Risk appetite - що за шняга та як порахувати
Чесно кажучи, самому довелося пірнати в тему та розбиратися. Але то було корисно.
Ризик апетит, або апетит до ризику, це така штука, за допомогою якої у голову менеджерів укладають певне уявлення про кількість (чи правильніше було б казати сумарний об'єм) ризику, який хоче "з'їсти" організація на шляху до досягнення поставлених цілей. Звучить трохи абстрактно, але ж це про менеджмент, там все представлено абстракціями.
Певне дивування викликає слово "хоче". Звісно, що не хочемо ми ніякого ризику, хочемо щоб цілі самі виконалися. Але нафіга тоді ви у цій схемі? Бізнес без ризику не існує. Нормальний менеджер повинен порахувати скільки ризику він вимушений хотіти виходячи із цілей, які він хоче досягнути. Також він має враховувати ще дві невід'ємні від ризик-апетиту метрики:
- Толерантність до ризику - це рівень одного конкретного ризику, не сумарне значення, а саме одного, який організація може собі дозволити без особливих напрягів. Типу, якщо сторож Петрович забухає й не прийде сьогодні знову спати за гроші у офіс, наша безпека буде знижена, росте ризик пограбування. Але в нас є система сигналізації і мобільна бригада прилетить за 2 хвилини по SLA. Ми толерантні як до хоббі Петровича, так і до ризику, що виникає внаслідок.
- Ємність ризику - сумарний об'єм ризиків, що може собі дозволити організація і не здохнути. Це десь на грані. Тобто перевищення цього значення нанесе неповоротні наслідки конторі і, можливо, дупі топ-менеджера.
Як ми розуміємо, якщо апетит ризику перевищує ємність, то треба підійти до дзеркала і запитати себе "А не дохєра ти на себе береш?". 99% гарантії провалу із 1% запасу на диво, прорахунок, та лоховський фарт.
Загалом усі ці показники слід враховувати для керування на стратегічному рівні. Вони допомагають приймати рішення безпечніше.
Як оцінювати ризики, то вже інша історія і відповідний ISO 31000 пропонує понад 40 методів оцінки. Кожний із своїми плюсами і мінусами, а значить більш підходить до своєї певної ситуації. В цілому там величезний пласт інфи від якого хочеться плакати.
Трохи не та тема, де я планував занурюватися глибоко, але для переходу у практично-прикладну імплементацію порекомендую гуглити "реєстр ризиків" та "паспорт ризику". А також давайте подивимось, як всі згадані штуки виглядають у мачурних пацанів.
USAID - Risk-appetite Statement 2018
Office of the Comptroller of the Currency
Risk Appetite Statement - Nordic Investment Bank
Risk Appetite Statement and Guidelines - Bank of Cyprus
Central Bank of Ireland
#SAMM
Чесно кажучи, самому довелося пірнати в тему та розбиратися. Але то було корисно.
Ризик апетит, або апетит до ризику, це така штука, за допомогою якої у голову менеджерів укладають певне уявлення про кількість (чи правильніше було б казати сумарний об'єм) ризику, який хоче "з'їсти" організація на шляху до досягнення поставлених цілей. Звучить трохи абстрактно, але ж це про менеджмент, там все представлено абстракціями.
Певне дивування викликає слово "хоче". Звісно, що не хочемо ми ніякого ризику, хочемо щоб цілі самі виконалися. Але нафіга тоді ви у цій схемі? Бізнес без ризику не існує. Нормальний менеджер повинен порахувати скільки ризику він вимушений хотіти виходячи із цілей, які він хоче досягнути. Також він має враховувати ще дві невід'ємні від ризик-апетиту метрики:
- Толерантність до ризику - це рівень одного конкретного ризику, не сумарне значення, а саме одного, який організація може собі дозволити без особливих напрягів. Типу, якщо сторож Петрович забухає й не прийде сьогодні знову спати за гроші у офіс, наша безпека буде знижена, росте ризик пограбування. Але в нас є система сигналізації і мобільна бригада прилетить за 2 хвилини по SLA. Ми толерантні як до хоббі Петровича, так і до ризику, що виникає внаслідок.
- Ємність ризику - сумарний об'єм ризиків, що може собі дозволити організація і не здохнути. Це десь на грані. Тобто перевищення цього значення нанесе неповоротні наслідки конторі і, можливо, дупі топ-менеджера.
Як ми розуміємо, якщо апетит ризику перевищує ємність, то треба підійти до дзеркала і запитати себе "А не дохєра ти на себе береш?". 99% гарантії провалу із 1% запасу на диво, прорахунок, та лоховський фарт.
Загалом усі ці показники слід враховувати для керування на стратегічному рівні. Вони допомагають приймати рішення безпечніше.
Як оцінювати ризики, то вже інша історія і відповідний ISO 31000 пропонує понад 40 методів оцінки. Кожний із своїми плюсами і мінусами, а значить більш підходить до своєї певної ситуації. В цілому там величезний пласт інфи від якого хочеться плакати.
