Не знаю как вы, а я люблю (и вижу это полезным) периодически возвращаться к статьям, которые уже читал - со временем и с новым опытом порой на одну и ту же информацию начинаешь смотреть и понимать по-другому.

Перечитывал "Service Discovery in Kubernetes - Combining the Best of Two Worlds" и знать это полезно не только для понимания как все устроено и повышения надежности работы системы, но и для повышения уровня безопасности (и там, где Kubernetes не используется вовсе).

Знаю, что в некоторых компаниях над service discovery много что надстраивают в плане безопасности. На пример, момент инвентаризации сервисов, может ли вообще service использоваться в данном окружении, с кем он и как может общаться и т.д. Сам Service Registry обогащается дополнительной информацией, контекстом и становиться немного умнее (но при этом не стоит забывать и об угрозах и атаках связанным с этим).

В разрезе Kubernetes, я бы это сформулировал как управление созданием ресурсов Service через policy engines, контроль применения NetworkPolicy.

P.S. Внутри этой статьи есть классные отсылки на замечательный сайт "Microservice Architecture", где отдельно отмечу раздел Patterns. Правильная безопасность, начинается с правильной архитектуры - иначе все может превратиться в латание дыр и набор костылей ...

ISACA website will be taken offline for about a week in September.

It is important to note that online/electronic exam preparation materials (e.g., online courses and ebooks) will not be accessible during the outage, which is planned for 8-14 September.

Секция «Практика управления киберрисками», которую я модерировал на AM Camp - https://t.co/mmdnpCiGls
— Alexey Lukatsky (@alukatsky) Aug 13, 2021

​​А мы знаем, как эти выходные пройдут у IT в крупном секторе экономики.

Немецкий гигант программного обеспечения для предприятий SAP выпустил внушительный патч исправлений, закрыв 9 критических и особо серьезных уязвимостей. Важные:

- CVE-2021-33698: проблема с неограниченной загрузкой файлов в SAP Business One. Злоумышленник может использовать уязвимость для загрузки файлов сценария, что предполагает возможность использования уязвимости для выполнения произвольного кода.

- CVE-2021-33690: подделка запросов на стороне сервера SSRF, влияющая на инфраструктуру разработки NetWeaver. Злоумышленник может использовать уязвимость для прокси-атак, отправляя специально созданные запросы, и если целевой экземпляр доступен в Интернете, может полностью скомпрометировать конфиденциальные данные, находящиеся на сервере, и повлиять на их доступность.

- CVE-2021-33701: SQL-инъекцию в сервисе SAP NZDT (Near Zero Downtime Technology), используемом S / 4HANA и мобильным плагином DMIS.

Другие (высокой степени серьезности):
- Ошибки межсайтового скриптинга (XSS): уязвимости XSS позволяют внедрять код JavaScript на сервлет-порталы и выполнять его в браузере жертвы.
- Бага в SSRF в NetWeaver Enterprise Portal: ошибка позволяет неаутентифицированному злоумышленнику делать запросы к внутренним или внешним серверам, заставляя целевого пользователя щелкнуть вредоносную ссылку.
- Проблема аутентификации, затрагивающую все системы SAP, доступ к которым осуществляется через Web Dispatcher.
- Ошибка перехвата задачи в мобильном приложении Fiori Client для Android.
- Ошибка аутентификации в SAP Business One.

По оценкам экспертов, текущие исправления SAP (считая исправления HotNews и High Priority) являются самыми масштабными в этом году.

Особое внимание к ним со стороны хакподполья потребует и особых усилий от IT. Ведь выстраивание вектора под уязвимости, как мы помним, занимает всего несколько дней после выпуска исправлений.

Инвесторы подали в суд на руководство Solarwind

https://www.secureworld.io/industry-news/ciso-lawsuit-solarwinds

Интересный обзор внутренней кухни SOC/NOC на BlackHat. Cisco уже много лет участвует в работе SOCов на RSAC и BlackHat и всегда что-то интересное происходит - https://blogs.cisco.com/security/black-hat-usa-2021-network-operations-center

NFT, Quantum ML, Generative AI, Homomorphic Encryption and Composable Applications and Networks Among Key Technologies to Watch

Нашим соотечественникам стоит задуматься и взять пример с жителей Поднебесной, власти которой анонсировали новый масштабный закон о конфиденциальности, направленный на предотвращение сбора коммерческими компаниями личных данных пользователей страны, коих по состоянию на конец 2020 года насчитывалось почти 1 млрд. Его принятие обусловлено тем, что пропорционально росту Интернет-аудитории в стране фиксируется увеличение числа мошенничества, завязанного на утечки. Новые правила вступят в силу уже 1 ноября 2021 года.

Пекин нацелен на мировых технологических гигантов, которые крутят личными данными как хотят. Согласно новым правилам, они должны будут сократить сбор данных и получить согласие пользователей. Ожидается, что новые правила приведут вызовут шок у технологического сектора Китая и не только, вопросы уже возникли к Didi и Tencent. На фоне новых требований просматривается хороший сигнал для манипулиций и на фондовом рынке. Как известно, позиции акции китайских технологических компаний, включая Alibaba и Tencent уже упали.

IT-компании в свою защиту аргументируют сбор данных в интересах профилирования пользователей и рекламного продвижения. Но все помнят как китайские наблюдательные органы выявляли случаи цифровой дискриминации, когда десятки тысяч клиентов жаловались на то, что им приходится платить больше за вызов такси с помощью iPhone, чем через более дешевую модель мобильного телефона, или за билеты, если они приобретались для бизнес-поездок.

Закон разработан по образцу Общего регламента Европейского Союза о защите данных. Нарушители могут быть подвергнуты штрафам до 7,6 миллионов долларов или 5% от их годового оборота.

Что интересно: действие закона затронет и хваленные системы наблюдения в китайских мегаполисах, которые оборудованы системами распознавания лиц и массово собирающие биометрическую информацию. В соответствии с новыми правилами потребуется публичная маркировка камер, предупреждающая граждан о видеосъемке. Главное, что сбор и обращение полученных данных будут ограничиваться исключительно обеспечением общественной безопасности, коммерческое использование будет запрещено.

Отдельно отмечено, что личные данные граждан КНР не могут быть переданы в страны с более низкими стандартами безопасности, нежели в Поднебесной, что просто обяжет экономически зависимое мировое сообщество, и прежде всего – бизнес, со временем выстроить аналогичные законодательные конструкции и у себя.