Классический форум-трекер
canvas not supported
Нас вместе: 4 232 092

НКЦКИ предлагает алгоритм принятия решения по обновлению критичного ПО, не относящегося к open-source


Страницы:   Пред.  1, 2, 3  След. 
 
RSS
Начать новую тему   Ответить на тему    Торрент-трекер NNM-Club -> Компьютеры и комплектующие -> Компьютерные новости
Автор Сообщение
Maximus ®
Вольный стрелок
Uploader 100+
Стаж: 17 лет 5 мес.
Сообщений: 5046
Ratio: 25.177
Поблагодарили: 13176
100%
nnm-club.gif
В долгосрочной перспективе это может привести к накоплению неисправленных уязвимостей.

Зафиксированы случаи внедрения разработчиками программного обеспечения (ПО) из недружественных Российской Федерации стран недокументированных возможностей или добавления механизмов блокировки работы ПО. В качестве первоочередной краткосрочной меры по обеспечению информационной безопасности Национальный координационный центр по компьютерным инцидентам (НКЦКИ) ранее рекомендовал отключить автоматическое обновление для иностранного ПО.
В долгосрочной перспективе это может привести к накоплению неисправленных уязвимостей. В результате возникнет угроза компрометации данных, нарушения функционирования оборудования или бизнес-процессов. Риски эксплуатации злоумышленниками неисправленных уязвимостей могут быть выше рисков внедрения разработчиками программного обеспечения недокументированных возможностей.

В связи с тем, что разработчики программного обеспечения (ПО) из недружественных РФ стран стали встраивать нежелательный контент для пользователей из России, а также повысился риск внедрения недокументированных возможностей (НДВ) или добавления механизмов блокировки работы данного ПО, одна из первых рекомендуемых мер со стороны регуляторов — отключить автоматические обновления.

Как следствие, со временем в ПО выявляются новые уязвимости, которые не устраняются путем установки обновления, и возникает риск компрометации. Вероятность, что она произойдет, может быть выше риска внедрения НДВ.

Таким образом, служба кибербезопасности (КБ) находится перед выбором: обновлять ПО с риском получить НДВ или принять риск эксплуатации уязвимости.

Алгоритм, представленный на схеме в простой форме, должен помочь сотруднику безопасности и подразделению КБ принять решение о необходимости обновления.

При работе с алгоритмом необходимо учитывать следующее:
  • Алгоритм является рекомендацией, применение которой лежит в вашей зоне ответственности.
  • Алгоритм не предусматривает граничные случаи, для которых рекомендуемое решение может отличаться. Поэтому применение алгоритма должно в обязательном порядке учитывать контекст организации.
  • ПО перед обновлением в продуктивной среде должно быть проверено на корректную работоспособность в тестовой среде или тестовой выборке.
  • Если возможно препятствовать эксплуатации уязвимости наложенными средствами защиты, не рекомендуется производить обновление.
  • Если специалисты вашей или подрядной организации в состоянии проверить обновление ПО на наличие НДВ, то вам следует принимать решение по результатам собственного анализа, а не данной рекомендации.
  • Не рекомендуется применять алгоритм принятия решения для обновления ПО, используемого в АСУ ТП.
  • Алгоритм не рассчитан для применения к обновлениям ПО для мобильных ОС.

В бюллетене НКЦКИ представлен алгоритм, призванный упростить процесс принятия решения о необходимости установки обновлений ПО. Скачать бюллетень НКЦКИ в формате PDF.
Источник

_________________
«Если ты ненавидишь, значит тебя победили» – Конфуций
starlion
Стаж: 1 год 11 мес.
Сообщений: 6
Ratio: 1.974
0%
shoni13
Спасибо. Немного припозднились. Почин у меня был 13 лет назад :D
fjbfjb
Только чтение
Стаж: 13 лет 11 мес.
Сообщений: 755
Ratio: 35.901
100%
ussr.gif
У "нашей" кибербезопасности только глазки открылись? Вроде бы уже в 80-х прошлого столетия широко практиковалось.
ColdFire2000
Стаж: 14 лет 2 мес.
Сообщений: 15
Ratio: 7.302
16.18%
ussr.gif
И эта писанина на изначально сайте с кучей пиратского ломаного софта и тд?
millman_freedom
Стаж: 9 лет 2 мес.
Сообщений: 72
Ratio: 8.447
Раздал: 3.671 TB
100%
ukraine.gif
Raptor303 писал(а): Перейти к сообщению

Россия через 10-20 лет: лучшее во всем, страны Запада завидуют достижениям и возможностям РФ :подмигивание:


Забыл дописать: "Тысяч" перед "лет"

_________________
Windows 11 Enterprise / Ryzen 9 3900X / RTX 3090Ti
VFYNBRJH
Стаж: 9 лет
Сообщений: 124
Ratio: 14.041
62.57%
Откуда: оттуда
gabon.gif
wer22 писал(а): Перейти к сообщению
А может стоить отказаться от присутствия своих войск на территории другой суверенной страны... да ну, глупость какая...

