Size: a a a

ЦАРКА PUBLIC CHAT

2020 April 23

O

Oleg in ЦАРКА PUBLIC CHAT
Ro Man
security awareness, конечно, очень дешевый процесс для реализации, но учитывая разные менталитеты — не везде эффективный. И люди продолжают использовать рабочую почту и те же пароли, которые потом можно на том же haveibeenpwnd посмотреть
100% гарантии никто и не дает, задача всех мер - повысить процент тех, кто с меньшей вероятностью поведется на базовые уловки атакующих
источник

RM

Ro Man in ЦАРКА PUBLIC CHAT
Nfmka
отслеживать письма о регистрации
ну да, ESA любая
источник

М

М in ЦАРКА PUBLIC CHAT
Nfmka
Технически это как раз можно мне кажется, я незнаю есть ли такой инстурмент только. Почта то вся все равно проходит через длп банковский
длп на исход настраивается
источник

RM

Ro Man in ЦАРКА PUBLIC CHAT
А - Я
Как эксплуатировать логин и пароль 10-летней давности? Никто не спорит, что если сотрудник использует свой емайл для регистрации на сторонних web ресурсах, то это инцидент ИБ. Но ваша методика, как я понял, не позволяет выявить свежие утечки, зачем её использовать?
так, я тут не причём. Не моя методика
источник

М

М in ЦАРКА PUBLIC CHAT
Ro Man
ну да, ESA любая
прям любая? ) а если регистрация без подтверждения?
источник

N

Nfmka in ЦАРКА PUBLIC CHAT
А - Я
Как эксплуатировать логин и пароль 10-летней давности? Никто не спорит, что если сотрудник использует свой емайл для регистрации на сторонних web ресурсах, то это инцидент ИБ. Но ваша методика, как я понял, не позволяет выявить свежие утечки, зачем её использовать?
Так я и предложил один из вариантов, во втором отчете уже сравнить старые и новые утечки и выдавать только разницу. В след году учитывать только свежие утечки
источник

O

Oleg in ЦАРКА PUBLIC CHAT
М
длп на исход настраивается
Ну хз, на самом деле - все равно не считаю, что имейл (без пароля, ессно) - реально критичная инфа. Их и пробрутить можно, если на то пошло, и из одного - сделать кучу. Определяем правила генерации -> узнаем имена сотрудников - > профит!
источник

O

Oleg in ЦАРКА PUBLIC CHAT
М
длп на исход настраивается
Это не Вам, извините.
источник

N

Nfmka in ЦАРКА PUBLIC CHAT
я еще хочу в следующем году запросить у банков разрешение просканировать их сайты. Кто не даст добро - так и указывать, что отказались от аудита и в конец списка.
источник

М

М in ЦАРКА PUBLIC CHAT
я вот навскидку даже и не припомню что есть такие решения, только ограничивать список разрешенных сайтов
источник

RM

Ro Man in ЦАРКА PUBLIC CHAT
Oleg
Ну хз, на самом деле - все равно не считаю, что имейл (без пароля, ессно) - реально критичная инфа. Их и пробрутить можно, если на то пошло, и из одного - сделать кучу. Определяем правила генерации -> узнаем имена сотрудников - > профит!
пробрутить это дороже, чем из архива взять почту и пароль от неё
источник

АЯ

А - Я in ЦАРКА PUBLIC CHAT
Nfmka
Так я и предложил один из вариантов, во втором отчете уже сравнить старые и новые утечки и выдавать только разницу. В след году учитывать только свежие утечки
Это ваш отчёт, вам виднее куда дальше двигаться. Но стоит ли банкам верить достоверности остальных параметров в отчёте? Кто-нибудь увидит, что у него всё ок и расслабиться...
источник

O

Oleg in ЦАРКА PUBLIC CHAT
Да, но архив надо сначала найти/купить. Так что спорно, если надо получить мыло Романа, работающего в мегакомпании. 😉 Но - не принципиально, Олжас сказал, что уточнит, что это- не утечки из банков.
источник

Д

Дед Толя in ЦАРКА PUBLIC CHAT
А - Я
Это ваш отчёт, вам виднее куда дальше двигаться. Но стоит ли банкам верить достоверности остальных параметров в отчёте? Кто-нибудь увидит, что у него всё ок и расслабиться...
понимаете.. ИБ такая штука.. эфемерная, как черная дыра. инцидент шарахнуть может с любого вектора. поэтому чем больше превентивных мер тем лучше. единственная сфера кроме атомной энергетики где лучше перебздеть, чем недобдеть
источник

N

Nfmka in ЦАРКА PUBLIC CHAT
А - Я
Это ваш отчёт, вам виднее куда дальше двигаться. Но стоит ли банкам верить достоверности остальных параметров в отчёте? Кто-нибудь увидит, что у него всё ок и расслабиться...
Мы указываем, что отчет идет по главной странице банков. Мы не проверяем ДБО и другие сервисы. Тут показатель кибер-риска по официальным сайтам банков.

Я согласен, что это не показатель безопасности всего банка. Но если есть идеи что добавить в скоуп проверки и чтобы это не нарушало закон, мы с радостью подключим.

Сейчас мы подобный скоринг используем для европейской крупной страховой компании, которая занимается Cyber Insurance. Там более развернутые отчеты для них и они используют данный скоринг, чтобы оценить на первом этапе кибер риски. А потом уже, ес-но, начинают более глубокий аудит внутри инфраструктуры
источник

М

М in ЦАРКА PUBLIC CHAT
и запрет регистрации это не единственная мера,  менять пароли или делать двухфакторку нормальную
источник

N

Nfmka in ЦАРКА PUBLIC CHAT
Вот кстати вопрос участникам чата, что можно оценивать на сайте автоматизированно помимо того, что сейчас есть, но при этом в рамках закона? Мы добавим в наш это скоринг, если это будет возможным
источник

N

Nfmka in ЦАРКА PUBLIC CHAT
я был удивлен, когда некоторые банки даже SSL на свои официальный сайт не внедрили
источник

RM

Ro Man in ЦАРКА PUBLIC CHAT
доступность в течение суток?
я как про доступность сайта в целом, так и то, что https не отваливается, что сертификаты на месте и тд
источник

М

М in ЦАРКА PUBLIC CHAT
в маленьких банках по 1-3 ИБ шника. как думаешь сколько у них задач и будет ли ssl  в приоритете?
источник