воскресенье, 4 сентября 2022 г.

Cybersecurity Career Master Plan

Прочитал отличную книгу под вызывающим названием Cybersecurity Career Master Plan (2021 год).

Книга предназначена для студентов, которые рассматривают возможность связать свою карьеру с ИБ. В ней представлены советы и техники, как выстроить успешную карьеру в ИБ. Книга написана несложным английским языком, хотя её авторы американцы - 4 эксперта в области ИБ. В качестве дисклеймера нужно сразу сказать, что в издании красной нитью прослеживается создание нетворкинга для развития и продвижения кибербезопасников. Дело в том, что, как минимум, двое экспертов занимаются в США военной киберразведкой, поэтому подобные советы нужно обязательно воспринимать критически. Рассказываю, о чем идёт речь в книге.

среда, 31 августа 2022 г.

Как айтишникам ставить задачи по SMART

SMART is a mnemonic acronym that stands for the following:

• Specific (what, who, where, and why)

• Measurable (motivational)

• Achievable (realistic)

• Relevant (in line with the overall dream)

• Time-based (end date and time-driven)

Это означает, что мы адресно и четко должны писать задания, задания должны быть точно выполнимы (не выполнить всё на свете и быстро), ставим реалистичный срок. Мы сами должны понимать, как будем проверять выполнение заданий. Выполнено / не выполнено уже будет зависеть от многих иных факторов.


Пример 1:

to: servicedesk@bank.ru

Добрый день!

В соответствии с требованиями политики ИБ прошу отключить следующие учетные записи до конца рабочей недели (02.09.2022 пятница).

Ivanov

Petrov

Sidorov

Скрипт для отключения у вас имеется (или прилагается).

С уважением

 

вторник, 23 августа 2022 г.

Становление ИБ в организации

Как-то меня озадачивали вопросом, что бы я делал и как, будь появилась необходимость ставить процессы ИБ в организации, которая начала стремительно расти из финансового стартапа. Делюсь записями из склада документов на своём компе. Немного актуализировал в соответствии с нынешними реалиями.

Предположим, что имеется небольшая ИТ-инфраструктура, состоящая из контроллера домена, почтового сервера, файловых серверов, серверов баз данных, шлюзов для интеграции с бизнес-партнерами и шлюза в НСПК для финансовых транзакций. Также имеется web-сайт. Многие сотрудники хотят работать в удаленном режиме.

Буду рассматривать актуальные риски ИБ текущего времени:

  • риски нарушения непрерывности бизнеса;
  • риски несоответствия 152-ФЗ и утечек персональных данных;
  • риски несоответствия PCI DSS.

Теперь я буду в комплексе предлагать меры для качественного парирования перечисленных рисков. Подход будет от простого к сложному. Где можно, будем обходиться встроенными механизмами ИБ без покупок средств защиты. Где нельзя, сразу будем их ставить.

воскресенье, 17 июля 2022 г.

Отзыв про CRISC Review Manual 6-th

Прочитал официальный курс от ISACA под названием CRISC Review Manual 6-th Edition (2015 год). Касаемо года курса подумал, что, беря во внимание санкции, это нормально, да и в оценке рисков ничего не меняется, т.к. методология по оценке рисков весьма консервативна. Поэтому лучше прочитать что есть, чем не прочитать ничего. Еще мне казалось из названия, курс будет исключительно про процесс оценки рисков. А оказалось всё совсем не так. На самом деле ситуация с курсом следующая.

CRISC - полноценный курс для специалиста ИБ, в котором методология оценки рисков занимает совсем небольшую часть. В основном рассказывается, с какими угрозами и с каких сторон может столкнуться организация. Что любую технологию или решение нужно рассматривать всесторонне. Например, что МСЭ это не только ПАК, который нужно разместить в ЦОД, а нужно правильно раздать роли по его администрированию, не забыв об обучении администраторов, регулярно проверять правила и конфиги, создать общий процесс управления изменениями, собирать логи, направлять их в SIEM, устанавливать процесс реагирования на инциденты на основании них. По другим средствам защиты или решениям, нужно поступать аналогичным образом. 

Любой процесс нужно рассматривать в комплексе, потому что векторы для потенциальных атак собираются из множества гранулированных недоработок. И наоборот, если безопаснику говорят, что это делать не нужно, так как есть недостатки в других местах, то это тоже приведёт к тому, что из этих недостатков слепится, как снежный ком, глобальная уязвимость организации, и рано или поздно произойдет значимое рисковое событие. Ну а методология количественная, качественная или смешанная конечно же в курсе тоже есть.

Рекомендую и одновременно разыскиваю 7-ю версию курса.

четверг, 16 июня 2022 г.

CompTIA CASP+ Study Guide

С интересом прочитал курс CompTIA CASP+ Study Guide Exam CAS-003 (2019 год). Последнее 4-е издание найти на просторах инета не удалось, но лучше что-то, чем ничего. Курс позиционируется для технических директоров и архитекторов ИБ.

Книга состоит из следующих разделов:

1. Cryptographic Tools and Techniques

2. Comprehensive Security Solutions

3. Securing Virtualized, Distributed, and Shared Computing

4. Host Security

5. Application Security and Penetration Testing

6. Risk Management

7. Policies, Procedures, and Incident Response

8. Security Research and Analysis

9. Enterprise Security Integration

10. Security Controls for Communication and Collaboration

Далее идут ответы на вопросы и множество несложных лаб для практики.

 

Надо сказать, что было достаточно интересно читать курс. Почти нет воды, всё от и до исключительно по делу. Сложилось впечатление, что разные параграфы писались разными авторами. Один пишет проще, другой сложнее. Для меня, как носителя русского языка, это очень критично, поэтому кое что пришлось понимать с помощью Яндекс Переводчика. 

Можно рекомендовать общественности.