О да. У меня (на одной из предыдущих работ) был прекрасный факап, когда все фонды на железо спустили на waf-ы и прочие игрушки СБ.
Безопасности больше не стало, а вот продакшен-кластер таки навернулся при скачке нагрузки...

Вы не одиноки

Регуляторка - это не про приоритеты бизнеса по идее. Это про заботы того, что в окружении бизнеса. Так что там надо позицию защищаемого регуляторными ограничениями объекта понимать ИМХО.

Я ж не спорю. Но в PCI DSS до сих пор требования к использованию в паролях цифр, вспомогательных символов и т.п.

Там скоуп решения поменялся, но сама по себе рекомендация для некоторых случаев разумна.

Вот лучше проверить по списку популярных и запросить длину от 10 символов.

А откуда сам скачек нагрузки возник? И что waf'ы прилегли что ли?

Тут какая история. LPE - вроде не страшно, а потом на горизонте появляется RCE и становится страшно :)

Или. Вот вроде безобидная история про LFI(local file inclusion). Но, например, криво настроенный пхп можно попросить заинклудить обычный access.log

Делается get запрос с пхпшными тегами и нужным кодом.

Дальше инклудим access.log, пхп начинает сканировать его, находит теги <?php и исполняет код между тегами

Интересная история. Это точно в сторону ПХП а не настроек веб-сервера?

https://shahjerry33.medium.com/rce-via-lfi-log-poisoning-the-death-potion-c0831cebc16d#:~:text=What%20is%20log%20poisoning%20%3F,input%20to%20the%20server%20log.

В сторону настроек php-fpm(ну или mod_php для опачефилов)

Там, кстати, даже не http-логи, а vsftpd

Скорее, не хочет.

Проще, перефразирую Фила, купить индульгенцию (освящённое железо + соотв. набор документов)

Привлекать-то будут по формальным вещам.

Иными словами, нужно выполнить какой-то минимум, чтобы не прикопались компетентные органы.

Зачем делать что-то большее?

У нас же главная опасность исходит от компетентных органов, а не от злоумышленников. Мы же их больше всего боимся. Утрирую

А для большего нужна совесть и/или мотивация. Мотивация может исходить от бизнеса.

Иными словами, для стимулирования реальной работы по ИБ, нужно чтобы у бизнеса была возможность влиять на сменяемость ИБ-шников в штате (кто-то от бизнеса в правлении), или вообще свой штат ИБ (хотя бы один-два человека в продуктовых командах).

Либо чтобы инициатива исходила/поддерживалась на самом верху, в идеале CEO (компания должна быть не очень большая).

В итоге мы видим, что злоумышленники знают о наших счетах больше, чем мамы или жёны. Сарказм

Обычно из этого положения все и действуют.

Конечно

Надо чтоб главная опасность исходила от клиентов)))

Там сразу стимул обеспечить безопасность клиентских данных появится.

Ну, там неравномерность по году очень сильная, раз в 100. И боевые сервера просто не выдержали по IOPS(там стояли дешевые самосборки, планировалось поменять на нормальные, но бюджет ушел на wafы)