NK
Size: a a a
2019 January 27
NK
AS
Alexey Lukatsky
Никто не мешает добавить в MITRA ATT&CK свое - они только рады контрибуторам
Или не контрибьютить если есть сомнения и боязнь 275 УК РФ, а сделать свой локальный форк
NK
Популярная дырка в eqnedt32 недавно тоже rtf прилетали.
AL
ID:673484512
Ну ок. А то может им выгодна винда. Eqution group они например не особо расписали, в отличии от фанси бир. Методы родного анб палить не с руки.)
Что тоже никто не мешает восполнить 🙂
2019 January 28
AS
Robot Security Framework (RSF) – Методология проведения оценки защищенности роботов, от испанской компании Alias Robotics
Robots have gained relevance in society, increasingly performing critical tasks. Nonetheless, robot security is being underestimated. Robotics security is a complex landscape, which often requires a cross-disciplinar perspective to which classical security lags behind. To address this issue, we present the Robot Security Framework (RSF), a methodology to perform systematic security assessments in robots. We propose, adapt and develop specific terminology and provide guidelines to enable a holistic security assessment following four main layers (Physical, Network, Firmware and Application). We argue that modern robotics should regard as equally relevant internal and external communication security. Finally, we advocate against "security by obscurity". We conclude that the field of security in robotics deserves further research efforts.
https://arxiv.org/pdf/1806.04042
Напомню, в декабре они опубликовали инструмент для обнаружения роботов Aztarna (a footprinting tool for robots) и результаты его использования в Интернет
https://arxiv.org/abs/1812.09490
Robots have gained relevance in society, increasingly performing critical tasks. Nonetheless, robot security is being underestimated. Robotics security is a complex landscape, which often requires a cross-disciplinar perspective to which classical security lags behind. To address this issue, we present the Robot Security Framework (RSF), a methodology to perform systematic security assessments in robots. We propose, adapt and develop specific terminology and provide guidelines to enable a holistic security assessment following four main layers (Physical, Network, Firmware and Application). We argue that modern robotics should regard as equally relevant internal and external communication security. Finally, we advocate against "security by obscurity". We conclude that the field of security in robotics deserves further research efforts.
https://arxiv.org/pdf/1806.04042
Напомню, в декабре они опубликовали инструмент для обнаружения роботов Aztarna (a footprinting tool for robots) и результаты его использования в Интернет
https://arxiv.org/abs/1812.09490
DD
Для подобных экспериментов мало прийти, надо хорошенько заранее подготовить инфраструктуру и тесты
Это очевидно Антон. Ты к чему?
AS
Dmitry Darensky
Это очевидно Антон. Ты к чему?
К тому что "вот вам стенд, вот вам специалисты (или прохожие) которые будут его тестировать (атаковать), вот вам два дня" - не полноценное тестирование
DD
А кто говорит о полноценном тестировании? Речь о том, что предоставляется площадка для того чтоб испытать свой продукт в условиях, приближенных к реальным. А не с помощью синтетических тестов, как например на том же S4.
AS
Dmitry Darensky
А кто говорит о полноценном тестировании? Речь о том, что предоставляется площадка для того чтоб испытать свой продукт в условиях, приближенных к реальным. А не с помощью синтетических тестов, как например на том же S4.
Мы говорили о полноценном тестировании, с "синтетическими" тестами как MITRE ATT&CK Evaluations (техники реальней не куда, из реальных инцидентов). А, опять же, на PHD, всего 2 дня и случайные тестирующие - это мягко говоря не совсем условия приближенные к реальным. Да, это шоу, но не эффективное тестирование. "За два дня, никто из команд/прохожих не смог сломать, значит система защищённая" - мягко говоря преувеличение
DS
Антон, ну никто такого не говорит
DS
Представляют площадку случайным командам потренироваться как в защите, так и в нападении
AS
Представляют площадку случайным командам потренироваться как в защите, так и в нападении
Это здорово. Я не спорю. Но для качественного тестирования продукта это недостаточно.
DS
Я пытаюсь сказать, что никто и не позиционирует это, как качественное тестирование продукта
DS
Но для ситуации успешной атаки, кстати, это репрезентативная ситуация
DS
Обратное неверно, согласен
DS
Но повторюсь, ты приписываешь организаторам позиционирование, которое они не продвигали
DS
Это полигон, учения
AS
Ничего я не приписываю. Просто в контексте обсуждение тестирования эффективности защиты, появилось предложение сделать на PHD. Я просто обратил внимание на особенности такого тестирования. Вот и все