СОИБ. Аналитика. Исследования в области ИБ
На прошлой неделе опубликована
информация о нескольких исследованиях.
Одно из них – отчет об исследовании безопасности Oracle Siebel CRM от компании Positive Technologies.
Из отчета можно понять, что
ребята исследовали какую-то версию Oracle CRM в какой-то организации. Но что значат
эти 6 найденных уязвимостей? Это хорошо или плохо? Система безопасна? Система Oracle CRM безопасна
при каких условиях? Система безопасна Oracle CRM при установленном кумулятивном патче?
Исследование – это, по
определению, систематическое рассмотрение, изучение чего либо. А для этого в
отчете не хватает:
·
определения проблемы, определение целей и задач исследования
·
описания объекта обследования – какая система,
какие компоненты, работающая система или в вакууме, с настройками по умолчанию
или с реальными настройками заказчика
·
методологии исследования - описание методов, которые использовались для
изучения (внешнее сканирование, ффазинг, анализ исходного кода, анализ настроек)
·
выводов и рекомендаций по результатам
исследования
Может быть в новости не надо
было это называть исследованием?
PS: Кстати такие работы проводятся бесплатно или это заказ от вендора или это в рамках программы bug bounty?
PPS: А вот новость про поддержку ERP систем в MaxPatrol – интересная. Я бы почитал или послушал подробнее, как именно они поддерживаются? Проверка наличия обновлений или есть анализ конфигурации?
PPS: А вот новость про поддержку ERP систем в MaxPatrol – интересная. Я бы почитал или послушал подробнее, как именно они поддерживаются? Проверка наличия обновлений или есть анализ конфигурации?
Второй отчет опубликовал аналитический Центр InfoWatch – он посвящен анализу статистики утечек ПДн в 2013 году
Вот в этом отчете системный
подход налицо – есть и определение проблемы и методология и выводы. Ниже
привожу наиболее интересные результаты:
Доля утечек ПДн в общем числе
утечек
Распределение утечек по каналам
Распределение утечек по источнику. (Хм. На банковском форуме приводили статистику, в которой руководитель был виновен в 50% инцидентов)
Комментарии