Трохи не та тема, де я планував занурюватися глибоко, але для переходу у практично-прикладну імплементацію порекомендую гуглити "реєстр ризиків" та "паспорт ризику". А також давайте подивимось, як всі згадані штуки виглядають у мачурних пацанів.
USAID - Risk-appetite Statement 2018
Office of the Comptroller of the Currency
Risk Appetite Statement - Nordic Investment Bank
Risk Appetite Statement and Guidelines - Bank of Cyprus
Central Bank of Ireland
#SAMM
👍2
Governance | Strategy & Metrics | Create and Promote | L2
Коли ви вже добре розумієте бізнес-ризики вашого програмного забезпечення, ви можете почати тягнутися до другого рівня.
Другий рівень практики Strategy & Metrics у потоці Create and Promote це коли ви не просто щось розумієте і задокументували своє розуміння. Це коли ви маєте затверджену роадмапу вашої апплікєйшн сєк'юріті програми.
Затверджена вона має бути із керівництвом (С-Level). Нормальний роадмап це план роки на 2 із конкретними майлстоунами, синхронизованими із бізнесом. Тобто так, якийсь план має бути спочатку у бізнеса.
Ваша роадмапа має бути збалансованою між:
1) змінами, що вимагають фінансових витрат
2) змінами процесів та процедур
3) змінами, що вплавають на культуру організації
І не забувайте, що роадмапа має бути доступна усім, кому це потрібно, а команда аппсєків отримує саппорт від стейкхолдерів та девелоперів.
Розглянемо допоміжне питання:
"У вас є стратегічний план з безпеки додатків та ви його використовуєте для прийняття рішень?"
Що треба для відповіді:
- План відображає разик апетит та бізнес пріорітети організації
- План включає вимірювані майлстоуни та бюджет
- План відповідний до драйверів та ризиків організації
- План покладено на роадмапу стратегічних та тактичних ініціатив
- Вас підтримуюь стейкхолдери та девелопери (де ви таке бачили взагалі - при. автра)
#SAMM
Коли ви вже добре розумієте бізнес-ризики вашого програмного забезпечення, ви можете почати тягнутися до другого рівня.
Другий рівень практики Strategy & Metrics у потоці Create and Promote це коли ви не просто щось розумієте і задокументували своє розуміння. Це коли ви маєте затверджену роадмапу вашої апплікєйшн сєк'юріті програми.
Затверджена вона має бути із керівництвом (С-Level). Нормальний роадмап це план роки на 2 із конкретними майлстоунами, синхронизованими із бізнесом. Тобто так, якийсь план має бути спочатку у бізнеса.
Ваша роадмапа має бути збалансованою між:
1) змінами, що вимагають фінансових витрат
2) змінами процесів та процедур
3) змінами, що вплавають на культуру організації
І не забувайте, що роадмапа має бути доступна усім, кому це потрібно, а команда аппсєків отримує саппорт від стейкхолдерів та девелоперів.
Розглянемо допоміжне питання:
"У вас є стратегічний план з безпеки додатків та ви його використовуєте для прийняття рішень?"
Що треба для відповіді:
- План відображає разик апетит та бізнес пріорітети організації
- План включає вимірювані майлстоуни та бюджет
- План відповідний до драйверів та ризиків організації
- План покладено на роадмапу стратегічних та тактичних ініціатив
- Вас підтримуюь стейкхолдери та девелопери (де ви таке бачили взагалі - при. автра)
#SAMM
UA30CTF від Держспецзв'язку 25.02.23
Україна не перестає дивувати. Під час складної та тяжкої війни за останні три місяці вже друга масштабна подія у кібербезпеці. Я вважаю, це важливий маркер, який каже про багато чого. Та давайте до самої події.
Держспецзв'зку провела студентські змагання у форматі CTF. Відвідав особисто. Якщо коротко:
👉 організація професійна. Якщо ви звикли до того, що "госуха" робить все не дуже якісно, то дані змагання є фактом, що має змінити ваш досвід.
👉 Окремі зали - для лекцій та для змагань.
👉 Наявність укриття, що дозволяє не відволікатися на тривоги і продовжувати змагатися під мотивуючий плейлист (окремий плюс аудіосупроводженню).
👉 Кейтеринг в обох зонах.
👉 Показчики напрямів де що знаходиться, постійна наявність координаторів, які зможуть відповідати на питання.
👉 Наявність офіційних осіб - авторів і організаторів змагань та топ-менеджменту Служби. Це підбадьорює гравців та показує, що Службі важлива ця подія, що керівництво - воно тут, а не десь у іншому вимірі. Максимально правильна позиція Віктор Жора та Олександр Потій.
👉 Присутність журналістів та інтерв'ю на камеру прямо у залі помножила ефект від присутності топ менеджменту Служби ще на 3.
