Рубрикатор |
19.12.2017 15:00 Итоги года на рынке информационной безопасности (Комментариев нет)
Уходящий год можно назвать годом реального ущерба для бизнеса
от кибератак. Давайте трезво
взглянем на то, как такой ущерб оценивается.
19.06.2013 17:00 Как проектировать и писать безопасные программы? (Комментариев нет)Отчет о
сканировании действующего приложения – важный шаг в понимании
того, какие проблемы вас ждут и в новом
приложении, или в новой версии текущего. Уязвимости
должны лечь в основу требований
к НОВЫМ разработкам.
5.06.2013 12:00 Почему бы компаниям не писать безопасные приложения? (Комментариев нет)Если проблему безопасности разработок
начать решать еще во время проектирования,
то ресурсов на поддержку и ликвидацию
последствий инцидентов придется тратить
в десятки раз меньше (по данным HP
- в 30 раз). Все соглашаются, но никто
ничего не делает.
21.03.2013 12:00 Безопасность заказных приложений. IX (Комментариев нет)На заре антивирусной индустрии было принято мериться размерами так называемых "антивирусных баз" - сначала в штуках ("наш антивирус ловит 450 вирусов"), потом в мега- и гигабайтах. Теперь меряются не штуками, а миллионами - "в нашей базе десятки миллионов вирусных сигнатур".
14.03.2013 12:00 Безопасность заказных приложений. VIII (Комментариев нет)Итак, вы решили, что ваши бизнес-задачи не могут быть решены в рамках "коробочных" решений и заказали разработку приложения "с нуля" или основательную доработку типового решения или платформы. Вы получили его на тестирование и вдумчиво прошлись по руководствам пользователя и администратора, проверили функционал и нагрузку, и, наконец, решили озаботиться безопасностью приложения.
19.02.2013 17:55 Безопасность заказных приложений. VII (Комментариев нет)Большая часть «закладок», найденных при исследовании исходного кода бизнес-приложений - неудаленные инструменты отладки приложения. Их нельзя считать намеренными "закладками", но вредоносности у них иногда не меньше, чем в специально написанных закладках.
Разработка заказного корпоративного бизнес-решения - сложный процесс, а его отладка и тестирование сложны вдвойне.
22.01.2013 11:00 Стакан, полный на треть (Комментариев нет)На конференции меня попросили прокомментировать одну цифру. «Статический анализ позволяет выявить не более 30% уязвимостей приложений». Заявление абсолютно верное, но я бы не стал рассматривать эту фразу как констатацию неполноценности статического анализа, особенно при исследовании бизнес-приложений (а не оборонных или управляющих инфраструктурой, например).
6.12.2012 13:00 Безопасность заказных приложений. VI (Комментариев нет)Использование сертифицированного программного обеспечения, в сертификате которого написано: «отсутствие недекларированных возможностей (НДВ)», создает иллюзию защищенности. Так ли это? Если дело касается операционных систем или системных предложений – это во многом соответствует действительности (не будем в этом блоге спорить с профессиональными параноиками, утверждающими, что в любом программном обеспечении есть НДВ, и некоторые из них невозможно найти в принципе).
20.11.2012 12:00 Безопасность заказных приложений. V (Комментариев нет)Существует стойкое убеждение, что защита приложений - это, прежде всего, контроль уязвимостей во внешних веб-приложениях, а внутренние приложения защищены принципом неотвратимости наказания. Действительно, теоретическое число пользователей веб-приложения - это все пользователи Интернет, а пользователей бухгалтерского приложения - всего несколько человек; их имена известны, и, случись что, расследование долго не продлится.
31.10.2012 17:00 Безопасность заказных приложений. IV (Комментариев нет)Лейтмотивом
большинства мероприятий в области
«облачных» вычислений является
утверждение, что скоро, практически
завтра, корпорации начнут получать
ИТ-услуги из «облака» как «электричество
из розетки» (с). Ввиду такого подхода
может появиться ощущение, что скоро-скоро
компании перестанут зависеть от своих
программистов и будут получать
типизированные услуги напрямую от
провайдеров SaaS.
16.10.2012 13:00 Безопасность заказных приложений. III (Комментариев нет)Есть
ли риски саботажа программистов,
разрабатывающих заказные приложения?
Вставляют ли они в свои программы
мифические «недекларированные
возможности», которые могут поставить
под угрозу штатное выполнение приложений,
осуществить перехват управления,
манипуляцию данными и другие действия,
которые не заказывал и не оплачивал
заказчик?
8.10.2012 11:00 Безопасность заказных приложений. II (Комментариев нет)Зачем вообще заниматься отдельным анализом кода приложений? Ведь ошибки программирования находятся еще на этапе сборки и тестирования, а другие риски кажутся умозрительными. Исполнители вроде заинтересованы делать софт качественным, чтобы меньше заниматься доделками и исправлениями. Давайте рассмотрим, какие риски присутствуют при самостоятельной разработке бизнес-приложений.
27.09.2012 19:00 Безопасность заказных приложений (Комментариев нет)
Года два назад коллега из западной корпорации сказал мне, что компании скоро перестанут писать свой софт и будут получать все, что им нужно, из «облаков». Прогноз опасный для тех, кто зарабатывает на жизнь контролем качества заказного софта, но пока не подтверждающийся. 60% компаний, опрошенных журналом Computerworld собираются в 2013 году продолжать нанимать программистов, и эти компании – вовсе не производители программного обеспечения, а обычные оффлайновые компании – финансовые, промышленные, телекоммуникационные.