Бесплатный вебинар ISACA на тему privacy.
http://m.isaca.org/Education/Online-Learning/Pages/virtual-summit-the-future-of-data-protection-and-privacy.aspx
http://m.isaca.org/Education/Online-Learning/Pages/virtual-summit-the-future-of-data-protection-and-privacy.aspx
Nist начал разработку privacy framework.
Working Drafts | NIST
https://www.nist.gov/privacy-framework/working-drafts
Working Drafts | NIST
https://www.nist.gov/privacy-framework/working-drafts
NIST
Working Drafts
NIST is developing the Privacy Framework in stages to enable the greatest amount of engagemen
Хороший обзор по безопасности Linux обсуждают в одном из дружественных чатов.
Forwarded from Alexander Popov
Доброе утро.
Тут у нас любят обсуждать дистрибутивы.
Так вот крутой сравнительный анализ безопасности дистрибутивов!
https://capsule8.com/blog/millions-of-binaries-later-a-look-into-linux-hardening-in-the-wild/
В этом обзоре детальная статистика по:
- CVE за год по дистру,
- CVE за год по типу,
- фичам безопасности userspace,
- опциям безопасности ядра.
Особенно приятно, что для анализа конфигураций ядра используется мой kconfig-hardened-check, для которого автор дал полезную обратную связь.
Тут у нас любят обсуждать дистрибутивы.
Так вот крутой сравнительный анализ безопасности дистрибутивов!
https://capsule8.com/blog/millions-of-binaries-later-a-look-into-linux-hardening-in-the-wild/
В этом обзоре детальная статистика по:
- CVE за год по дистру,
- CVE за год по типу,
- фичам безопасности userspace,
- опциям безопасности ядра.
Особенно приятно, что для анализа конфигураций ядра используется мой kconfig-hardened-check, для которого автор дал полезную обратную связь.
Capsule8
Linux Hardening in the Wild | Capsule8
Modernize without Compromise
"...This webcast will provide a 2-hour overview and deep dive of the recently released NIST Special Publication (SP) 800-37, Revision 2, Risk Management Framework for Information Systems and Organizations: A System Life Cycle Approach for Security and Privacy.
This update to NIST SP 800-37 develops the next-generation Risk Management Framework (RMF) for systems, organizations, and individuals..."
https://www.nist.gov/news-events/events/2019/02/nist-risk-management-framework-webcast-flexible-methodology-manage
This update to NIST SP 800-37 develops the next-generation Risk Management Framework (RMF) for systems, organizations, and individuals..."
https://www.nist.gov/news-events/events/2019/02/nist-risk-management-framework-webcast-flexible-methodology-manage
NIST
NIST Risk Management Framework Webcast: A Flexible Methodology to Manage Information Security and Privacy Risk
IT security: Five essential steps to keep the hackers at bay | ZDNet
https://www.zdnet.com/article/it-security-five-essential-steps-to-keep-the-hackers-at-bay/
https://www.zdnet.com/article/it-security-five-essential-steps-to-keep-the-hackers-at-bay/
ZDNet
IT security: Five essential steps to keep the hackers at bay
Keeping a whole organisation secure from malware and other security incidents is hard. But covering these basics will go a long way towards it.
Forwarded from Пост Лукацкого
Dow Jones неправильно настроил сервер AWS и раскрыл данные 2,4 млн банковских клиентов, в том числе политиков https://t.co/DaKB0HPvOe
— TAdviser (@TAdviser) March 1, 2019
— TAdviser (@TAdviser) March 1, 2019
Посмотрите, о чем твитнул(а) @Cybersec_EU: https://twitter.com/Cybersec_EU/status/1101471836049735681?s=09
Twitter
CyberSec_EU 🇪🇺
Do you have a proven working experience in #cybersecurity certification & standardisation? Then, apply to join the @enisa_eu team https://t.co/vvF68ZxLwY ⌛️Deadline 21.03.2019 16:00 🇬🇷 time ⚠️ENISA is looking to hire 3 experts!
