Duration 55:30
16+
Play
Talk video

Мастер-класс: КАК не скатиться в формализм при управлении уязвимостями?

The audio is available only after a purchase
To tickets
The files are available only after a purchase
To tickets
Александр Леонов
Ведущий аналитик по ИБ at Тинькофф банк
  • Video
  • Audio
  • Files
  • Video
  • Audio
  • Files
Код ИБ Профи 2019 | Москва
March 29 2019, Москва, Росиия
Код ИБ Профи 2019 | Москва
Video
Мастер-класс: КАК не скатиться в формализм при управлении уязвимостями?
Purchased
In cart
1 200 ₽
1 200 ₽
$19.17
$19.17
€ 17,18
€ 17,18
To favorites
17
I like 0
I dislike 0
Purchased
In cart
1 200 ₽
1 200 ₽
$19.17
$19.17
€ 17,18
€ 17,18
  • Description
  • Discussion

About speaker

About talk

Само понятие "Управление Уязвимостями", в том виде как его используют сейчас Vulnerability Management вендоры, выглядит неудачным. Как морская свинка, которая на самом деле не свинка и не морская.
Под "уязвимостью" вендоры часто понимают не какую-то конкретную, надёжную проблему ПО, которая реально может быть использована злоумышленниками, а лишь некоторую общую информацию о возможной потенциальной уязвимости, кем-то когда-то проэксплуатированной (но это не точно). Как правило эта информация получается из сторонник источников и не верифицируется.
В этих условиях управление уязвимостями в организации часто сводится к принуждению IT подразделений к обновлению наиболее уязвимых (по версии сканера) и критичных хостов. Учитывая, что реальная опасность уязвимости как правило не может быть продемонстрирована, то и отношение у IT к этому процессу соответствующее - как к малополезной формальной активности, которую можно выполнять разве что для соответствия требованиям регулятора. 
Но и при работе в таком неидеальном режиме остаются вопросы: что нужно сканировать и как понять, что что-то важное не входит в скоуп, как часто нужно сканировать, как согласовывать время сканирования и использование учетных записей, как создавать задачи на исправление и контролировать их выполнение, что делать с системами, которые не поддерживаются вашим сканером уязвимостей? И почему в 2019 году для получения информации об уязвимостях все ещё требуется ходить на каждый хост отдельно или устанавливать на хосты ещё один агент?
В рамках мастер-класса мы поговорим о проблемах коммерческих решений по Управлению Уязвимостями инфраструктуры, что VM-вендоры могли бы делать лучше и почему они этого не делают, о трудностях оценки критичности и реальной эксплуатабельности уязвимостей, почему традиционные подходы к Управлению Уязвимостями по факту перестают работать, и как с этим жить конечному пользователю VM-решений.

Share

Cackle comments for the website

Buy this talk

Access to the talk «Мастер-класс: КАК не скатиться в формализм при управлении уязвимостями?»
Purchased
In cart
1 200 ₽
1 200 ₽
$19.17
$19.17
€ 17,18
€ 17,18

Video

Access to all videos «Код ИБ Профи 2019 | Москва»
Purchased
In cart
9 900 ₽
9 900 ₽
$158.12
$158.12
€ 141,70
€ 141,70
Ticket

Interested in topic «Information security»?

You might be interested in videos from this event

April 18 2019
Краснодар
14
4
код иб

Buy this video

Video

Access to the talk 'Мастер-класс: КАК не скатиться в формализм при управлении уязвимостями?'
Purchased
In cart
1 200 ₽
1 200 ₽
$19.17
$19.17
€ 17,18
€ 17,18