Продолжу сегодня поднятую мною вчера тему про подход к процессу обновления ПО. Спасибо всем, кто высказался в комментариях!
Предварительно хотелось отметить несколько моментов:
1) У моего знакомого
2) У них в компании очень высокий уровень зрелости в вопросах безопасности (
Так что далее будет мое понимание и догадки на основе общения с ним по данному вопросу:
1)
2) Не делают отличий между
3) Используют
4) Смотрят за аномальными событиями в инфраструктуре - взаимодействие с
5)
Мне кажется это очень продвинутым подходом и для многих может служить хорошим ориентиром для развития. И еще раз отмечу, что безопасность требует комплексного подхода и тут частично покрыт лишь один момент!
Предварительно хотелось отметить несколько моментов:
1) У моего знакомого
NDA и то, что они используют в компании, полностью рассказать не может2) У них в компании очень высокий уровень зрелости в вопросах безопасности (
Blue/Red/Purple team, обучение сотрудников и т.д.) - комплексный подходТак что далее будет мое понимание и догадки на основе общения с ним по данному вопросу:
1)
0day это обыденная вещь в их модели угроз и рисков2) Не делают отличий между
0day и 1day уязвимостями - то и то приносит одинаковый ущерб бизнесу3) Используют
deception подход - для поимки атакующего на какой-либо из стадии kill chain (достаточно 1 ошибки злоумышленника)4) Смотрят за аномальными событиями в инфраструктуре - взаимодействие с
SRE командой, ретроспективный анализ и т.д.5)
Threat hunting - делают постоянно и с появлением информации о патчах, PoC обогащают контекст и за чем-то могут посмотреть внимательнееМне кажется это очень продвинутым подходом и для многих может служить хорошим ориентиром для развития. И еще раз отмечу, что безопасность требует комплексного подхода и тут частично покрыт лишь один момент!