tag:blogger.com,1999:blog-4065770693499115314.post8980734864541263047..comments2023-10-02T12:01:53.774+03:00Comments on Бизнес без опасности: НДВ, SDLC, fuzzing и всякое такоеАлексей Лукацкийhttp://www.blogger.com/profile/08434361034703403028noreply@blogger.comBlogger33125tag:blogger.com,1999:blog-4065770693499115314.post-15271565736997740212012-12-11T12:11:23.192+04:002012-12-11T12:11:23.192+04:00С одной разницей - я пошумел тогда на ПТ (был пово...С одной разницей - я пошумел тогда на ПТ (был повод и не один) и забыл, а ты до сих пор забыть не можешь.<br />Ладно мир :)<br /><br />А Руст, прав да. Этот рынок надо формировать. Другое дело, а может ли он в принципе быть сформирован и если да, то в каком виде. Тут большой вопрос.<br /><br />ilyahttps://www.blogger.com/profile/03725968169477739298noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-75227483751994353592012-12-11T11:42:46.563+04:002012-12-11T11:42:46.563+04:00Давайте давайте - жду всех в Питере !Давайте давайте - жду всех в Питере !Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-35930445092859039682012-12-11T11:41:41.016+04:002012-12-11T11:41:41.016+04:002 Евгений Родыгин: тем более есть тема встретиться...2 Евгений Родыгин: тем более есть тема встретиться :). Рустэм Хайретдиновhttps://www.blogger.com/profile/08344801975226334179noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-15153478304458481112012-12-11T10:40:15.918+04:002012-12-11T10:40:15.918+04:002 Рустэм:
"сначала покупают продукты, а пото...2 Рустэм:<br />"сначала покупают продукты, а потом уже рисерчи"<br /><br />- очень правильное и очень важное замечание! При разработке поделки так же нужно учитывать ее дальнейшую нишу. Но у нас не просто сначала продукт! <br />У нас продукт под проект за чужие деньги! Есть идеи, есть начатые разработки, но они в начале забуксовали пока денежка не капнет...Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-14022909107150019662012-12-11T07:09:40.059+04:002012-12-11T07:09:40.059+04:00Илюха, ты так ничего и не понял. Если вспомнить, т...Илюха, ты так ничего и не понял. Если вспомнить, то мое противостояние началось с одного события - ты начал поливать говном позитивщиков в LI. Сначала с PHD, потом с отчетом по АСУ ТП. Ты обвинял их в говнопиаре, некомпетенции и т.д. И только после этого я стал "наезжать" на тебя. Причем ты сам использовал ровно теже самые говнопиарские технологии, в использовании которых ты обвинял Позитив. Я тебе на это и указал - не более. <br /><br />Никто инженеров не унижал и обвинял в ненужности. Этого ничего не было и нет. Я прекрасно понимаю, что они делают, что вы делаете и т.д. И вы молодцы, что делаете то, что вы делаете. <br /><br />Только не надо себя превозносить над всем миру, за счет наездов на конкретную компанию. Просто превозносить? Пожалуйста. Писать о своей крутости? Пожалуйста. Писать, что все в говне, я один во фраке? Пожалуйста. Только без перехода на личности ;-)<br /><br />Что касается того, что я ни слова плохого не сказал про Позитив, то опять же потому, что они-то молчат про вас и на публику не выносят сор, и публично себя с вами не сравнивают. Они делают свое дело, вы свое. Если бы они стали публично наезжать на вам и им бы досталось, но они себе такого не позволяют. Что же касается моего отношения с ними, то у меня с ними были терки гораздо серьезнее (несколько лет назад). Просто это уже забылось ;-)<br /><br />Вот собственно и все ;-)Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-89804686454257835702012-12-11T06:41:18.311+04:002012-12-11T06:41:18.311+04:00Таки да, я заТаки да, я заАлексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-28659870227681790702012-12-11T04:01:42.999+04:002012-12-11T04:01:42.999+04:00Раз меня тут помянули, я встряну. Я половины не по...Раз меня тут помянули, я встряну. Я половины не понимаю на ваших конфах. И РД я не читал, что мне в нос тычут регулярно.