Похоже ENISA начало подбор персонала после того как ЕС подтвердил её мандат после 2020 года.
Хорошое исследование на тему теневой экономики кибер(без)опасности.
https://www.scmagazine.com/home/security-news/cybercriminals-spend-like-rockstars/
https://www.scmagazine.com/home/security-news/cybercriminals-spend-like-rockstars/
SC Media
Cybercriminals spend like rockstars | SC Media
A recent study found cybercriminals living like the upper echelon of society by converting their money into assets, flashy jewelry, and expensive cars
ISACARuSec
Хорошое исследование на тему теневой экономики кибер(без)опасности. https://www.scmagazine.com/home/security-news/cybercriminals-spend-like-rockstars/
Полезность подобных исследований, что с их помощью можно производить как минимум экспертную оценку эффективнности мер ИБ в экономических терминах.
Например, то что эпидемия wannacry принесла прибыль на десятки тысяч долларов а locky на миллионы. При этом ущерб от семейства wannacry был существенно выше.
Как вам оценка, что кастомное spyware стоит от 13 000 рублей, а мировой рынок кибер преступлений, примерно, равен годовому ВВП и составляет 1,5 трлн долларов.
Рекомендуется к прочтению.
Например, то что эпидемия wannacry принесла прибыль на десятки тысяч долларов а locky на миллионы. При этом ущерб от семейства wannacry был существенно выше.
Как вам оценка, что кастомное spyware стоит от 13 000 рублей, а мировой рынок кибер преступлений, примерно, равен годовому ВВП и составляет 1,5 трлн долларов.
Рекомендуется к прочтению.
Системная проблема, что текущие оценки опасности уязвимостей по шкале CVSS не отражают реального риска для конкретной организации, только некий усреденный уровень опасности.
Да в cvss есть раздел environmental который по идее предназначался для решения этой проблемы, но кто на практике знаком с инструментами для его заполнения для уязвимостей которых появляется по несколько сотен в месяц?
Вот IBM предлагает внутренний инструмент.
Немного другой подход у vulners с их AI Score для уязвимостей.
А кто-то из производителей сканеров уязвимостей на рынке России до сих пор использует шкалу cvss 2.0 в качестве основной.
https://securityintelligence.com/calling-into-question-the-cvss/
Да в cvss есть раздел environmental который по идее предназначался для решения этой проблемы, но кто на практике знаком с инструментами для его заполнения для уязвимостей которых появляется по несколько сотен в месяц?
Вот IBM предлагает внутренний инструмент.
Немного другой подход у vulners с их AI Score для уязвимостей.
А кто-то из производителей сканеров уязвимостей на рынке России до сих пор использует шкалу cvss 2.0 в качестве основной.
https://securityintelligence.com/calling-into-question-the-cvss/
Security Intelligence
Calling Into Question the CVSS
X-Force Red believes vulnerabilities should be ranked based on the importance of the exposed asset and whether the vulnerability is being weaponized by criminals, not necessarily its CVSS score.
Пост для закрепления
0. До 20 марта открыта регистрация на очередную открытую бесплатную встречу ISACA Moscow. Тема встречи, управление ИБ. Программа встречи в посте ниже.
Для регистрации необходимо указать ваши полные ФИО в письме на moscow.chapter@isaca.org.ru.
Для получения CPE членам нужно дополнительно зарегистрироваться на встречу на ISACA.MSK.RU.
1. Твиттер Московского отделения https://twitter.com/IsacaSec.
2. ISACA в этом году исполняется 50 лет.
https://www.isaca50.org/
3. Ссылка на чат Московского отделения.
https://news.1rj.ru/str/joinchat/FtEAHAqAuw6ubbQsB6FIDQ
0. До 20 марта открыта регистрация на очередную открытую бесплатную встречу ISACA Moscow. Тема встречи, управление ИБ. Программа встречи в посте ниже.
