Forwarded from Пост Лукацкого
Секция «Практика управления киберрисками», которую я модерировал на AM Camp - https://t.co/mmdnpCiGls
— Alexey Lukatsky (@alukatsky) Aug 13, 2021
— Alexey Lukatsky (@alukatsky) Aug 13, 2021
YouTube
AM Camp: Summer 2021. Практика управления рисками кибербезопасности
#Киберриски #AMCamp #AMLIVE
Практика и риски информационная безопасность. Сочетаются ли эти понятия? Можно ли оценивать риски в нашей области и не лукавят ли вендора, интеграторы и консультация, к месту и не к месту вплетая слово «риски» в свои питчи, выступления…
Практика и риски информационная безопасность. Сочетаются ли эти понятия? Можно ли оценивать риски в нашей области и не лукавят ли вендора, интеграторы и консультация, к месту и не к месту вплетая слово «риски» в свои питчи, выступления…
Forwarded from SecAtor
А мы знаем, как эти выходные пройдут у IT в крупном секторе экономики.
Немецкий гигант программного обеспечения для предприятий SAP выпустил внушительный патч исправлений, закрыв 9 критических и особо серьезных уязвимостей. Важные:
- CVE-2021-33698: проблема с неограниченной загрузкой файлов в SAP Business One. Злоумышленник может использовать уязвимость для загрузки файлов сценария, что предполагает возможность использования уязвимости для выполнения произвольного кода.
- CVE-2021-33690: подделка запросов на стороне сервера SSRF, влияющая на инфраструктуру разработки NetWeaver. Злоумышленник может использовать уязвимость для прокси-атак, отправляя специально созданные запросы, и если целевой экземпляр доступен в Интернете, может полностью скомпрометировать конфиденциальные данные, находящиеся на сервере, и повлиять на их доступность.
- CVE-2021-33701: SQL-инъекцию в сервисе SAP NZDT (Near Zero Downtime Technology), используемом S / 4HANA и мобильным плагином DMIS.
Другие (высокой степени серьезности):
- Ошибки межсайтового скриптинга (XSS): уязвимости XSS позволяют внедрять код JavaScript на сервлет-порталы и выполнять его в браузере жертвы.
- Бага в SSRF в NetWeaver Enterprise Portal: ошибка позволяет неаутентифицированному злоумышленнику делать запросы к внутренним или внешним серверам, заставляя целевого пользователя щелкнуть вредоносную ссылку.
- Проблема аутентификации, затрагивающую все системы SAP, доступ к которым осуществляется через Web Dispatcher.
- Ошибка перехвата задачи в мобильном приложении Fiori Client для Android.
- Ошибка аутентификации в SAP Business One.
По оценкам экспертов, текущие исправления SAP (считая исправления HotNews и High Priority) являются самыми масштабными в этом году.
Особое внимание к ним со стороны хакподполья потребует и особых усилий от IT. Ведь выстраивание вектора под уязвимости, как мы помним, занимает всего несколько дней после выпуска исправлений.
Немецкий гигант программного обеспечения для предприятий SAP выпустил внушительный патч исправлений, закрыв 9 критических и особо серьезных уязвимостей. Важные:
- CVE-2021-33698: проблема с неограниченной загрузкой файлов в SAP Business One. Злоумышленник может использовать уязвимость для загрузки файлов сценария, что предполагает возможность использования уязвимости для выполнения произвольного кода.
- CVE-2021-33690: подделка запросов на стороне сервера SSRF, влияющая на инфраструктуру разработки NetWeaver. Злоумышленник может использовать уязвимость для прокси-атак, отправляя специально созданные запросы, и если целевой экземпляр доступен в Интернете, может полностью скомпрометировать конфиденциальные данные, находящиеся на сервере, и повлиять на их доступность.
- CVE-2021-33701: SQL-инъекцию в сервисе SAP NZDT (Near Zero Downtime Technology), используемом S / 4HANA и мобильным плагином DMIS.
Другие (высокой степени серьезности):
- Ошибки межсайтового скриптинга (XSS): уязвимости XSS позволяют внедрять код JavaScript на сервлет-порталы и выполнять его в браузере жертвы.
- Бага в SSRF в NetWeaver Enterprise Portal: ошибка позволяет неаутентифицированному злоумышленнику делать запросы к внутренним или внешним серверам, заставляя целевого пользователя щелкнуть вредоносную ссылку.
- Проблема аутентификации, затрагивающую все системы SAP, доступ к которым осуществляется через Web Dispatcher.
- Ошибка перехвата задачи в мобильном приложении Fiori Client для Android.
- Ошибка аутентификации в SAP Business One.
По оценкам экспертов, текущие исправления SAP (считая исправления HotNews и High Priority) являются самыми масштабными в этом году.
Особое внимание к ним со стороны хакподполья потребует и особых усилий от IT. Ведь выстраивание вектора под уязвимости, как мы помним, занимает всего несколько дней после выпуска исправлений.