<br /><br />Но я немножечко умею слушать клиентов по обе стороны океана. Слышно следующее - не SDLC (это частность), а целиком Custom Build Application Security будет NEXT BIG THING в Enterprise Security. Уже в 2013 году на эту тему в России потратят миллиард рублей - я в курсе большинства больших проектов, я этим на жизнь зарабатываю. Это, минуточку, больше, чем на весь DLP. Ни в одной крупной компании нет даже программы по Application Security - более пустого рынка я никогда не видел - 86% компаний с количеством компьютеров более 1000 имеют в штате программистов и только 7% из них (то есть 6% от опрощенных) используют какие-либо технические меры по контролю кода. <br /><br />Я однажды сделал с нуля целую отрасль в ИБ России. Не в одиночку и не на свои деньги, но сделал. Это DLP. Я понимаю, как делаются новые рынки, и я уже начал это делать с Application Security, учитывая наши ошибки с DLP - работу с регуляторами, учебные курсы, отчеты, PR всей темы, ну и продажи софта и сопутствующего консалтинга.<br /><br />Если мы не будем меряться пиписьками, и ждать, что кто-то для нас разовьет рынок, то денег и славы на этом поприще хватит всем. Специфика Enterprise Security в России такова, что, нравится вам это или нет, сначала покупают продукты, а потом уже рисерчи. Позитивы этому отличный пример. <br /><br />Если хотите - можно собраться в январе и под коньяк с сигарами обсудить перспективы на этом рынке. Можно создать маленький, но очень эффективный союз по формированию рынка под себя. Почти каждому из писавших я уже делал предложения, но раз вы сами подняли тему - почему бы и не встретиться всем - время сэкономим. Роли понятны - у кого регуляторы, у кого рисечи, у кого креатив. Trust me, I did it once.Рустэм Хайретдиновhttps://www.blogger.com/profile/08344801975226334179noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-20075248922534585792012-12-11T01:31:36.941+04:002012-12-11T01:31:36.941+04:00Женя, ну типа того :)
А если вернуть в обраточку, ...Женя, ну типа того :)<br />А если вернуть в обраточку, то Лешка, сейчас стоя один весь такой красивый "во фраке", буквально на пустом месте "облил дерьмищем" всех наших бедных, забитых и таких классных вендоров и долго "ныл" и "балоболил" про то как все у нас плохо, не предложив "ничего" рынку и не указав путь в светлое будущее. Леша, ну как же ты так не хорошо а :).<br />Вот ровно так по такому сценарию у нас последнее время строятся все "беседы" - именно это я слышу в ответ на любую свою самую невинную шутку или критику кого-либо. Прикольная позиция - возьму на вооружение :)ilyahttps://www.blogger.com/profile/03725968169477739298noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-46666316397538407872012-12-10T23:22:47.828+04:002012-12-10T23:22:47.828+04:002 ilya:
- Нет, не видишь...
- Нет, не получится......2 ilya:<br />- Нет, не видишь...<br />- Нет, не получится...Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-17652084190048165722012-12-10T23:16:30.471+04:002012-12-10T23:16:30.471+04:00Забыл добавить в заключение. Все что ты написал пр...Забыл добавить в заключение. Все что ты написал про SDLC и наших отечественных вендоров - подписываюсь под каждым твоим словом.<br />Хотя я вижу вариант выхода из этой ситуации. Так что может и доживем :).ilyahttps://www.blogger.com/profile/03725968169477739298noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-19671427423358141882012-12-10T18:54:00.728+04:002012-12-10T18:54:00.728+04:00tinyurl.com/b4qaybu
А здесь в линкедине мы продолж...tinyurl.com/b4qaybu<br />А здесь в линкедине мы продолжили этот разговор, развив тем самым тему круглого стола на ZeroNights 2012 "Ресечеры vs Разрабы". Хорошо поговорили. Доступно. Присоединяйтесь.ilyahttps://www.blogger.com/profile/03725968169477739298noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-74892349846953494752012-12-10T12:10:10.098+04:002012-12-10T12:10:10.098+04:00В общем резюме.
Давайте заканчивать распри и прот...В общем резюме. <br />Давайте заканчивать распри и противопоставления между законниками и технарями. Оставь обвинения и давай переходить к конструктиву. Иного пути нет.<br />В частности если есть претензии/пожелания к ZN - ок, велкам - высказывай, советуй. Это открытая для всех конференция и к ее оргам может примкнуть каждый.ilyahttps://www.blogger.com/profile/03725968169477739298noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-13399736433349923912012-12-10T11:32:21.417+04:002012-12-10T11:32:21.417+04:00Продолжим.