Для регистрации необходимо указать ваши полные ФИО в письме на moscow.chapter@isaca.org.ru.
Для получения CPE членам нужно дополнительно зарегистрироваться на встречу на ISACA.MSK.RU.
1. Твиттер Московского отделения https://twitter.com/IsacaSec.
2. ISACA в этом году исполняется 50 лет.
https://www.isaca50.org/
3. Ссылка на чат Московского отделения.
https://news.1rj.ru/str/joinchat/FtEAHAqAuw6ubbQsB6FIDQ
Twitter
IsacaRuSec (@IsacaSec) | Twitter
The latest Tweets from IsacaRuSec (@IsacaSec). Канал направления ИБ Московского отделения ISACA
Направление канала новости ISACA, новости в области управления ИБ в России и мире, обмен лучшими практиками. Москва, Россия
Направление канала новости ISACA, новости в области управления ИБ в России и мире, обмен лучшими практиками. Москва, Россия
Программа следующей встречи отделения:
1. Сергей Ландырев, CISO российского отделения глобальной нефтегазовой компании, экс-CISO Itelia Group «Построение системы управления ИБ с «нуля» в международной компании».
2. Иван Волков, CISO Zetta Страхование «Стратегия ИБ в страховом бизнесе».
3. Кирилл Ермаков, CTO QIWI «Бизнес-ориентированное управление ИБ в цифровом холдинге».
4. Сергей Солдатов, SOC Head глобальной ИБ-компании, экс-директор Департамента защиты информации ИТ-провайдера нефтегазовой компании «Управление ИБ на основе информации от security operations» .
5. Александр Бодрик, вице-президент по ИБ Московского отделения ISACA, экс-исполнительный директор ANGARA MSSP "Механизмы координации управления системой ИБ в корпорациях - банки, нефтегаз, ИТ"
Время:
21 марта 19.00
Место:
Московский Политех.
1. Сергей Ландырев, CISO российского отделения глобальной нефтегазовой компании, экс-CISO Itelia Group «Построение системы управления ИБ с «нуля» в международной компании».
2. Иван Волков, CISO Zetta Страхование «Стратегия ИБ в страховом бизнесе».
3. Кирилл Ермаков, CTO QIWI «Бизнес-ориентированное управление ИБ в цифровом холдинге».
4. Сергей Солдатов, SOC Head глобальной ИБ-компании, экс-директор Департамента защиты информации ИТ-провайдера нефтегазовой компании «Управление ИБ на основе информации от security operations» .
5. Александр Бодрик, вице-президент по ИБ Московского отделения ISACA, экс-исполнительный директор ANGARA MSSP "Механизмы координации управления системой ИБ в корпорациях - банки, нефтегаз, ИТ"
Время:
21 марта 19.00
Место:
Московский Политех.
ISACARuSec pinned «Пост для закрепления 0. До 20 марта открыта регистрация на очередную открытую бесплатную встречу ISACA Moscow. Тема встречи, управление ИБ. Программа встречи в посте ниже. Для регистрации необходимо указать ваши полные ФИО в письме на moscow.chapter@isaca.org.ru.…»
Все учебные материалы ISACA в одном месте.
http://www.isaca.org/info/interactive-training-tool/index.html
http://www.isaca.org/info/interactive-training-tool/index.html
Сегодня открылась одна из самых известных конференций в мире ИБ-RSAC.
Существенная часть материалов будет доступна бесплатно.
RSAC onDemand - Information Security Conference - US 2019 | RSA Conference
https://www.rsaconference.com/events/us19/rsac-ondemand
Существенная часть материалов будет доступна бесплатно.
RSAC onDemand - Information Security Conference - US 2019 | RSA Conference
https://www.rsaconference.com/events/us19/rsac-ondemand
Rsaconference
RSAC onDemand - Information Security Conference - US 2019 | RSA Conference
RSAC onDemand is new way to experience the best of RSA Conference. RSAC onDemand puts critical and relevant industry information wherever you are.