Щодо якості завдань
У створенні завдань істотну участь взяли вже досвідчені люди, що на таких івентах собаку з'їли, то ж завдання були різного ступеню складності із відповідними оцінками за кожне. Я трохи підглядував у екран ноуту команди з мого робочого юніту і встиг доволі швидко вирішити для себе задачу про інвайт-код на віддаленому сервері, а також жорстоко тупанути на 75% прогресу у задачі із зламом банку та xlsx файлом. Трохи з приколом була задача на стеганографію: бачив як одні люди вирішували її швидко, а інші просто ламали голову передивляючись зміст картинок блокнотом. Інших задач побачити не встиг, можливо про них пізніше зроблю окремий пост, автори обіцяли зашарити публічну частину з них.
Переможці
На загальному екрані був score board, з одного боку все було зрозуміло одразу, але таки ні - команда Silent Sparrow "вирвала очко" в останні 5 секунд і увесь нетворкінг заслужено перебувала у стані ейфорії від призвого третього місця, з чим особисто поздоровляємо Захара та його команду. Захаре, ти шукав себе і, здається, ти таки знайшов себе, мої щирі вітання.
Друге та перше місця посіли команди з універу Шевченка та з київського політеху відповідно. Серед команд також були представники і інших регіонів. Особливо приємно, що були хлопці з Харкова (доречі, організатори компенсували транспортні витрати, ще один жирний плюсик їм в карму). Нажаль, команд з деяких університетів я не побачив, але сподіваюся, що керівництво деканатів і кафедр знає про цю проблему і має якусь роадмапу її вирішення.
Самарі
Дуже круто. Будь-ласка, зробіть такий івент регулярним, хоча б один раз на рік.
Україна не перестає дивувати. Під час складної та тяжкої війни за останні три місяці вже друга масштабна подія у кібербезпеці. Я вважаю, це важливий маркер, який каже про багато чого. Та давайте до самої події.
Держспецзв'зку провела студентські змагання у форматі CTF. Відвідав особисто. Якщо коротко:
👉 організація професійна. Якщо ви звикли до того, що "госуха" робить все не дуже якісно, то дані змагання є фактом, що має змінити ваш досвід.
👉 Окремі зали - для лекцій та для змагань.
👉 Наявність укриття, що дозволяє не відволікатися на тривоги і продовжувати змагатися під мотивуючий плейлист (окремий плюс аудіосупроводженню).
👉 Кейтеринг в обох зонах.
👉 Показчики напрямів де що знаходиться, постійна наявність координаторів, які зможуть відповідати на питання.
👉 Наявність офіційних осіб - авторів і організаторів змагань та топ-менеджменту Служби. Це підбадьорює гравців та показує, що Службі важлива ця подія, що керівництво - воно тут, а не десь у іншому вимірі. Максимально правильна позиція Віктор Жора та Олександр Потій.
👉 Присутність журналістів та інтерв'ю на камеру прямо у залі помножила ефект від присутності топ менеджменту Служби ще на 3.
Щодо якості завдань
У створенні завдань істотну участь взяли вже досвідчені люди, що на таких івентах собаку з'їли, то ж завдання були різного ступеню складності із відповідними оцінками за кожне. Я трохи підглядував у екран ноуту команди з мого робочого юніту і встиг доволі швидко вирішити для себе задачу про інвайт-код на віддаленому сервері, а також жорстоко тупанути на 75% прогресу у задачі із зламом банку та xlsx файлом. Трохи з приколом була задача на стеганографію: бачив як одні люди вирішували її швидко, а інші просто ламали голову передивляючись зміст картинок блокнотом. Інших задач побачити не встиг, можливо про них пізніше зроблю окремий пост, автори обіцяли зашарити публічну частину з них.
Переможці
На загальному екрані був score board, з одного боку все було зрозуміло одразу, але таки ні - команда Silent Sparrow "вирвала очко" в останні 5 секунд і увесь нетворкінг заслужено перебувала у стані ейфорії від призвого третього місця, з чим особисто поздоровляємо Захара та його команду. Захаре, ти шукав себе і, здається, ти таки знайшов себе, мої щирі вітання.
Друге та перше місця посіли команди з універу Шевченка та з київського політеху відповідно. Серед команд також були представники і інших регіонів. Особливо приємно, що були хлопці з Харкова (доречі, організатори компенсували транспортні витрати, ще один жирний плюсик їм в карму). Нажаль, команд з деяких університетів я не побачив, але сподіваюся, що керівництво деканатів і кафедр знає про цю проблему і має якусь роадмапу її вирішення.
Самарі
Дуже круто. Будь-ласка, зробіть такий івент регулярним, хоча б один раз на рік.
Forwarded from Держспецзв’язку
🏆 Команда CERT-UA виборола трофей Quantico Cyber Eagle на кібернавчаннях Корпусу морської піхоти США
Чотири команди Державної служби спеціального зв'язку та захисту інформації України за запрошенням Корпусу морської піхоти США взяли участь у навчаннях з кібербезпеки «Quantico Cyber Eagle», які в кінці березня пройшли на полігоні CYBER RANGES technology у місті Квантіко, штат Вірджинія (США).
Мета заходу, в якому взяли участь 11 команд, – навчання елітних кіберфахівців, здатних проводити сучасні оборонні операції і протистояти розумному і винахідливому противнику.