Откуда такое неуважение к тяжелому инже...Продолжим.<br />Откуда такое неуважение к тяжелому инженерному труду и тяжелейшим попыткам без поддержки законодателя привлечь внимание рынка к техническим аспектам защищенности на напрочь забюракратизированном рынке, забитым по уши ПД и иже с ними, где такими темпами скоро ничего не останется кроме бумажной безопасности??? И где в итоге реально страна будет поставлена перед угрозой технологической катастрофы пока все пишут бумажки и занимаются комплайнсом.<br />Откуда это неуважение к технарям с твоей стороны при уважении с другой?? Хотя, конечно, вся молодежь, технари, хакеры вас (бумажную безопасность в целом) не уважают и уже тихо или громко ненавидят (пример из недавних- Солдатов) в этом причина? Обида говорит или что? Или просто банально внезапно появившаяся вдруг нелюбовь к дсек, когда "эпическая" пхд - это ок, а достаточно скромно "знаковая для индустрии" ZN - это вдруг не ок - если так, то понимаю, вопрос про неуважение к технарям-хакерам в целом снят. Но я то понимаю всю важность вашего мира; пойми и ты важность нашего - нам надо идти вместе.<br />Так давайте уважать труд друг друга и работать вместе. Ведь ситуация крайне опасна - эти два мира: бумажный и технический расходятся все дальше, антогонизм растет. Все это кончится плохо, если не принять мер. Как первый шаг, хотя бы элементарно научиться уважать труд друг друга.<br />Давай сближать миры и хватит уже сориться на пустом месте. Этим мирам нечего делить.<br />Хочешь про Хакеры vs Законники можно на линкдедине поговорить. Тема важная. И пропасть непонимания растет.ilyahttps://www.blogger.com/profile/03725968169477739298noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-21060721443576858932012-12-10T11:31:57.548+04:002012-12-10T11:31:57.548+04:00Такое ощущение, что мы с тобой живем вообще в пара...Такое ощущение, что мы с тобой живем вообще в параллельных мирах. Разговор слепого с глухонемым.<br />Однако есть одно отличие. Мы твой мир "бумажной" безопасности знаем и замечаем и уважаем все что вы делаете и что делаешь конкретно ты; ты же нашим миром технической безопасности (хакерским миром) упорно не интересуешься и в упор не хочешь замечать какие-либо активности этого мира. По крайней мере наши, то есть DSEC. И это уже не смешно.<br />Мы не развиваем индустрию? Ты о чем?? Что за постоянный пардон бред про балобольство? Если не знаешь, не интересуешься - ну хоть спроси, расскажу.<br />Берем срез за последние 4-5 лет.<br />Исследования, постоянные выступления (РФ, запад), новости, книга от 07-08гг года "Oracle глазами аудитора" (в задолго до этого, кстати, легндарная "Атака на Интернет"), поддержка портала pcidss.ru, организация и проведение в год двух конференций: PCI DSS Russia (банковская) и знаковая хакерская ZeroNights, помощь в написании руководящих технических документов ФСТЭК и тд. И много кого ты знаешь, кто делает здесь больше? И кто здесь балобол?? И шевелим и развиваем мы его не только для себя - кто угодно может воспользоваться этими плодами. ZN - это не пхд - прежде всего задуманная как день открытых дверей для клиентов пт (это не значит, что пхд плохая - она просто другая); zn напрямую нам ничего не дает кроме пока прямых финасовых убытков - там нет наших клиентов и нашим сейлам там нечего делать. Это, во многом, миссионерство и развитие рынка для всех. <br />Поэтому извини, но я устал слышать этот бред про балобольство или это на воре шапка горит?<br />Слезай уже с этого своего нового конька "хватит критиковать -давайте делать" - это оттуда звон? Он ну никак не про нас, это скорее про бумажников в силу их специфики - уж больно просто там побалоболить -велик соблазн; а у нас иди побалоболь на блекхате перед хакерами, ага. Я же не говорю и даже в мыслях не держу, что ты "балобол", "один во фраке", "обливал дермищем" и др. твои последние эпитеты :), хотя ты тоже много ругаешь (и в основном всегда ругал и справедливо ругал, что характерно) по своей теме и следов и реальных плодов твоего труда не так просто отыскать. Где, кстати, твои книги и конфы по ПД - попробуй организуй конфу уровня ZN или пхд с циклом подготовки в 6 мес и бешенной трудоемкостью для кучи людей. Но я же прекрасно понимаю, как все там не просто и ценю, как и все мы, твои усилия в этой области. Откуда же такое полное неуважение к нашему труду, который, мягко говоря, по определению ГОРАЗДО (на МНОГИЕ порядки) более наукоемкий и трудоемкий, чем твой: технологии, это не бумажная безопасность, где можно просто проанализировать закон на n страниц (я не говорю, что это просто; я утверждаю, что это не сравнимо по трудоемкости и сложности). Откуда такое неуважение к zn и пхд - которые как оказалось незнаковые события (в мире бумажной безопасности однозначно, не спорю) и не влияют на индустрию ИБ (ты сказал так про зн, а пхд брат близнец, так что пхд я уже добавил сам).<br />Не находишь все это странным? <br />ilyahttps://www.blogger.com/profile/03725968169477739298noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-2191856545194050992012-12-10T05:45:31.769+04:002012-12-10T05:45:31.769+04:00Илюха, когда некто поднимает волну "все говно...Илюха, когда некто поднимает волну "все говно, один я во фраке", от него ждут ХОТЯ БЫ конкретного списка мер, чтобы все вылезли из говна. Еще лучше, когда этот некто предпринимает сам усилия вытащить все и всех из говна. Т.е. Он не только балаболит, но и что-то пытается делать. ДЕЛАТЬ - это ключевое условие. Делать не для себя или своего бизнеса, но и для других. Если же делать ничего не хочется, то и лучше и волну не поднимать - зачем каждый раз напоминать всем, что они в говне?..Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-46796252197689527412012-12-09T22:04:59.682+04:002012-12-09T22:04:59.682+04:00Пошутил, понимаю.
