Rambler's Top100
 
Рустэм ХАЙРЕТДИНОВ
E-mail:appercutblog@gmail.com
генеральный директор компании Attack Killer
19.12.2017 15:00 Итоги года на рынке информационной безопасности (Комментариев нет)
Уходящий год можно назвать годом реального ущерба для бизнеса от кибератак. Давайте трезво взглянем на то, как такой ущерб оценивается.
19.06.2013 17:00 Как проектировать и писать безопасные программы? (Комментариев нет)
Отчет о сканировании действующего приложения – важный шаг в понимании того, какие проблемы вас ждут и в новом приложении, или в новой версии текущего. Уязвимости должны лечь в основу требований к НОВЫМ разработкам.
5.06.2013 12:00 Почему бы компаниям не писать безопасные приложения? (Комментариев нет)
Если проблему безопасности разработок начать решать еще во время проектирования, то ресурсов на поддержку и ликвидацию последствий инцидентов придется тратить в десятки раз меньше (по данным HP - в 30 раз). Все соглашаются, но никто ничего не делает.
21.03.2013 12:00 Безопасность заказных приложений. IX (Комментариев нет)
На заре антивирусной индустрии было принято мериться размерами так называемых "антивирусных баз" - сначала в штуках ("наш антивирус ловит 450 вирусов"), потом в мега- и гигабайтах. Теперь меряются не штуками, а миллионами - "в нашей базе десятки миллионов вирусных сигнатур".
14.03.2013 12:00 Безопасность заказных приложений. VIII (Комментариев нет)
Итак, вы решили, что ваши бизнес-задачи не могут быть решены в рамках "коробочных" решений и заказали разработку приложения "с нуля" или основательную доработку типового решения или платформы. Вы получили его на тестирование и вдумчиво прошлись по руководствам пользователя и администратора, проверили функционал и нагрузку, и, наконец, решили озаботиться безопасностью приложения.
19.02.2013 17:55 Безопасность заказных приложений. VII (Комментариев нет)
Большая часть «закладок», найденных при исследовании исходного кода бизнес-приложений - неудаленные инструменты отладки приложения. Их нельзя считать намеренными "закладками", но вредоносности у них иногда не меньше, чем в специально написанных закладках. Разработка заказного корпоративного бизнес-решения - сложный процесс, а его отладка и тестирование сложны вдвойне.
22.01.2013 11:00 Стакан, полный на треть (Комментариев нет)
На конференции меня попросили прокомментировать одну цифру. «Статический анализ позволяет выявить не более 30% уязвимостей приложений». Заявление абсолютно верное, но я бы не стал рассматривать эту фразу как констатацию неполноценности статического анализа, особенно при исследовании бизнес-приложений (а не оборонных или управляющих инфраструктурой, например).
6.12.2012 13:00 Безопасность заказных приложений. VI (Комментариев нет)
Использование сертифицированного программного обеспечения, в сертификате которого написано: «отсутствие недекларированных возможностей (НДВ)», создает иллюзию защищенности. Так ли это? Если дело касается операционных систем или системных предложений – это во многом соответствует действительности (не будем в этом блоге спорить с профессиональными параноиками, утверждающими, что в любом программном обеспечении есть НДВ, и некоторые из них невозможно найти в принципе).
20.11.2012 12:00 Безопасность заказных приложений. V (Комментариев нет)
Существует стойкое убеждение, что защита приложений - это, прежде всего, контроль уязвимостей во внешних веб-приложениях, а внутренние приложения защищены принципом неотвратимости наказания. Действительно, теоретическое число пользователей веб-приложения - это все пользователи Интернет, а пользователей бухгалтерского приложения - всего несколько человек; их имена известны, и, случись что, расследование долго не продлится.
31.10.2012 17:00 Безопасность заказных приложений. IV (Комментариев нет)
Лейтмотивом большинства мероприятий в области «облачных» вычислений является утверждение, что скоро, практически завтра, корпорации начнут получать ИТ-услуги из «облака» как «электричество из розетки» (с). Ввиду такого подхода может появиться ощущение, что скоро-скоро компании перестанут зависеть от своих программистов и будут получать типизированные услуги напрямую от провайдеров SaaS.
16.10.2012 13:00 Безопасность заказных приложений. III (Комментариев нет)
Есть ли риски саботажа программистов, разрабатывающих заказные приложения? Вставляют ли они в свои программы мифические «недекларированные возможности», которые могут поставить под угрозу штатное выполнение приложений, осуществить перехват управления, манипуляцию данными и другие действия, которые не заказывал и не оплачивал заказчик?
8.10.2012 11:00 Безопасность заказных приложений. II (Комментариев нет)
Зачем вообще заниматься отдельным анализом кода приложений? Ведь ошибки программирования находятся еще на этапе сборки и тестирования, а другие риски кажутся умозрительными. Исполнители вроде заинтересованы делать софт качественным, чтобы меньше заниматься доделками и исправлениями. Давайте рассмотрим, какие риски присутствуют при самостоятельной разработке бизнес-приложений.
27.09.2012 19:00 Безопасность заказных приложений (Комментариев нет)
Года два назад коллега из западной корпорации сказал мне, что компании скоро перестанут писать свой софт и будут получать все, что им нужно, из «облаков». Прогноз опасный для тех, кто зарабатывает на жизнь контролем качества заказного софта, но пока не подтверждающийся. 60% компаний, опрошенных журналом Computerworld собираются в 2013 году продолжать нанимать программистов, и эти компании – вовсе не производители программного обеспечения, а обычные оффлайновые компании – финансовые, промышленные, телекоммуникационные.