Такі виклики вимагають від кіберфахівців тренувань у симуляційних середовищах, що відображають загрози, які постійно змінюються.
В основу сценарію лягла імітація кібератаки спецслужб рф на посольство вигаданої країни НАТО. Схожість тактик, технік та процедур, які використовуються для проведення реальних кібератак на нашу країну та країни НАТО, дала українським командам можливість попрактикуватися та відточити свої вміння оперативного реагування на кіберінциденти.
Також учасники могли перевірити навички командної роботи в середовищі моделювання з високою точністю, яке відтворювало тактику та методи, що використовують ворожі суб’єкти в кіберпросторі.
💬 «Ми раді, що наші команди показали дуже хороші результати, а команда CERT-UA отримала трофей Quantico Cyber Eagle», – зазначив заступник голови Держспецзв'язку Олександр Потій.
Чотири команди Державної служби спеціального зв'язку та захисту інформації України за запрошенням Корпусу морської піхоти США взяли участь у навчаннях з кібербезпеки «Quantico Cyber Eagle», які в кінці березня пройшли на полігоні CYBER RANGES technology у місті Квантіко, штат Вірджинія (США).
Мета заходу, в якому взяли участь 11 команд, – навчання елітних кіберфахівців, здатних проводити сучасні оборонні операції і протистояти розумному і винахідливому противнику.
Такі виклики вимагають від кіберфахівців тренувань у симуляційних середовищах, що відображають загрози, які постійно змінюються.
В основу сценарію лягла імітація кібератаки спецслужб рф на посольство вигаданої країни НАТО. Схожість тактик, технік та процедур, які використовуються для проведення реальних кібератак на нашу країну та країни НАТО, дала українським командам можливість попрактикуватися та відточити свої вміння оперативного реагування на кіберінциденти.
Також учасники могли перевірити навички командної роботи в середовищі моделювання з високою точністю, яке відтворювало тактику та методи, що використовують ворожі суб’єкти в кіберпросторі.
💬 «Ми раді, що наші команди показали дуже хороші результати, а команда CERT-UA отримала трофей Quantico Cyber Eagle», – зазначив заступник голови Держспецзв'язку Олександр Потій.
👍1
Governance | Strategy & Metrics | Create and Promote | L3
Для виходу на третій рівень головним завданням стане зрозуміти, чого вам не достатньо другого, вже ж все добре, нашо ще щось вигадувати. То ж давайте порівнювати.
Якщо головним досягненням рівня 2 має бути наявність у вас погодженої роадмапи AppSec програми, то для третього рівня ваша програма має бути безперервною та гармонізованою із бізнес цілями вашої контори.
Приклади активностей, що мають бути:
- Не рідше одного разу на рік перегляд програми на її "життєздатність". Тобто, чи актуальні її задачі та чи можливо їх виконати у поточних реаліях. Для цього ви маєте повторити усе, що описано у попередніх двох рівнях.
- Уважне слідкування за успішністю реалізації кожного пункту плану. Оцінка успіху виконується на комплексі критеріїв, таких як повнота та ефективність реалізації, бюджетна ефективність та навіть культурний імпакт від ініціативи програми. Ви маєте аналізувати скіпнуті та факапнуті майлстоуни із подальшою оцінкою можливих змін усієї програми.
- Ви маєте дашборди і ви вмієте вимірювати та моніторити імплементацію роадмапи, показуючи зрозумілі для керівництва, девелоперів, вашої бабусі та юристу метрики.
Питання що ви можете задати собі: "Чи передивляюся я та оновлюю План Стратегії для АппСєк програми регулярно?"
Як зрозуміти, що ви досягли третього рівня:
1. Ви переглядаєте план у випадку настання якихось значних змін у бізнесі чи зміні ризик апетиту (так так, у вас має бути оцінка ризик-апетиту).
2. Оновлення пунктів плану включає в себе перегляд плану з усіма стейкхолдерами та оновленням бізнес цілей і стратегії
3. Ви регулюєте план та роадмапу спираючись на отриманий досвід попередніх активностей роадмапи.
4. Ви публікуєте інформацію про прогрес за активностями роадмапи, впевнюючись, що вони доступні усім стейкхолдерам.
Важко, але що робити. Зате круто. Рівень.
#SAMM
Для виходу на третій рівень головним завданням стане зрозуміти, чого вам не достатньо другого, вже ж все добре, нашо ще щось вигадувати. То ж давайте порівнювати.
Якщо головним досягненням рівня 2 має бути наявність у вас погодженої роадмапи AppSec програми, то для третього рівня ваша програма має бути безперервною та гармонізованою із бізнес цілями вашої контори.
Приклади активностей, що мають бути:
- Не рідше одного разу на рік перегляд програми на її "життєздатність". Тобто, чи актуальні її задачі та чи можливо їх виконати у поточних реаліях. Для цього ви маєте повторити усе, що описано у попередніх двох рівнях.
- Уважне слідкування за успішністю реалізації кожного пункту плану. Оцінка успіху виконується на комплексі критеріїв, таких як повнота та ефективність реалізації, бюджетна ефективність та навіть культурний імпакт від ініціативи програми. Ви маєте аналізувати скіпнуті та факапнуті майлстоуни із подальшою оцінкою можливих змін усієї програми.
