воскресенье, 17 июля 2022 г.

Отзыв про CRISC Review Manual 6-th

Прочитал официальный курс от ISACA под названием CRISC Review Manual 6-th Edition (2015 год). Касаемо года курса подумал, что, беря во внимание санкции, это нормально, да и в оценке рисков ничего не меняется, т.к. методология по оценке рисков весьма консервативна. Поэтому лучше прочитать что есть, чем не прочитать ничего. Еще мне казалось из названия, курс будет исключительно про процесс оценки рисков. А оказалось всё совсем не так. На самом деле ситуация с курсом следующая.

CRISC - полноценный курс для специалиста ИБ, в котором методология оценки рисков занимает совсем небольшую часть. В основном рассказывается, с какими угрозами и с каких сторон может столкнуться организация. Что любую технологию или решение нужно рассматривать всесторонне. Например, что МСЭ это не только ПАК, который нужно разместить в ЦОД, а нужно правильно раздать роли по его администрированию, не забыв об обучении администраторов, регулярно проверять правила и конфиги, создать общий процесс управления изменениями, собирать логи, направлять их в SIEM, устанавливать процесс реагирования на инциденты на основании них. По другим средствам защиты или решениям, нужно поступать аналогичным образом. 

Любой процесс нужно рассматривать в комплексе, потому что векторы для потенциальных атак собираются из множества гранулированных недоработок. И наоборот, если безопаснику говорят, что это делать не нужно, так как есть недостатки в других местах, то это тоже приведёт к тому, что из этих недостатков слепится, как снежный ком, глобальная уязвимость организации, и рано или поздно произойдет значимое рисковое событие. Ну а методология количественная, качественная или смешанная конечно же в курсе тоже есть.

Рекомендую и одновременно разыскиваю 7-ю версию курса.

четверг, 16 июня 2022 г.

CompTIA CASP+ Study Guide

С интересом прочитал курс CompTIA CASP+ Study Guide Exam CAS-003 (2019 год). Последнее 4-е издание найти на просторах инета не удалось, но лучше что-то, чем ничего. Курс позиционируется для технических директоров и архитекторов ИБ.

Книга состоит из следующих разделов:

1. Cryptographic Tools and Techniques

2. Comprehensive Security Solutions

3. Securing Virtualized, Distributed, and Shared Computing

4. Host Security

5. Application Security and Penetration Testing

6. Risk Management

7. Policies, Procedures, and Incident Response

8. Security Research and Analysis

9. Enterprise Security Integration

10. Security Controls for Communication and Collaboration

Далее идут ответы на вопросы и множество несложных лаб для практики.

 

Надо сказать, что было достаточно интересно читать курс. Почти нет воды, всё от и до исключительно по делу. Сложилось впечатление, что разные параграфы писались разными авторами. Один пишет проще, другой сложнее. Для меня, как носителя русского языка, это очень критично, поэтому кое что пришлось понимать с помощью Яндекс Переводчика. 

Можно рекомендовать общественности.

суббота, 28 мая 2022 г.

Противодействие кибератакам в финансовой сфере

Внимательно посмотрел и послушал панельную дискуссию «Противодействие кибератакам в финансовой сфере — Информационная безопасность банков 18 апреля2022г». Всё полезное там было в первом часе, далее шла просто дискуссия о преимуществах и недостатках аутсорсинговых соков. Хочу привести основные новые озвученные угрозы, мысли о них на сегодняшний день вместе со своими комментариями:

1. Сейчас за атаками стоят многочисленные правительства иностранных государств, о чем раньше мало кто даже фантазировал. Это было только в литературе, в моделях угроз ФСБ и в качестве шаблонных фраз на выступлениях. Сейчас это стало реальностью. За атаками стоят официально поддерживаемые властями иностранные ИТ компании.

2. Настало время относиться ко всему по методологиям Zero-trust (нулевое доверие), в том числе и к персоналу. Есть информация, что администраторам предлагают значимые суммы ($2000) за размещение вредоносных программ в контролируемых ими корпоративных сетях.

воскресенье, 15 мая 2022 г.

Race Condition

В техниках безопасного программирования есть такое понятие, как Race Condition. Перевожу сразу из учебника:

Две инструкции из разных потоков пытаются получить доступ к одним и тем же данным одновременно. Когда разработчик пишет приложение, потоки данных должны быть запрограммированы на последовательный доступ к данным. Сразу приводится пример:

Два футбольных фаната покупают билеты на финал Суперкубка. Когда они приходят на стадион, они обнаруживают, что проданные им билеты на одно и то же место. Это большая прибыль для тех, кто продает билеты, но плохая ситуация для тех, кто покупает билеты.

В банковской отрасти это может означать, что нужно отслеживать выполнение распоряжений клиента, исходящих их разных мест. Например, в каждом банке (брокере, страховой компании, и т.д.) есть web-кабинет и мобильное приложение. Разумно сделать контроль сессий клиента, чтобы в единицу времени активной была только 1 сессия. Некоторые банки давно имеют такой контроль, а некоторые нет. Реализации могут быть следующими:

- при открытии второй сессии, пишется ошибка, что сессия клиента уже существует;

- при открытии второй сессии, первая сессия автоматически закрывается.

Этот контроль сделать несложно, так как чаще всего разные виды ДБО для клиентов - это лишь разные интерфейсы, ведущие к общей прикладной части и далее к общей БД.

суббота, 14 мая 2022 г.

CompTIA Security+ Вопросы и ответы после разделов

Перечитал последнюю редакцию книги CompTIA Security+, о которой писал немного ранее. По данной книге сейчас уже проводится 6-я версия экзамена (SY0-601). 


Через Яндекс Переводчик сделал переводы вопросов и ответов после каждой из глав. Даю ссылку на файл с вопросами и ссылку на файл с ответами, которые выложил через Яндекс.Диск. За перевод не судите, так как это AI, а не я.