Поговорили о том, кому нужен процесс управления уязвимостями и из каких этапов он состоит. Об уровнях зрелости компаний с точки зрения информационной безопасности и о том, какие существуют российские и зарубежные решения для выстраивания процесса, а также что является и не является процессом vulnerability management на самом деле.
Спикеры:
Александр Герасимов - руководитель направления внедрения систем кибербезопасности в известном банке.
Александр Герасимов - CISO и сооснователь Awillix. Этичный хакер, эксперт в области тестирования на проникновение и анализа защищенности.
О подкасте:
Подкаст Just Security - продолжение телеграм-канала (t.me/justsecurity), известного на рынке ИБ. Авторы канала - команда Awillix, главная экспертиза которой, тесты на проникновения, анализ защищенности, анализ исходного кода.
За 5 лет существования компании мы провели более 300 аудитов, нашли около 10 000 уязвимостей для разных российских компаний, сделали свой продукт для регулярного мониторинга уязвимостей (cvm.awillix.com/) и разработали отечественный киберполигон - симулятор для отработки практических навыков специалистов SOC и Blue Team.
В 2023 году Awillix учредили первую ежегодную всероссийскую премию для пентестеров - award.awillix.ru/.
Тайм-коды
1:43 - нужен ли процесс управления уязвимостями
2:55 - уровни зрелости компании с точки зрения ИБ
4:30 - что не является процессом vulnarability management
6:02 - программные и инфраструктурные уязвимости, поверхности атаки, приоритезация
8:40 - отечественные и опенсорс-решения для управления уязвимостями
16:13 - патч менеджмент
18:40 - безопасность приложений
20:14 - платформы для взаимодействия разработчиков и ИБ-специалистов
27:06 - импортозамещение и нужда рынка в российских продуктах
32: 41 - сканирование и обработка уязвимостей
35:12 - тестирование патчей и этап контроля
36:57 - масштабирование опыта на все команды разработки
38:20 - роль секьюрити чемпионов в компаниях, распределение ответственности в команде
47:30 - пример из жизни