- Ви маєте дашборди і ви вмієте вимірювати та моніторити імплементацію роадмапи, показуючи зрозумілі для керівництва, девелоперів, вашої бабусі та юристу метрики.
Питання що ви можете задати собі: "Чи передивляюся я та оновлюю План Стратегії для АппСєк програми регулярно?"
Як зрозуміти, що ви досягли третього рівня:
1. Ви переглядаєте план у випадку настання якихось значних змін у бізнесі чи зміні ризик апетиту (так так, у вас має бути оцінка ризик-апетиту).
2. Оновлення пунктів плану включає в себе перегляд плану з усіма стейкхолдерами та оновленням бізнес цілей і стратегії
3. Ви регулюєте план та роадмапу спираючись на отриманий досвід попередніх активностей роадмапи.
4. Ви публікуєте інформацію про прогрес за активностями роадмапи, впевнюючись, що вони доступні усім стейкхолдерам.
Важко, але що робити. Зате круто. Рівень.
#SAMM
Нарешті і в мене з'явилась саксесс сторі із використання OpenAI (ChatGPT) для чогось реально корисного. Зареєструвався я, знач, ще до того, як він зайшов в Україну, але мені не вдавалося весь цей час збагнути нашо воно мені? Народ все більше і більше шаленів, а я тупив. На роботі колеги вже почали накидувати ідеї, як його інтегрувати із Confluence, а я і досі не здогадусь: щоб шо?
Хвиля хайпу не давала спокою, думаю може треба просто четверту версію юзати? Так я купив собі Plus підписку. Не допомогло.
А допомогло одне із найважливіших правил у житті: "Намагайся розуміти для чого ти щось робиш".
Вчора сів писати скрипт на пітоні для перебору деяких значень деякого API і зрозумів, що надто довго не писав код, щоб отак сісти, відкрити PyCharm и зробити щось робоче. Тоді я відкрив блокнот и почав:
І це краще, що траплялося зі мною на роботі починаючи із часів річного бонусу, я просто отримав готовий код, який потребував мінімальних фіксів. З дебагом OpenAI також чудово допоміг, просто віддаєшь йому помилку и виконуєшь рекомендації.
Результат:
1. Задача була виконана без необхідності пригадувати Python, який і до того в мене був не айс.
2. Це було реально швидко
3. Щоб використовувати такий підхід у програмуванні, все одно треба добре знати програмування, але можна не знати конкретну мову.
4. Код все одно буде на рівні скриптів середнього девопса, аж ніяк не сіньор девелопера
#OpenAI #ChatGPT
Хвиля хайпу не давала спокою, думаю може треба просто четверту версію юзати? Так я купив собі Plus підписку. Не допомогло.
А допомогло одне із найважливіших правил у житті: "Намагайся розуміти для чого ти щось робиш".
Вчора сів писати скрипт на пітоні для перебору деяких значень деякого API і зрозумів, що надто довго не писав код, щоб отак сісти, відкрити PyCharm и зробити щось робоче. Тоді я відкрив блокнот и почав:
у змінній for_iterations міститься значення 10…. і так далі ще пару десятків рядків
у змінній domain містить значення "set the domain here"
у змінній URI містить значення "set URI here"
у змінній first_part містить значення 1234ab
у змінній second_part містить значення 567
ці два значення помножуються і від отриманої послідовності рахується хеш sha256, який записується в змінну hash_result
далі формується HTTP GET запит, у якому заголовок HOST дорівнює змінній domain, а сам запит виглядає як результат конкатенації змінних URI та hash_result
І це краще, що траплялося зі мною на роботі починаючи із часів річного бонусу, я просто отримав готовий код, який потребував мінімальних фіксів. З дебагом OpenAI також чудово допоміг, просто віддаєшь йому помилку и виконуєшь рекомендації.
Результат:
1. Задача була виконана без необхідності пригадувати Python, який і до того в мене був не айс.
2. Це було реально швидко
3. Щоб використовувати такий підхід у програмуванні, все одно треба добре знати програмування, але можна не знати конкретну мову.
4. Код все одно буде на рівні скриптів середнього девопса, аж ніяк не сіньор девелопера
#OpenAI #ChatGPT
👍9🔥2
Сьогодні із командою демали одне рішення замовнику. Це було вже друге демо. Після першого замовник попросив зробити друге із фокусом на безпеку.
Розповіли рівно те саме, що й в перший раз. А перед першим ще писали пару раз текстом про конкретні проблеми із безпекою існуючого рішення. Ті ж самі. Детально описували та говорили, як витікає база із чутливими даними. Але нас все одно попросили про друге демо, а значить не почули.
Тепер Замовник, трохи знервований, пішов доповідати "вище" і форсувати якнайскорішу заміну існуючого рішення на більш безпечне.