Но если серьезно, то ты о чем, ...Пошутил, понимаю. <br />Но если серьезно, то ты о чем, кстати? Что именно ты ждал? Каких еще конкретных дел? Что нужно еще делать и с какой целью?<br />Казалось бы, что и так действия вполне себе конкретные и последовательные ... По крайней мере как мы себе это видим.<br />Хотя, конечно, нет предела на пути к совершенству и много тут никогда не бывает.ilyahttps://www.blogger.com/profile/03725968169477739298noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-52753577785463299902012-12-09T19:02:44.883+04:002012-12-09T19:02:44.883+04:00Ну то есть опять в воду пузырей напускали... До ко...Ну то есть опять в воду пузырей напускали... До конкретных дел дело опять не пошло ;-) Примерно так я и предполагалАлексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-73571477347023473902012-12-08T11:23:00.709+04:002012-12-08T11:23:00.709+04:00А что касается про "плакаться", то мы то...А что касается про "плакаться", то мы то тут работаем и активно развиваем отрасль (техническую ее часть) как можем. Плакаться не наш метод. Но то что отрасль в глубокой Ж по отношению к западу - это да, факт. И мы этот факт отмечаем, не более того. И это нормально - адекватно без розовых очков оценивать то место, где находится наша отрасль. Дорогу осилит идущий - работать надо, компетенции развивать, западный опыт перенимать, идти на запад, делать конкурентные на западе продукты и предлагать там услуги. И переносить все это к нам.ilyahttps://www.blogger.com/profile/03725968169477739298noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-47962600278418399602012-12-08T11:14:21.850+04:002012-12-08T11:14:21.850+04:00Говоря про рынок, которого нет, я имел в виду, что...Говоря про рынок, которого нет, я имел в виду, что у нас нет рынка SDLC, где услуга (анализ архитектуры, аудит кода, пентест приложения и тд) предлагается непосредственно вендору. У нас этот рынок в целом в начальной стадии, когда можно условно считать, что заказчик вместо вендора вынужден за свой счет проверять свои приложения и он находится на последнем этапе цикла. Хотя так может быть и при нормальном SDLC, причем во многих случаях.<br />В теории то да, все выглядит красиво, но у нас она как всегда разбивается о практику. И кажется что ой это новый рынок. Ничего нового на самом деле - все старое. Хотя дорогу осилит идущий и мы пропагандой в том или ином виде SDLC (все равно на стороне вендора или кастомера) занимаемся последние лет 5. Просто в SDLC у вендора в РФ я не верю - нет у нас вендоров уровня SAP, Oracle, Майкрософт и тд и не будет. А мелким это не потянуть. Тем более при наличии кастом билдов под заказчиков, например, как в ДБО - это вообще нереально.<br /><br />Так что резюмирую - ничего нового тут в SDLC нет, как нет и нового рынка. Просто в наших реалиях аудит защищенности выполняется всегда на стороне заказчика и за его счет и все. ilyahttps://www.blogger.com/profile/03725968169477739298noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-46726040034722070042012-12-08T11:00:34.589+04:002012-12-08T11:00:34.589+04:00Лех, мы все так или иначе конъюктурщики - это норм...Лех, мы все так или иначе конъюктурщики - это нормальный способо выжить - приспосабливаться. Не обижайся)<br />А по теме - то чем DSEC занимается и что так активно продвигает на рынке СНГ последние 5 лет (аудит защищенности приложений) - это и есть неотъемлимая часть SDLC.<br />А в остальном рынка этого в РФ нет и не предвидится. Руст СОВЕРШЕННО прав, делая свой поляроид. Потому что бодаться с тяжелыми решениями нет смысла (технологически их повторить дорого и сложно), да и в РФ кому они нужны. А для РФ его бизнес модель совершенно правильная. Именно потому, что у нас нет больших вендоров кому нужно SDLC (и вообще вендоров, кому это нужно)<br />Сейчас аудит приложений у нас это на 100% проблемы кастомеров - они заказчики, а у них кода обычно нет, если только они сами не разрабы.