NEW BOT Телеграм, страница

если нужно доступно объяснить что такое шифровальщик для англоязычного коллеги 🙂

еще раз дублируем, что похожего мы встречали

Хорошое соло, женский вокал
https://mobile.twitter.com/racheltobac/status/1352409636792492035

В стиле рэп
https://m.soundcloud.com/user-315163474/cyber-anthem

Если кто-то похожие песни или произведения видел - поделитесь в комментах. Видел ли кто-то подобное на русском?

Twitter

Rachel Tobac

To reach the ~youth~ we're going to have to make infosec sea shanties, aren't we? Guess so! Behold the tale of kid who reuses their passwords & ends up pwn'd, then learns how to stay safe. We're on a mission to encourage unique passwords stored in a password…

618 viewsedited 08:15

ISACARuSec

Forwarded from Необязательное Мнение

Слышали песню, которая выиграла Pwnie Award в этом году? The Ransomware Song, прикольная. А Qualys аж в двух номинациях отметились, молодцы.

YouTube

The Ransomware Song (Just Blame Math)

Finally, a use for math!
Winner of Best Song at the 2021 Pwnie Awards: https://pwnies.com/winners/

New tech songs drop first on Twitter: https://twitter.com/forrestbrazeal

Music and lyrics by Forrest Brazeal:
One day I asked my teacher, What use is math…

222 views08:15

ISACARuSec

https://www.bsigroup.com/en-GB/our-services/events/webinars/2021/delivering-operational-cyber-resilience-a-critical-ingredient-for-food-sector-organizations/

Bsigroup

Cybersecurity is a C-suite opportunity

The first session in our four-part webinar series provides an overview of how cybersecurity vulnerabilities, if left unaddressed, will impact the functional areas under the CEO, CFO, COO, CPO and CMO

550 views16:28

ISACARuSec

https://www.gartner.com/smarterwithgartner/your-first-100-days-as-a-new-chief-information-security-officer-2/

Gartner

Your First 100 Days as a New Chief Information Security Officer

Are you a new chief information security officer? @Gartner_IT shares a 100-day guide for you to be successful in your new role. Read on to learn more. #GartnerSEC #CISO

616 views16:30

ISACARuSec

714 views16:30

ISACARuSec

https://therecord.media/security-tools-showcased-at-black-hat-usa-2021/amp/

The Record by Recorded Future

Security tools showcased at Black Hat USA 2021

While everyone associates the Black Hat security conference with high-profile keynotes and state-of-the-art cybersecurity research, ever since the 2017 edition, the conference has also been the place where the cybersecurity community has also announced and…

598 views16:32

ISACARuSec

Вакансии для старта карьеры в Минцифре.

https://job.gosuslugi.ru/

585 viewsedited 14:35

ISACARuSec

https://go.cobalt.io/the-state-of-pentesting-2021/

go.cobalt.io

State of Pentesting 2021

Data from 1602 pentests and 601 responses summarizes the most common security vulnerabilities for different assets and industries.

574 views17:02

ISACARuSec

552 views17:02

ISACARuSec

https://cloudsecuritypodcast.libsyn.com/-soc-in-a-large-complex-and-evolving-organization

Libsyn

Cloud Security Podcast by Google: SOC in a Large, Complex and Evolving Organization

Guest: , Director of Information Security (CISO) @ ViacomCBS Streaming / Digital (at the time of the recording) Topics: What is the mission for your SOC? Has it evolved in recent years? How do you rate your state of maturity in security operations? I…

552 views17:04

ISACARuSec

https://medium.com/anton-on-security/anton-and-the-great-xdr-debate-part-1-8ed148c3cee4

Medium

Anton and The Great XDR Debate, Part 1

I know you may hate me for this, but I‘ve been finally tempted into the Great XDR Debate.

552 views17:08

ISACARuSec

Forwarded from Листок бюрократической защиты информации

⚡️ Аттестация по-новому

Официально опубликован Порядок организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну, утверждённый приказом ФСТЭК России от 29 апреля 2021 г.
№ 77.
Указанный Порядок будет применяться для аттестации объектов информатизации с 1 сентября 2021 г.