А що змінилось? Показали наживо як експлоіт відпрацьовує на проді. Ну і просто ще раз наголосили на проблемі. Тепер аж по очах було видно, що нас почули і частина із оглядом графічного дизайну була вже трохи другорядною (зазвичай все навпаки).
Висновки: якщо ви не отримали успіху після першого демо, це не значить, що у вас погане рішення. Це значить, що ви погано донесли інформацію і вона не була сприйнята. В цьому все мистецтво презентацій:
1. Задача: задана інформація має бути в голові слухача
2. Правила: правил немає, донось її як хочеш, аби успішно
3. Якщо інформація не лягла в голову слухача так, як тобі було потрібно, то це не слухач тупий, це ти проїбав завдання.
4. До успішної презентації треба готуватись
Розповіли рівно те саме, що й в перший раз. А перед першим ще писали пару раз текстом про конкретні проблеми із безпекою існуючого рішення. Ті ж самі. Детально описували та говорили, як витікає база із чутливими даними. Але нас все одно попросили про друге демо, а значить не почули.
Тепер Замовник, трохи знервований, пішов доповідати "вище" і форсувати якнайскорішу заміну існуючого рішення на більш безпечне.
А що змінилось? Показали наживо як експлоіт відпрацьовує на проді. Ну і просто ще раз наголосили на проблемі. Тепер аж по очах було видно, що нас почули і частина із оглядом графічного дизайну була вже трохи другорядною (зазвичай все навпаки).
Висновки: якщо ви не отримали успіху після першого демо, це не значить, що у вас погане рішення. Це значить, що ви погано донесли інформацію і вона не була сприйнята. В цьому все мистецтво презентацій:
1. Задача: задана інформація має бути в голові слухача
2. Правила: правил немає, донось її як хочеш, аби успішно
3. Якщо інформація не лягла в голову слухача так, як тобі було потрібно, то це не слухач тупий, це ти проїбав завдання.
4. До успішної презентації треба готуватись
👍11
Forwarded from CyberPeople
Привіт, завтра у нас войс чат 🙋♀️ тема: ринок роботи в сфері кібербезпеки в Україні та світі. Особливості напрямку malware analysis
Наш гість : Олександр Адамов - к.т.н., керівник науково-дослідницької лабораторії NioGuard Security Lab з 15-річним досвідом аналізу кібератак.
https://t.iss.one/cyberpeople?livestream
Наш гість : Олександр Адамов - к.т.н., керівник науково-дослідницької лабораторії NioGuard Security Lab з 15-річним досвідом аналізу кібератак.
https://t.iss.one/cyberpeople?livestream
Початок першої години ночі, дев'яте червня. Щоб трохи легше було очікувати на ракетний обстріл десь через 2-3 години, просто знайте: хтось сьогодні кібер-покурив електронні цигарки біля нацбанку у мордорі, чим перетворив на шматки цегли трохи девайсів Cisco. Ці девайси забезпечували з'єднання центробанку із іншими банками, чим зупинив роботу банківської системи. В цікаві часи живемо. Через 5 років студенти в універах будуть кібербезпеку по цим подіям вчити. І, скоріш за все, в військових універах, як військову дисципліну.
Більше деталей тут: https://t.iss.one/anarchy_squad/819
Більше деталей тут: https://t.iss.one/anarchy_squad/819
👍6❤1
О пів на першу ночі, і це самий час знайти якісь свої старючі, наче твої погляди на морально-етичні норми поведінки із родичами, нотатки про тули, які слід колись спробувати поюзати в роботі. Я забембався, але таки доскролив до найдрівнішої ( 22.01.2019), і там на нас чекав плагін для Chrome, який робить - цитата - "WordPress Vulnerability Scanning and information gathering!". Погнали розбиратися.
Посилання на Github: https://github.com/Tuhinshubhra/WPintel
Посилання у Веб-сторі Chrome: https://chrome.google.com/webstore/detail/wpintel-wordpress-vulnera/mkhmkjcbidkifopffebieonhhkondlfe?hl=uk
Розробник:Tuhinshubhra
Версі: 1.7
Оновлено: 8 березня 2019 р.
А от у гітхабі останнє оновлення 8 місяців тому (рефакторінг, що особливо прикольно, через 4 роки після написання коду). Автор прямо як я із своїми нотатками
Посилання на Github: https://github.com/Tuhinshubhra/WPintel
Посилання у Веб-сторі Chrome: https://chrome.google.com/webstore/detail/wpintel-wordpress-vulnera/mkhmkjcbidkifopffebieonhhkondlfe?hl=uk
Розробник:Tuhinshubhra
Версі: 1.7
Оновлено: 8 березня 2019 р.
А от у гітхабі останнє оновлення 8 місяців тому (рефакторінг, що особливо прикольно, через 4 роки після написання коду). Автор прямо як я із своїми нотатками
👍2
Як працює переважна більшість систем скану безпеки Wordpress:
- перевіряється чи справді сайт на WordPress, чи ні за допомогою переходу по специфічним URI, наприклад "/wp-admin" чи "/wp-content"
- перевіряються встановлені плагіни, бо кожен плагін у цій CMS живе у власній директорії, що доступна за урлом "/wp-content/plugins/plugin-name/". Імена плагінів підставляються спочатку із найпопулярніших, що доступні у WordPress маркетплесі, або ж, якщо є час і нестерпне бажання, то можна брутфорсити ім'я плагіну. Саме брутфорсом можна знайти якісь кастомні плагіни.
