Опубликовал на SecurityLab очередную статью про рекомендации Vulnerability Disclosure Working Group в части создания на каждом сайте раздела /security, который является демонстрацией компанией или организацией своего стремления защитить своих клиентов и свои активы от различных посягательств.
Адрес статьи- http://www.securitylab.ru/contest/302888.php
По-моему, "так нам велит НИАК" (ИСО, НИСТ, НАСА, ПАСЕ) в соседстве с "не верьте западным оракулам" выглядит странно ;)
ОтветитьУдалитьБолее ожидаемым был заход через профит, например "наметилась такая тенденция, это солидно и удобно, прошла даже унификация" (если уж нужно показать Cisco в авангарде) и т.д.
А вообще, конечно, впервые в Рунете поднята тема внешнего интерфейса службы ИБ (даже Б), т.к. с уязвимостями, ссылками и рекомендациями и блогами это уже действительно интерфейс, а не контакт для инцидент-рипортинга - пока из наших служб ИБ ничего не исходило, только входило.
Кстати, это еще и своеобразный индикатор роли_безопасности_в_бизнесе: в AT&T и HCBS, поди, структуру сайта тоже первые лица согласовывают.
Ну ты немного не прав. Я не говорил "не верьте западным оракулам". Особенно, коль скоро, я работаю в одном из них ;-) Я говорил "верьте, но обдуманно". Это, согласись, немного другая точка зрения.
ОтветитьУдалитьИ я также не говорил "так велит NIAC" ;-) Он так рекомендует. И его рекомендация вполне логична и понятна. Почему бы ей не воспользоваться? А уж пользоваться или нет - всегда остается на совести предприятия.
> его рекомендация вполне логична
ОтветитьУдалить> и понятна. Почему бы ей не
> воспользоваться
Разумеется.
Я всего лишь усомнился, стоило ли начинать статью со ссылки на NIAC, а не в том, стоило ли его упоминать.
Т.е. заходить через авторитет, а не через пользу.
А почему бы и нет ;-) Тем более, что изначально я статью писал про другое ;-) Даже не так. Была задумка на 3 статьи. Первая про NIAC. Вторая про slash security. Третья - результаты тестирования российских сайтов slash security. Потом оказалось, что с третьей статьей облом - ни одного сайта не нашел. Поэтому я и совместил первые две статьи ;-)
ОтветитьУдалитьЭто и так заметно: адресованность тем, КТО нашел дыру, обусловлена переделкой под секлаб, а содержание писалось для тех, У КОГО имеется неиспользуемая возможность для улучшения.
ОтветитьУдалитьНа чем, кстати, и возникли непонятки у части комментаторов.