAF.

суббота, 24 марта 2018 г.

Третий кит информационной безопасности - доступность. Когда кластеризация бессильна

В прошлой заметке я описывал, на что стоит обратить внимание при организации отказоустойчивой резервируемой системы, независимо от того, это ИБ, ИТ или телеком. Но даже при соблюдении этих правил можно испытать фиаско. 
доступность сайта
В каких случаях кластеризация не спасёт от потери сервиса.

воскресенье, 25 февраля 2018 г.

Актуальные вопросы ИБ в искусстве. Форсаж 8

Несмотря на несомненный интерес, этот фильм я посмотрел только неделю назад. Как и прошлые части, "Форсаж 8" был построен на элементах спецэффектов и супергеройства. Если не обращать внимание на многие откровенные ляпы в оборонке и неиссякаемый запас везения главных героев, то получилось даже интересно. Но критиковать ляпы - много умения не нужно. Интереснее было наблюдать за относительно новыми, либо не слишком популярными акцентами в кинематографе. Возможно, они были всегда, просто я только со временем начал обращать внимание на эти нюансы. Итак, начнём.

пятница, 23 февраля 2018 г.

Третий кит информационной безопасности - доступность. Checklist

Конфиденциальность, целостность, доступность - этот набор слов знаком каждому, кто крутится около ИБ, независимо от глубины погружения. И если с первыми двумя все понятно, то третье часто отодвигается в сторону функционала ИТ/телеком. 
При внедрении практически каждого ИТ-/ИБ-/телеком-решения поднимается вопрос отказоустойчивости. Особенно в случае, если решение обрабатывает продуктивный трафик, либо предоставляет востребованный внутренними/внешними клиентами сервис. Так что же нужно сделать, чтобы ее обеспечить? Статей на этот счет написано немало, так что не буду и я исключением.

Высокая доступность обеспечивается совокупностью следующих факторов:

воскресенье, 4 февраля 2018 г.

Работа мечты для технического специалиста

Нет, я не буду в этом посте рассказывать о вакансиях моего отдела, хотя пересечение существенное. Лучше расскажу о том, что узнал на NZNOG18.
Наверное, каждый задавал себе вопрос: "А что такое для меня - работа мечты?". Возможно, многие даже составляли признаки идеальности. Наиболее лаконичное определение я услышал в 2011 году от Евгения Касперского:
"Больше всего я люблю 2 вещи: делать богоугодное дело и зарабатывать деньги. Особенно если это совпадает".
То есть, у работы, по сути, 2 критерия для сотрудника: моральное удовлетворение и деньги. И оба критерия абсолютно индивидуальны.

Можно составить своеобразный квадрат а ля Гартнер, в котором будет 4 сектора:
- за еду
- за идею
- за деньги
- за счастье
О богоугодном деле и рассказывал один из докладчиков конференции NZNOG18 Крейг Уинтерс (видеозапись выступления), член команды IT&Telecommunications Emergency Response Unit (ITT ERU) новозеландского отделения Международного Комитета Красного Креста. Чем эта организация занимается, рассказывать не нужно, а о том, каким образом тема Красного Креста попала на конференцию по Интернет-технологиям и сетевой безопасности - стоит прояснить.