Из интересного:

1. Рассматриваемый Порядок применяется при аттестации:
- ГИС и МИС (приказ ФСТЭК № 17);
- информационных систем управления производством, используемых организациями ОПК (приказ ФСТЭК №31дсп), в том числе автоматизированных систем станков с ЧПУ;
- Защищаемых помещений.
2. В случае если было принято соответсвующее решение, то рассматриваемый Порядок применяется для аттестации:
- ЗОКИИ (приказ ФСТЭК № 239);
- ИСПДн (приказ ФСТЭК № 21);
- АСУ ТП на КВО, потенциально опасных объектах, объектах, представляющих повышенную опасность для жизни и здоровья людей и окружающей природной среды (приказ ФСТЭК № 31).
3. Порядок оперирует следующими сущностями: владелец ОИ, орган по аттестации, аттестационная комиссия, ФСТЭК России.
4. Определен минимальный состав аттестационной комиссии органа по аттестации: руководитель комиссии и менее двух компетентных экспертов.
5. Появилось прямое требование о дистанцировании, изоляции членов комиссии от влияния владельца аттестуемого ОИ.
6. Установлен срок направления владельцу ОИ заключения по результатам аттестационных испытаний и протоколов аттестационных испытаний - 5 рабочих дней с момента утверждения.
7. Описан порядок обжалования выявленных недостатков в ходе аттестации.
8. Установлена обязанность направления органом по аттестации в ФСТЭК России следующих документов: аттестата соответствия, ТП, акта классификации/акта категорирования, ПМИ, заключений и протоколов.
9. Постулируется, что аттестат соответствия будет выдаваться на весь срок эксплуатации ОИ, но периодический контроль аттестованных ОИ должен проводиться не реже 1 раза в два года. Документы по результатам контроля направляются владельцем ОИ в ФСТЭК России.
10. Описан порядок приостановления и возобновления действия аттестата соответствия ФСТЭК России.
11. Установлена обязанность представления органами по аттестации информации об аттестованных ОИ.

ФСТЭК России придумала, как заполучить акт категорирования объекта КИИ, который предоставлять регулятору ранее не требовалось. Интересно, эта информация будет использоваться для выявления правонарушений по ч. 1 ст. 19.7 прим 15 КОАП (Непредставление или нарушение сроков представления в ФСТЭК России, сведений о результатах присвоения объекту критической информационной инфраструктуры Российской Федерации одной из категорий значимости, предусмотренных законодательством в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, либо об отсутствии необходимости присвоения ему одной из таких категорий).

P.S.: а куда делся пункт 32 Порядка?

195 views07:53

ISACARuSec

Forwarded from k8s (in)security (D1g1)

Не знаю как вы, а я люблю (и вижу это полезным) периодически возвращаться к статьям, которые уже читал - со временем и с новым опытом порой на одну и ту же информацию начинаешь смотреть и понимать по-другому.

Перечитывал "Service Discovery in Kubernetes - Combining the Best of Two Worlds" и знать это полезно не только для понимания как все устроено и повышения надежности работы системы, но и для повышения уровня безопасности (и там, где Kubernetes не используется вовсе).

Знаю, что в некоторых компаниях над service discovery много что надстраивают в плане безопасности. На пример, момент инвентаризации сервисов, может ли вообще service использоваться в данном окружении, с кем он и как может общаться и т.д. Сам Service Registry обогащается дополнительной информацией, контекстом и становиться немного умнее (но при этом не стоит забывать и об угрозах и атаках связанным с этим).

В разрезе Kubernetes, я бы это сформулировал как управление созданием ресурсов Service через policy engines, контроль применения NetworkPolicy.

P.S. Внутри этой статьи есть классные отсылки на замечательный сайт "Microservice Architecture", где отдельно отмечу раздел Patterns. Правильная безопасность, начинается с правильной архитектуры - иначе все может превратиться в латание дыр и набор костылей ...

Iximiuz

Service Discovery in Kubernetes: Combining the Best of Two Worlds

What is Service Discovery pattern? Server-side vs client-side Service Discovery. How Service Discovery works in Kubernetes. Short answer - kube-proxy rules.

221 views06:11

ISACARuSec

https://cloud.google.com/architecture/owasp-top-ten-mitigation

Google Cloud

OWASP Top 10 2021 mitigation options on Google Cloud | Cloud Architecture Center

Helps you identify Google Cloud products and mitigation strategies that can help you defend against common application-level attacks that are outlined in OWASP Top 10.

520 views06:18

ISACARuSec

https://twitter.com/philvenables/status/1425472219040387074

Twitter

Phil Venables

Controls-as-code: remember for modern platforms this isn't theory/aspirational, it's actually happening. Examples developed for OPA (Open Policy Agent) Gatekeeper at : github.com/open-policy-ag… And a set of predefined ones for GCP Anthos at: cloud.google.com/anthos…

551 viewsedited 06:19

ISACARuSec

ISACA website will be taken offline for about a week in September.

It is important to note that online/electronic exam preparation materials (e.g., online courses and ebooks) will not be accessible during the outage, which is planned for 8-14 September.

569 views10:03

About

Blog

Apps

Platform