А может стоит подумать прежде чем писать про войска ....да ну, глупость какая...а страна то точно сувереннная?....да ну глупость какая... :смех: :смех:
Keysarus
Стаж: 13 лет 1 мес.
Сообщений: 180
Ratio: 10.045
21.07%
russia.gif
Взаимная паранойя со всех сторон.
Такой прогрессивный век по части технологий и такая неадекватность в политике.
reefress
Стаж: 13 лет 8 мес.
Сообщений: 179
Ratio: 3.928
Раздал: 17.53 TB
37.32%
Откуда: Free UA
uk.gif
VFYNBRJH писал(а): Перейти к сообщению
wer22 писал(а): Перейти к сообщению
А может стоить отказаться от присутствия своих войск на территории другой суверенной страны... да ну, глупость какая...

А может стоит подумать прежде чем писать про войска ....да ну, глупость какая...а страна то точно сувереннная?....да ну глупость какая... :смех: :смех:


Глупо не замечать или делать вид, что это ни при чём... Всегда есть причина и следствие...
skliff1977
Стаж: 11 лет 4 мес.
Сообщений: 33
Ratio: 8.632
1.59%
pirates.png
Нельзя многого создать, даже аналогов.... но можно спи...ть у других: и идею, и ее реализацию. Назвать как-то по другому и вуаля -- импортозамещение. Но мы, уважаемые пользователи торрентов, не почувствуем всего этого "импортозамещения" и будем дальше продолжать потреблять все только самое лучшее, до чего дотянутся наши загребущие ручонки :)
manur
Стаж: 14 лет 4 мес.
Сообщений: 108
Ratio: 5.382
0.82%
ussr.gif
с антивирусными базами как быть? и обновление программных модулей в антиврусниках
smarty_ass
Стаж: 12 лет 8 мес.
Сообщений: 173
Ratio: 26.72
Раздал: 22.47 TB
17.91%
А что мешает создать свои репозитории из официальных и посадить группы специально обученных людей, что будут проверять коммиты перед добавлением обновления на отечественные репы?
AfreeManJ
Стаж: 2 года
Сообщений: 563
Ratio: 1.053
100%
russia.gif
Надо же. Создан алгоритм для безопасности, и это практически вся новость. И можно сказать на ровном месте, свидомые снова как на майдане. Запрыгали запели. Это писец какой-то. Один не пойми к чему добывающую отрасль припёр, другой импортозамещение. Любую новость открывай и смотри, не забыли ли они что-то упомянуть. Можно список составить из того что нужно обязательно вставить российские олигархи, продажное правительство, воровство и в этом роде. Позиций 30 обязательных, остальное как пойдёт. Не устанут никак, жрать видно охота.

Raptor303 писал(а): Перейти к сообщению
Да и потом, кто "вы" тоже вопрос интересный


По любому коренной москвич. Фамилию не видите.
Ragnarog
Стаж: 12 лет 1 мес.
Сообщений: 27
Ratio: 0.935
Поблагодарили: 1
100%
starlion писал(а): Перейти к сообщению
из недружественных РФ стран

А это кто?

А дружественные есть? Пусть помогут.

Дружественные сидят на шее у РФ за дружбу надо платить давать дотации чтоб кивали головами в знак доверия,ведь без денег и дружественных не останется.
leoshin
Стаж: 9 лет 1 мес.
Сообщений: 106
Ratio: 29.758
10.51%
По любому до простых обывателей с Виндой всем врагам насрать, ну чё у нас на Компах игрухи с видосами, семейное фоты ? я на Комп под угрозой пыток ни какие банковские дела не буду ставить.
Gaikotsu
RG Аниме
Стаж: 4 года 5 мес.
Сообщений: 823
Ratio: 80.68
Раздал: 139 TB
Поблагодарили: 8884
100%
russia.gif
syslog2 писал(а): Перейти к сообщению
Опен сорс это открытый код. Нужно делать свое хранилище кода в России. Которое будет содержать форки всех актуальных и популярных решении на опен сорсе. И которое при каждом обновление проверяют на такие штуки.
И большинство проектов не позволяют себе такое. Потому что их делают разработчики из всех стран. Включая большое количество Азиатов. И каждая доработка кода проходит обсуждения.

А вот тонна мелких зависимостей на npm. С этим беда. Там мелкие пакеты которые часто делает один человек. И как раз с ними и возникают проблемы.
Шум на тему "подлянок" в недавних обновлениях как раз с опенсорса и начался. Самое нашумевшее - это наверное случай с node-ipc, в который автор впихал код, удалявший все файлы на компах, определявшихся по ип как находящиеся в РФ и РБ.
Пауковский
Стаж: 8 лет 4 мес.
Сообщений: 55
Ratio: 8.782
Поблагодарили: 2
50.62%
ukraine.gif
Речь идет о банковской, сетевой мобильной сфере, автоматизации, работе с САПРами типа Catia/Siemens NX - для этих направлений строго необходимо обновление т.к. любые тормоза это потенциальная уязвимость, темные лес в анализе и исследованиях. Маемо, шо маемо...
Показать сообщения:   
Начать новую тему   Ответить на тему    Торрент-трекер NNM-Club -> Компьютеры и комплектующие -> Компьютерные новости Часовой пояс: GMT + 3
Страницы:   Пред.  1, 2, 3  След.
Страница 2 из 3