NEW BOT Телеграм, страница

Немецкий разработчик SAP выпустил 12 исправлений безопасности, а также обновления для трех ранее выпущенных.

Наиболее важные из них касаются серьёзных уязвимостей в NetWeaver: CVE-2021-33671 (отсутствие проверки авторизации), CVE-2021-33670 (отказ в обслуживании).

Первый недостаток затрагивает управляемые процедуры SAP NetWeaver (SAP GP) в компоненте Composite Application Framework (CAF), который обеспечивает доступ к серверным системам. Отсутствие авторизации было обнаружено в средстве централизованного администрирования для GP и могло привести к несанкционированному доступу и манипулированию данными.

Вторая уязвимость была связана с некорректной работой Java (http-service) в SAP NetWeaver AS и позволяла потенциальному злоумышленнику манипулировать HTTP-запросами, вызывая состояние отказа в обслуживании.

SAP также выпустила девять исправлений уязвимостей в CRM ABAP, NetWeaver AS ABAP и ABAP Platform, Lumira Server, Web Dispatcher и Internet Communication Manager, NetWeaver AS для Java (Enterprise Portal), Business Objects Web Intelligence (BI Launchpad) и 3D Visual Enterprise Viewer.

Кроме того, компания выпустила обновления для Hot News: одно из них касается браузера Chromium в SAP Business Client, а другое - NetWeaver ABAP Server и ABAP Platform.

Исправлена уязвимость XML External Entity (XXE) в интеграции процессов SAP (ESR Java Mappings).

177 views12:48

ISACARuSec

Forwarded from k8s (in)security (D1g1)

Ни одно серьезное приложение сегодня уже не обходится без сервиса хранения данных. И естественно данный сервис или скорее данные находящиеся там являются чаще всего целью для плохих парней. О защите данного сервиса много говорится и в документе "Cloud Native Security Whitepaper" в разделе "Storage". И вот Microsoft выпустила еще и свою "Threat matrix for storage services". Видимо им очень это понравилось делать самостоятельно без организации MITRE, как они уже делали для Kubernetes.

В матрице, конечно, просматривается некоторый ориентир на специфику Azure, но как база подойдет как для любых managed инсталляций, так и onprem. Помним об обилие решений в категории Cloud Native Storage в CNCF Cloud Native Landscape и то что каждое из этих решений обладает своими механизмами, настройками безопасности, которые требуют правильной конфигурации.

234 views13:34

ISACARuSec

https://twitter.com/ArchieScorp/status/1415179248407519234

Twitter

Alexander Redchits

Вышло обновление модели зрелости кибербезопасности "Essential Eight Maturity Model" от ACSC: Больше фокус на управление рисками, ежедневное сканирование на уязвимости для интернет-сервисов и внедрение нулевого уровня зрелости cyber.gov.au/acsc/view-all-…

602 viewsedited 17:54

ISACARuSec

https://docs.microsoft.com/en-us/azure/active-directory/fundamentals/security-operations-introduction

Docs

Microsoft Entra security operations guide - Microsoft Entra

Learn to monitor, identify, and alert on security issues with accounts, applications, devices, and infrastructure in Microsoft Entra ID.

546 views20:09

ISACARuSec

Кибератаки и утечки НЕ влияют на стоимость акций компании. За редким исключением - если в ходе утечки не утекут документы по фактам нарушения законов компанией.

https://swagitda.com/blog/posts/markets-dgaf-about-cybersecurity/

Kelly Shortridge

Markets DGAF About Cybersecurity

Do public markets actually care about cybersecurity? The evidence suggests no.

594 views05:39

ISACARuSec

https://news.crunchbase.com/news/funding-pours-into-cybersecurity-as-first-half-numbers-eclipse-last-years-total/

Crunchbase News

Funding Pours Into Cybersecurity As Mid-Year 2021 Numbers Eclipse Last Year’s Total

Although only halfway through the year, 2021 already has surpassed the record-breaking $7.8 billion raised by cybersecurity companies last year — and a lot more is likely to come.

