Сообщения

Сообщения за май, 2019

ИБ. Перспективы банка уязвимостей ФСТЭК на PHDays

Изображение
С ФСТЭК в секции на PHDays 2019 обсуждали вопросы уязвимостей с техническим ИБ сообществом. Показали статистику за последние годы – 2х кратный рост в год.   В середине прошлого года ФСТЭК опубликовали регламент раскрытия уязвимостей . Это не обязательный документ, но в общем он показывает типовой сценарий действий участников раскрытия уязвимостей. При необходимости и обосновании сроки могут продлеваться. Более плотную работу с вендорами начали именно после принятия регламента. Сейчас есть более 60 уязвимостей «нулевого дня» по которым вендоры долго не реагируют – в ближайшее время будут публиковать без отработки вендором (в урезанном объёме). ФСТЭК жаловался, что в 2016 году разработали стандарт по безопасной разработке, а к 2019ому можно по пальцам пересчитать количество компаний, задекларировавших его применение. В рамках обсуждения от участников звучали идеи: ·        указать на сайте ФСТЭК контактов вендоров для оперативной связи при обнаружении информац

ИБ. Обзор защищенности российских web сайтов

Изображение
Пару недель назад обновилась до версии 1 достаточно интересная утилита wafw 00 f . Она позволяет определить каким межсетевым экраном уровня приложения ( web application firewall или WAF ) защищен web сайт. Поддерживается 112 WAF . Принцип работы достаточно простой, работает быстро: ·          Отправляем нормальный http запрос ·          Отправляем несколько заведомо подозрительных http запросов, которые WAF (если присутствует) обязан заблокировать ·          По реакции (код ошибки, заголовки, изменение версии web сервера) web сервера / WAF пытаемся определить какое средство защиты используется. Необходимость применения WAF для защиты важных web ресурсов уже давно осознаны , в БДУ ФСТЭК России есть много угроз для web , справится с которыми поможет только WAF , в системе сертификации есть отдельный класс МЭ уровня приложений и даже 3 сертифицированных решения типа Г. Было интересно посмотреть какая сейчас статистика использования WAF для защиты российских