- рівно те ж саме виконується із темами (дизайном)
- також можна побрутити через URL імена користувачів, які також відображаються у URI
- ще трохи різних методів, які ви із легкісттю нагуглите.
Плагіни і теми розробляються сторонніми розробниками із гори і є, мабуть, найслабшою ланкою у системі безпеки WordPress, то ж на них максимум уваги.
Щоб встановити версії плагінів та тем достатньо пошукати у знайдених директоріях файли changelog та readme, зазвичай в них все необхідне написано. Знаючи назву та версію плагіну нам залишається лише звернутися до якої-небудь бази даних із відомостями про вразливості.
Поважні компанії, що спеціалізуються на безпеці Wordpress, намагаються вести власні бази. Робота складна, важка та потребує витрат, але від якості бази, яку ви використовуєте, напряму залежить успіх вашого бізнесу із сканів вордпресс. Го перевіремо, чим цей плагін відрізняється від інших, таких як WPScan та ін.
- перевіряється чи справді сайт на WordPress, чи ні за допомогою переходу по специфічним URI, наприклад "/wp-admin" чи "/wp-content"
- перевіряються встановлені плагіни, бо кожен плагін у цій CMS живе у власній директорії, що доступна за урлом "/wp-content/plugins/plugin-name/". Імена плагінів підставляються спочатку із найпопулярніших, що доступні у WordPress маркетплесі, або ж, якщо є час і нестерпне бажання, то можна брутфорсити ім'я плагіну. Саме брутфорсом можна знайти якісь кастомні плагіни.
- рівно те ж саме виконується із темами (дизайном)
- також можна побрутити через URL імена користувачів, які також відображаються у URI
- ще трохи різних методів, які ви із легкісттю нагуглите.
Плагіни і теми розробляються сторонніми розробниками із гори і є, мабуть, найслабшою ланкою у системі безпеки WordPress, то ж на них максимум уваги.
Щоб встановити версії плагінів та тем достатньо пошукати у знайдених директоріях файли changelog та readme, зазвичай в них все необхідне написано. Знаючи назву та версію плагіну нам залишається лише звернутися до якої-небудь бази даних із відомостями про вразливості.
Поважні компанії, що спеціалізуються на безпеці Wordpress, намагаються вести власні бази. Робота складна, важка та потребує витрат, але від якості бази, яку ви використовуєте, напряму залежить успіх вашого бізнесу із сканів вордпресс. Го перевіремо, чим цей плагін відрізняється від інших, таких як WPScan та ін.
Поперше - воно запускається і працює. Схоже оновлення в коді було не спроста, ще подивимось. Плагін швидко розуміє, чт на вордпрессі зроблено сайт, про що сповіщає користувача на панелі зеленою іконкою та готовністтю до скану. Нормально детектить перелік плагінів (скоріш за все прочитав у коді сторінок) та тем,показує перелік користувачів та ще пару речей. То ж йдемо до найоголовнішого - підтягуємо версії та вразливості. І ось тут юай нам показує анімованого павучка і на цьому завершується наша прекрасна подорож. То ж куди він ходить за даними про вразливості? Відповідь знаходиться у рядку 247 у файлі /js/scans.js:
async function check_vuln(version){
/*
TODO: change the domain from dev to pub
FIXED: instead of wpvulndb use my own custom database
*/
show_scanning('../images/crawl_vuln.svg', 'Checking for Version Vulnerabilities...', '4');
// var vuln_ver = version.split(".").join("");
// var vuln_url = 'https://wpvulndb.com/api/v2/wordpresses/' + vuln_ver;
var vuln_url = `https://wpvulns.com/version/${version}.json`;
wpintel_debug('wpvuln url: ' + vuln_url);
var f = await fetch(vuln_url);
if (f.status == 200){
wpintel_debug('got version info from wpvulndb successfully');
var source = f.text();
show_version(version, source);
return;
}
show_version(version, false);Автор переключив роботу плагіну на свій власний домен та свою власну базу, про що, доречі писав у своєму твітері r3dhax0r. Автор живий і досі пише у твітер, навідміну від його БД вразливостей. Тобто, ключовий елемент його бізнес моделі не працює, або виглядає, як непрацюючий, що унеможливлює роботу плагіну.
До речі, у плагіна велика кількість інсталяцій, перехопити цей домен, коли автор завтикає його проплатити вчасно - непогана тема для якоїсь скам-схеми.
Висновки:
1. Тепер ви знаєте дуже поверхнево про базу сканування безпеки вордпресу
2. Також знаєте один неробочий плагін для цього (просто візьміть WPScan)
3. Я викинув один пункт із багаторічного ТуДу-преліку і вбив трохи часу увечері :)
До речі, у плагіна велика кількість інсталяцій, перехопити цей домен, коли автор завтикає його проплатити вчасно - непогана тема для якоїсь скам-схеми.
