Лаборатория информационной безопасности

Программа поощрения поиска уязвимостей

Рейтинг:   / 2

В одной из предыдущих статей - Плата за взлом или как найти лучшего специалиста по информационной безопасности - были рассмотрены так называемые VRP-программы - программы поощрения поиска уязвимостей - программы, представляющие собой не только метод защиты производимого или используемого программного обеспечения от уязвимостей, но и способ превратить врагов IT-бизнеса в друзей, приносящих доход. Рассмотрим пример одной из таких VRP-программ, дающей один из лучших ответов по вопросу защиты информационной системы  от всевозможных уязвимостей. Описанная ниже программа разработана лично мной и является авторской. Просьба использовать её в своих целях только с согласования со мной (кто заинтересуется, контакты в разделе Об авторе). :)

Описание концепции программы

            Главная цель программы поощрений поиска уязвимостей (VRP) состоит в повышении безопасности сервиса <...>. Программа направлена на поощрение инициативы и деятельности независимых исследователей (как внешних пользователей и клиентов сервиса, так и сотрудников компании) по нахождению любого рода уязвимостей и слабых мест в программном обеспечении компании и сервисе <...>, в частности. В рамках данной программы участникам, обнаружившим ту или иную уязвимость / слабое место в системе защиты предоставляется денежное вознаграждение. Кроме того, меняется существующая система выплаты премий разработчикам и тестировщикам ПО Компании.

Подробнее: Программа поощрения поиска уязвимостей

Платим за взлом или как найти лучшего специалиста по информационной безопасности

Рейтинг:   / 1

Одна из тенденций современного мира IT направлена на всеобщее повышение интеллекта трудящихся в этой сфере людей: уже давно нет людей, которые ещё в начале, середине и даже конце 90-ых назывались словами типа "крутой программист" или "супер IT-шник": "универсальные программисты" начали вымирать с наступлением 21-го века и с тех пор практически исчезли с лица Земли: сейчас есть только java-девелоперы, C#-разработчики, админы UNIX, DBA и прочие буквенные сочетания из постоянно расширяющегося списка IT-профессий. Те же тенденции наблюдаются и в сфере информационной безопасности. Найти специалиста, который бы мог без труда находить ошибки buffer overflow в 10-модульной Си-шной программе и одновременно - улаживать любые проблемы с проверяющими из ФСТЭК в части 152-ФЗ, - это что-то из разряда произведений Джона Толкина. Даже универсальных технических специалистов, которые бы знали особенности и проблемы любой современной технологии найти почти нереально. Тогда как развитие IT-технологий и их повсеместное внедрение в критически важные сферы жизни ставит всё новые и более жёсткие требования к уровню их безопасности. Сталкиваясь со всеми этими бедами, современный европейский бизнес начинает искать новые способы защиты своих ИС. И находит их в так называемых Vulnerability reward program или, как их ещё называют, Bugs Bounty program - программах поощрения поиска уязвимостей (VRP-программах), представляющих собой революционный шаг в защите от уязвимостей в ПО.

Что же это за изобретение такое, как оно помогает защитить бизнес и стоит ли его внедрять? Рассмотрим вопрос подробнее...

Подробнее: Платим за взлом или как найти лучшего специалиста по информационной безопасности

Бумажная безопасность vs Практическая безопасность

Рейтинг:   / 3

Специфика развития современного мира информационной безопасности такова, что для рассмотрения целостной картины ИБ (в особенности говоря о безопасности бизнеса, как об основной цели ИБ) невозможно без выделения двух важных и неотъемлемых составляющих: бумажной безопасности и практической - две противоположные стороны всего мира информационной безопасности, два подхода со своими плюсами и минусами, со своим мировоззрением: бумажники и практики - теоретики и техники. В чём же разница между ними, какую точку зрения принять и какая сторона правильнее? Попробуем разобраться.

Бумажная безопасность – это в первую очередь безопасность, которая пытается защитить информацию на основе стандартов, то есть берёт ФСТЭК-овский / ФСБ-шный / ГОСТ-ый / ISO-шный документ и начинает его исполнять. Сюда же относится организационная безопасность предприятия и стратегический (не технический) подход в решении проблем, учитывающий психологию людей и структуру (в т.ч. финансовую) организации. Практическая безопасность – это, к примеру, та, которая патчит всё подряд: что увидел, то запатчил; что опасно, на то цепляем логирование, антивирусы, "огненные стены" и прочие радости жизни админа, т.е. все проблемы ИБ она решает исключительно техническими мерами. Кто важнее и какой подход правильнее, как влияет на бизнес современная мировая кибербезопасность, что об этом говорят мировые best practice? Разговор нам предстоит долгий...

Подробнее: Бумажная безопасность vs Практическая безопасность