534 views10:20

ISACARuSec

https://docs.microsoft.com/en-us/windows-server/security/windows-services/security-guidelines-for-disabling-system-services-in-windows-server

Docs

Security guidelines for system services in Windows Server 2016

Provides security guidelines and recommendations for disabling services in Windows Server 2016 with Desktop Experience.

680 views04:10

ISACARuSec

https://www.nist.gov/blogs/cybersecurity-insights/iot-non-technical-supporting-capabilities-you-talked-we-listened

NIST

IoT Non-Technical Supporting Capabilities: You Talked, We Listened

As part of our ongoing community engagement following the publication of

576 views05:35

ISACARuSec

https://aws.amazon.com/ru/blogs/apn/how-to-decide-between-building-or-buying-a-cis-hardened-image/

Amazon

How to Decide Between Building or Buying a CIS Hardened Image | Amazon Web Services

The Center for Internet Security (CIS) is responsible for the CIS Controls and CIS Benchmarks, which are globally recognized best practices for securing IT systems and data. The implementation of these can help harden systems through various means, whether…

569 views05:38

ISACARuSec

Forwarded from k8s (in)security (D1g1)

В 2019 году на конференции KubeCon сотрудник U.S. Air Force и Department of Defense (DoD) выступил с любопытным докладом "How the Department of Defense Moved to Kubernetes and Istio".

Как оказалось подход DoD к работе с Kubernetes представлен не только в этом выступлении, но и в целой серии публичных документов. Среди них наиболее близким к тематике канала является документ "DoD Enterprise DevSecOps Reference Design: CNCF Kubernetes" от 2021 года. По сути, документ рассказывает о том, как они подходят к безопасности с использование Kubernetes - для ознакомления он точно MUST READ! Его можно разбить на море отдельных постов, но я выделю несколько на мой взгляд ключевых моментов:

1) Containerized Software Factory - все включая CI/CD pipline контейнерезировано и запущено в Kubernetes, чтобы ко всему применять одни и те же подходы по защите и контролю контейнеров и уменьшить blast radius.
2) Sidecar Container Security Stack (SCSS) - ничему не доверяем и в каждый Pod инжектим sidecar с кучей функций по security, logging, telemetry и т.д. для ZeroTrust.
3) Service Mesh - покрывает все для контроля и распределения всего east-west трафика.
4) Locally Centralized Artifact Repository - централизованное локальное хранилище для всех артефактов с пройденным hardening'ом.

И еще там многое всего другого интересного: IaC/CaC, GitOps, SOAR и т.д.

Все это впечатляет конечно!

YouTube

How the Department of Defense Moved to Kubernetes and Istio - Nicolas Chaillan

Join us for Kubernetes Forums Seoul, Sydney, Bengaluru and Delhi - learn more at kubecon.io

Don't miss KubeCon + CloudNativeCon 2020 events in Amsterdam March 30 - April 2, Shanghai July 28-30 and Boston November 17-20! Learn more at kubecon.io. The conference…

199 views07:38

ISACARuSec

Forwarded from Листок бюрократической защиты информации

Проекты ГОСТов от ФСТЭК России

ФСТЭК России представила для общественного обозрения проекты национальных стандартов ГОСТ Р:

🔹 Управление инцидентами, связанными с безопасностью информации. Принципы менеджмента инцидентов.

🔹 Управление инцидентами, связанными с безопасностью информации. Руководство по планированию и подготовке к реагированию на инциденты.

🔹 Управление инцидентами, связанными с безопасностью информации. Руководство по реагированию на инциденты в сфере информационных и компьютерных технологий.

163 views12:40

ISACARuSec

https://csrc.nist.gov/publications/detail/sp/800-47/rev-1/final

CSRC | NIST

NIST Special Publication (SP) 800-47 Rev. 1, Managing the Security of Information Exchanges