https://www.gartner.com/en/publications/security-risk-top-priorities-for-it-leadership-vision-2021
By 2023, 30% of chief information security officers’ effectiveness will be directly measured on the role’s ability to create value for the business.
By 2023, 30% of chief information security officers’ effectiveness will be directly measured on the role’s ability to create value for the business.
Gartner
Priorities for Security and Risk Management Leaders
Download this e-book highlighting emerging trends, expected challenges, and the next actions plan for security and risk management leaders to take in 2021.
https://www.nist.gov/news-events/news/2021/07/nist-delivers-two-key-publications-enhance-software-supply-chain-security
Having defined critical software last month, NIST today published guidance outlining security measures for critical software use after consulting with the Cybersecurity & Infrastructure Security Agency (CISA) and the Office of Management and Budget (OMB).
NIST also published guidelines recommending minimum standards for vendors’ testing of their software source code after consulting with the National Security Agency (NSA) as required under the EO.
Having defined critical software last month, NIST today published guidance outlining security measures for critical software use after consulting with the Cybersecurity & Infrastructure Security Agency (CISA) and the Office of Management and Budget (OMB).
NIST also published guidelines recommending minimum standards for vendors’ testing of their software source code after consulting with the National Security Agency (NSA) as required under the EO.
NIST
NIST Delivers Two Key Publications to Enhance Software Supply Chain Security Called for by Executive Order
NIST today fulfilled two of its
https://m.habr.com/ru/company/mailru/blog/560814/ редкий пример публичного кейса частного облака на основе публичной платформы в РФ.
Хабр
Как MCS и Х5 построили частное облако в энтерпрайзе, чтобы быстро получать готовые сервисы
Castle in the sky by PiotrDura Публичное и частное облако одного провайдера — два разных продукта или одна и та же платформа, просто развернутая на разном оборудовании? На примере решения для Х5...
Forwarded from SecAtor
Немецкий разработчик SAP выпустил 12 исправлений безопасности, а также обновления для трех ранее выпущенных.
Наиболее важные из них касаются серьёзных уязвимостей в NetWeaver: CVE-2021-33671 (отсутствие проверки авторизации), CVE-2021-33670 (отказ в обслуживании).
Первый недостаток затрагивает управляемые процедуры SAP NetWeaver (SAP GP) в компоненте Composite Application Framework (CAF), который обеспечивает доступ к серверным системам. Отсутствие авторизации было обнаружено в средстве централизованного администрирования для GP и могло привести к несанкционированному доступу и манипулированию данными.
Вторая уязвимость была связана с некорректной работой Java (http-service) в SAP NetWeaver AS и позволяла потенциальному злоумышленнику манипулировать HTTP-запросами, вызывая состояние отказа в обслуживании.
SAP также выпустила девять исправлений уязвимостей в CRM ABAP, NetWeaver AS ABAP и ABAP Platform, Lumira Server, Web Dispatcher и Internet Communication Manager, NetWeaver AS для Java (Enterprise Portal), Business Objects Web Intelligence (BI Launchpad) и 3D Visual Enterprise Viewer.
Кроме того, компания выпустила обновления для Hot News: одно из них касается браузера Chromium в SAP Business Client, а другое - NetWeaver ABAP Server и ABAP Platform.
Исправлена уязвимость XML External Entity (XXE) в интеграции процессов SAP (ESR Java Mappings).
Наиболее важные из них касаются серьёзных уязвимостей в NetWeaver: CVE-2021-33671 (отсутствие проверки авторизации), CVE-2021-33670 (отказ в обслуживании).
Первый недостаток затрагивает управляемые процедуры SAP NetWeaver (SAP GP) в компоненте Composite Application Framework (CAF), который обеспечивает доступ к серверным системам. Отсутствие авторизации было обнаружено в средстве централизованного администрирования для GP и могло привести к несанкционированному доступу и манипулированию данными.
Вторая уязвимость была связана с некорректной работой Java (http-service) в SAP NetWeaver AS и позволяла потенциальному злоумышленнику манипулировать HTTP-запросами, вызывая состояние отказа в обслуживании.
SAP также выпустила девять исправлений уязвимостей в CRM ABAP, NetWeaver AS ABAP и ABAP Platform, Lumira Server, Web Dispatcher и Internet Communication Manager, NetWeaver AS для Java (Enterprise Portal), Business Objects Web Intelligence (BI Launchpad) и 3D Visual Enterprise Viewer.
Кроме того, компания выпустила обновления для Hot News: одно из них касается браузера Chromium в SAP Business Client, а другое - NetWeaver ABAP Server и ABAP Platform.
Исправлена уязвимость XML External Entity (XXE) в интеграции процессов SAP (ESR Java Mappings).
Forwarded from k8s (in)security (D1g1)
Ни одно серьезное приложение сегодня уже не обходится без сервиса хранения данных. И естественно данный сервис или скорее данные находящиеся там являются чаще всего целью для плохих парней. О защите данного сервиса много говорится и в документе "Cloud Native Security Whitepaper" в разделе "
В матрице, конечно, просматривается некоторый ориентир на специфику
Storage". И вот Microsoft выпустила еще и свою "Threat matrix for storage services". Видимо им очень это понравилось делать самостоятельно без организации MITRE, как они уже делали для Kubernetes.В матрице, конечно, просматривается некоторый ориентир на специфику
Azure, но как база подойдет как для любых managed инсталляций, так и onprem. Помним об обилие решений в категории Cloud Native Storage в CNCF Cloud Native Landscape и то что каждое из этих решений обладает своими механизмами, настройками безопасности, которые требуют правильной конфигурации.