<br />Так что тут мы и работаем по полной - на рынке кастомеров. Просто не кричим, что это часть SDLC - кастомерам это все равно - они не часть SDLC и им все равно что такое SDLC ilyahttps://www.blogger.com/profile/03725968169477739298noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-46403798779394889112012-12-08T06:21:08.102+04:002012-12-08T06:21:08.102+04:00Александр, "двигать" - это планомерная р...Александр, "двигать" - это планомерная работа, а не от ZN к ZN. Нужны статьи, блог, Twitter, мастер-классы, eLearning, книжки и т.п.<br /><br />Никто не спорит, вы делаете нужное дело. Но его мало. К тому же у вас аудитория немного иная, чем должна быть. Надо расширять и углублять. И партнерится с другими.<br /><br />Только Илью не подпускайте к этому делу, а то он всех обольет говнищем и навесит всем ярлыков "теоретиков" и "конъюнктурщиков". С ним после этого вообще перестанут общаться в приличном обществе. Останется только эмигрироватьАлексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-15659235950260378712012-12-08T06:17:02.662+04:002012-12-08T06:17:02.662+04:00Илья, кто плачется везде, что отрасль отстала? Вот...Илья, кто плачется везде, что отрасль отстала? Вот и двигай, а не навешивай ярлыки на всех. Не хочешь двигать, лучше вообще молчать. А то болтуном будут звать.Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-15440439123144236712012-12-07T19:59:19.753+04:002012-12-07T19:59:19.753+04:00Забыл добавить про аперкат. У Рустэма это, как он ...Забыл добавить про аперкат. У Рустэма это, как он сам говорит, простой и дешевый поляроид, а не дорогая и крутая зеркалка. То есть сервис для быстрого неглубокого сканирования кода. Его задача горизонтальное расширение (увеличение числа языков). А большим разрабам нужно в SDLC (и крупные вендоры их и используют) решения с глубоким и серьезным анализом кода в каждом из используемых ими языков (в терминологии Руста сложные зеркалки). <br />Поэтому, как я понимаю, для SDLC аперкат не подходит в принципе - это или фортифай и др. аналогичные "тяжелые" продукты для глубокого анализа. Аперкат скорее для мелких разрабов или тех, кто хочет быстро и дешево найти базовые проблемы в своем софте. А если хочешь копать глубже - то велкам в спец. средства. По крайней мере пока так. Но Руст молодец полюбому - у нас мало кто делает нормальные современные продукты.ilyahttps://www.blogger.com/profile/03725968169477739298noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-25905835996260170802012-12-07T19:31:50.491+04:002012-12-07T19:31:50.491+04:00Какой поднять флаг SDLC? Вы о чем? Леша ж сугубо т...Какой поднять флаг SDLC? Вы о чем? Леша ж сугубо теоретик. А практика проста - нашим разрабам не до SDLC - это прерогатива крупных вендоров (да и то не всех). У нас что есть крупные разрабы? Вы о чем вообще?ilyahttps://www.blogger.com/profile/03725968169477739298noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-23635862244629343282012-12-07T18:49:10.060+04:002012-12-07T18:49:10.060+04:002 Alexander Polyakov
ИМХО нужен некий каркас, в ко...2 Alexander Polyakov<br />ИМХО нужен некий каркас, в который уже встраивать методы... На данный момент, когда заходит речь о каркасе либо произносится набор АБРЕВИАТУР или заходит речь о неких продуктах.<br />Попытки продавить некий каркас - плохо воспринимается, но его не так сложно сделать!<br />Второй вопрос, как расшевелить рынок - только преимуществами...Anonymousnoreply@blogger.com