NK
Вакансия в GE Digital (Москва)
Sr Vulnerability Management Analyst
https://www.linkedin.com/jobs/view/2736902986
Sr Vulnerability Management Analyst
https://www.linkedin.com/jobs/view/2736902986
Size: a a a
2021 October 12
R
💰 Работа мечты? 🤨
C
А если документация ? Разработчик же публикует ланные о закрытых дырах
22
ну мониторить сайт разработчика не запрещено ) тока в основном дыры находят не разработчики ))
C
Ага , также как варик пишешь название по и версию +cve
NK
7–8 декабря, г. Москва пройдет SOC-ФОРУМ 2021 в очном формате с онлайн трансляцией. На форуме будут традиционно обсуждаться, в том числе, и вопросы мониторинга и реагирования на киберугрозы технологическим системам.
Кроме того регуляторы по информационной безопасности планируют отвечать на присланные вопросы. Отправить вопросы можно на сайте форума, по кнопке "Задать вопрос"!
https://ib-bank.ru/soc-forum2021
Кроме того регуляторы по информационной безопасности планируют отвечать на присланные вопросы. Отправить вопросы можно на сайте форума, по кнопке "Задать вопрос"!
https://ib-bank.ru/soc-forum2021
V
Изза локдауна не отменили бы)
АБ
Не всем уязвимостям присваивается CVE. Многие производители и ресерчеры не заморачиваются.
C
А почему ?
АБ
Сложно. Долго. В классификаторах нет производителя/ПО/оборудования.
C
А доки найти можно ? Или отчеты ?
АБ
Нужно использовать максимально возможное количество источников информации
AL
The NCCoE released for public comment a draft of NIST SP 1800-32, Securing the Industrial Internet of Things: Cybersecurity for Distributed Energy Resources - https://www.nccoe.nist.gov/projects/use-cases/energy-sector/iiot
2021 October 13
NK
ISA Cybersecurity Standards Implementation Virtual Conference, 19 October 2021
https://programs.isa.org/isa-cybersecurity-standards-implementation-virtual-conference
https://programs.isa.org/isa-cybersecurity-standards-implementation-virtual-conference
DD
А можете рассказать как у вас процесс управления уязвимости выглядит? И патч менеджмент за одно? Ну вот то есть , у вас сетка с N количеством сетевых узлов. Вы берёте первый узел- проверили, берёте второй узел- проверили....а дальше что вы делаете с этой информацией и узлами? Если вам нельзя их сканить, то патчить вам их подавна не дадут.
DD
Вопрос, что вам даёт этот инструмент полезного кроме информации что вулнер есть/нет.
U
Если речь о версиях используемых компонентов вами созданного приложения, то это OSA/SCA-инструменты. Посмотрите в сторону, например, OWASP Dependency Check, он сам по вулнерам бегает. Удобно встраивается в пайплайны CI/CD, а также может прогоняться и вручную через CLI.
А
Полноценного управления уязвимостями пока нет, после выявлениия запрос к производителю системы на возможные варианты устранения/совместимость, потом тестирование и устранение - но это слишком идеальный расклад, во что это выльется не ясно.
22
Дайте знать если вам Сименс и Шнайдер ответит что то не по общим рекомендациям типа устраняйте есть обновления и переходите на новое по, а прям если толковые советы даст. Интересно просто узнать чем может это кончится.
DD
Я думаю многим в этом чатике уже и так известно чем это закончится.