Висновки:
1. Тепер ви знаєте дуже поверхнево про базу сканування безпеки вордпресу
2. Також знаєте один неробочий плагін для цього (просто візьміть WPScan)
3. Я викинув один пункт із багаторічного ТуДу-преліку і вбив трохи часу увечері :)
👍8
Forwarded from CyberPeople
Поговоримо про такі питання:
⁃ які є елементи кібербезпеки в ІТ-системах
⁃ які завдання бізнес-аналізу включають елементи кібербезпеки
⁃ що бізнес-аналітики можуть робити кожного дня для захисту наших ІТ-систем
⁃ де навчатись та як шукати роботу
Долучитись до ефіру можна буде за посиланням https://t.iss.one/cyberpeople?livestream
⁃ які є елементи кібербезпеки в ІТ-системах
⁃ які завдання бізнес-аналізу включають елементи кібербезпеки
⁃ що бізнес-аналітики можуть робити кожного дня для захисту наших ІТ-систем
⁃ де навчатись та як шукати роботу
Долучитись до ефіру можна буде за посиланням https://t.iss.one/cyberpeople?livestream
Дуже нефіговий бандл книжок та тестів для підготовки до поважних сертифікацій, буде доступний ще 19 днів. Опції: 1, 18 та 25 баксів, тобто є час накопичити) . https://www.humblebundle.com/books/sybex-certification-prep-wiley-books
Humble Bundle
Humble Tech Book Bundle: Sybex Certification Prep by Wiley
Pay what you want for study guides, practice exams, and more ebooks to help prepare for IT certification exams, including CISM, CompTIA A+, and cloud computing.
🔥3
Forwarded from Держспецзв’язку
CERT-UA завдяки співпраці з Recorded Future виявив шпигунську кампанію групи APT28 (BlueDelta) проти українських організацій
❗️Урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA, яка діє при Держспецзв’язку, повідомляє про виявлену кіберзагрозу з боку хакерського угрупування APT28 (також відоме як Pawn Storm, Fancy Bear, BlueDelta).
Встановлено, що шпигунську кампанію намагалися здійснити із застосуванням експлойтів для Roundcube (програмне забезпечення для вебпошти) та за допомогою розсилання електронних листів із актуальними новинами щодо ситуації в Україні.
Зокрема, один із електронних листів з темою «Новини України» був отриманий з адреси «[email protected]» та містив контент-приманку, замаскований під статтю видання «NV» (nv.ua).
Подібні листи були надіслані на адреси більше ніж 40 українських організацій.
Фахівці CERT-UA наголошують, що реалізації загрози сприяло використання застарілої версії Roundcube (1.4.1).
🤝Спроби реалізації кіберзагрози допоміг виявити оперативний обмін інформацією з фахівцями компанії Recorded Future.
💬«Цей кейс – чудовий зразок спільної роботи CERT-UA та міжнародної компанії Recorded Future, що дозволила ідентифікувати інфраструктуру, з якої угруповання АРТ28 здійснювало атаки на українські організації», – зазначив заступник голови Держспецзв’язку Віктор Жора.
Деталі – на сайті Урядової команди реагування на комп’ютерні надзвичайні події України – за посиланням https://cert.gov.ua/article/4905829.
Нагадаємо, кіберзловмисники з угрупування APT28 у квітні намагалися атакувати держоргани України фейковими «оновленнями операційної системи».
❗️Урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA, яка діє при Держспецзв’язку, повідомляє про виявлену кіберзагрозу з боку хакерського угрупування APT28 (також відоме як Pawn Storm, Fancy Bear, BlueDelta).
Встановлено, що шпигунську кампанію намагалися здійснити із застосуванням експлойтів для Roundcube (програмне забезпечення для вебпошти) та за допомогою розсилання електронних листів із актуальними новинами щодо ситуації в Україні.
Зокрема, один із електронних листів з темою «Новини України» був отриманий з адреси «[email protected]» та містив контент-приманку, замаскований під статтю видання «NV» (nv.ua).
Подібні листи були надіслані на адреси більше ніж 40 українських організацій.
Фахівці CERT-UA наголошують, що реалізації загрози сприяло використання застарілої версії Roundcube (1.4.1).
🤝Спроби реалізації кіберзагрози допоміг виявити оперативний обмін інформацією з фахівцями компанії Recorded Future.
💬«Цей кейс – чудовий зразок спільної роботи CERT-UA та міжнародної компанії Recorded Future, що дозволила ідентифікувати інфраструктуру, з якої угруповання АРТ28 здійснювало атаки на українські організації», – зазначив заступник голови Держспецзв’язку Віктор Жора.
Деталі – на сайті Урядової команди реагування на комп’ютерні надзвичайні події України – за посиланням https://cert.gov.ua/article/4905829.
Нагадаємо, кіберзловмисники з угрупування APT28 у квітні намагалися атакувати держоргани України фейковими «оновленнями операційної системи».
🔥3👍1