Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Не бойтесь лажать, или Negative Security

104 views

Published on

В рамках: АнтиПленарка. Безопасность и технологии: личный взгляд лидеров мнений

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Не бойтесь лажать, или Negative Security

  1. 1. Не бойтесь лажать или Negative Security Алексей Лукацкий (@alukatsky) БЕЗОПАСНОСТЬ ВДУВАЕ МНЕ 2017
  2. 2. О провалах говорить не принято • Современное общество ориентировано на успех • Об провалах и лаже говорить не принято • Ошибки обладают колоссальным потенциалом и способны научить вас гораздо большему, чем успех «Не умеет играть. Не умеет петь. Лысоват. Немного танцует»
  3. 3. Безопасники тоже лажают • Адам Шостак, член BlackHat Review Board, автор книги «Моделирование угроз», бывший лидер MS SDL Threat Modeling Tool и пр. • Его блог был взломан из-за отсутствия обновления модуля сбора статистики, а затем использован как CnC для ботнета
  4. 4. Урок №1. Умейте распознавать свою лажу • Бездумно ругать регуляторов, даже не пытаясь представить себя на их месте, это ошибка • С этого начинают все начинающие и не очень безопасники, считающие, что если вы не знаете, что такое mimikatz, то вы не настоящий безопасник, а «бумажник» Джон Макафи, главный эксперт по лаже в отрасли ИБ
  5. 5. Урок №2. Умейте признавать свою лажу • Сапожники без сапог бывают даже в ИБ • «Северная казна» (был куплен на взлете), Microsoft (жива и прекрасно себя чувствует), ChoicePoint (потери около 1+ млрд.долларов) • В 2008-м году мне подсадили на лэптоп троянца, а в 2012-м у меня накрылся SSD на лэптопе без возможности восстановления • А вот свой сайт я не могу запустить уже много лет – боюсь, что взломают Брюс Шнайер раньше считал, что криптография – это панацея, а пароль не должен показываться звездочками
  6. 6. Урок №3. Умейте извлекать уроки из лажи • Мое резюме прокатили в АйТи в 96-м году и в Лаборатории Касперского в 2009 – теперь я умею делать классные резюме только отправлять некуда  • Не смог обосновать проект по ПДн для Global Risk Board в 2013-м году – сделал это с другой мотивацией двумя годами позже • Меня часто называют «ИБ-теоретиком» - стал первым Cisco Security Champion во всей Cisco и первым Cisco Security Ninja Blue Belt в регионе EMEAR (сейчас их всего 3 в регионе) Алексей Лукацкий сбился со счета своим лажам
  7. 7. Не бойтесь лажать! Бойтесь не извлекать из этого уроков!

×