Инвесторы подали в суд на руководство Solarwind
https://www.secureworld.io/industry-news/ciso-lawsuit-solarwinds
https://www.secureworld.io/industry-news/ciso-lawsuit-solarwinds
www.secureworld.io
Suing the CISO: SolarWinds Fires Back
Investors are suing the CISO of SolarWinds following the nation-state cyberattack against the company. Is this a warning for security leaders everywhere?
Forwarded from Пост Лукацкого
Интересный обзор внутренней кухни SOC/NOC на BlackHat. Cisco уже много лет участвует в работе SOCов на RSAC и BlackHat и всегда что-то интересное происходит - https://blogs.cisco.com/security/black-hat-usa-2021-network-operations-center
Cisco Blogs
Black Hat USA 2021 Network Operations Center
Cisco Secure is a Supporting Partner of the Black Hat NOC, and the Official Malware Analysis, MDM & DNS Provider. Check out this blog on how Cisco helped secure Black Hat USA 2021.
NFT, Quantum ML, Generative AI, Homomorphic Encryption and Composable Applications and Networks Among Key Technologies to Watch
Forwarded from SecAtor
Нашим соотечественникам стоит задуматься и взять пример с жителей Поднебесной, власти которой анонсировали новый масштабный закон о конфиденциальности, направленный на предотвращение сбора коммерческими компаниями личных данных пользователей страны, коих по состоянию на конец 2020 года насчитывалось почти 1 млрд. Его принятие обусловлено тем, что пропорционально росту Интернет-аудитории в стране фиксируется увеличение числа мошенничества, завязанного на утечки. Новые правила вступят в силу уже 1 ноября 2021 года.
Пекин нацелен на мировых технологических гигантов, которые крутят личными данными как хотят. Согласно новым правилам, они должны будут сократить сбор данных и получить согласие пользователей. Ожидается, что новые правила приведут вызовут шок у технологического сектора Китая и не только, вопросы уже возникли к Didi и Tencent. На фоне новых требований просматривается хороший сигнал для манипулиций и на фондовом рынке. Как известно, позиции акции китайских технологических компаний, включая Alibaba и Tencent уже упали.
IT-компании в свою защиту аргументируют сбор данных в интересах профилирования пользователей и рекламного продвижения. Но все помнят как китайские наблюдательные органы выявляли случаи цифровой дискриминации, когда десятки тысяч клиентов жаловались на то, что им приходится платить больше за вызов такси с помощью iPhone, чем через более дешевую модель мобильного телефона, или за билеты, если они приобретались для бизнес-поездок.
Закон разработан по образцу Общего регламента Европейского Союза о защите данных. Нарушители могут быть подвергнуты штрафам до 7,6 миллионов долларов или 5% от их годового оборота.
Что интересно: действие закона затронет и хваленные системы наблюдения в китайских мегаполисах, которые оборудованы системами распознавания лиц и массово собирающие биометрическую информацию. В соответствии с новыми правилами потребуется публичная маркировка камер, предупреждающая граждан о видеосъемке. Главное, что сбор и обращение полученных данных будут ограничиваться исключительно обеспечением общественной безопасности, коммерческое использование будет запрещено.
Отдельно отмечено, что личные данные граждан КНР не могут быть переданы в страны с более низкими стандартами безопасности, нежели в Поднебесной, что просто обяжет экономически зависимое мировое сообщество, и прежде всего – бизнес, со временем выстроить аналогичные законодательные конструкции и у себя.
Пекин нацелен на мировых технологических гигантов, которые крутят личными данными как хотят. Согласно новым правилам, они должны будут сократить сбор данных и получить согласие пользователей. Ожидается, что новые правила приведут вызовут шок у технологического сектора Китая и не только, вопросы уже возникли к Didi и Tencent. На фоне новых требований просматривается хороший сигнал для манипулиций и на фондовом рынке. Как известно, позиции акции китайских технологических компаний, включая Alibaba и Tencent уже упали.
IT-компании в свою защиту аргументируют сбор данных в интересах профилирования пользователей и рекламного продвижения. Но все помнят как китайские наблюдательные органы выявляли случаи цифровой дискриминации, когда десятки тысяч клиентов жаловались на то, что им приходится платить больше за вызов такси с помощью iPhone, чем через более дешевую модель мобильного телефона, или за билеты, если они приобретались для бизнес-поездок.
Закон разработан по образцу Общего регламента Европейского Союза о защите данных. Нарушители могут быть подвергнуты штрафам до 7,6 миллионов долларов или 5% от их годового оборота.
Что интересно: действие закона затронет и хваленные системы наблюдения в китайских мегаполисах, которые оборудованы системами распознавания лиц и массово собирающие биометрическую информацию. В соответствии с новыми правилами потребуется публичная маркировка камер, предупреждающая граждан о видеосъемке. Главное, что сбор и обращение полученных данных будут ограничиваться исключительно обеспечением общественной безопасности, коммерческое использование будет запрещено.
Отдельно отмечено, что личные данные граждан КНР не могут быть переданы в страны с более низкими стандартами безопасности, нежели в Поднебесной, что просто обяжет экономически зависимое мировое сообщество, и прежде всего – бизнес, со временем выстроить аналогичные законодательные конструкции и у себя.
新华网
China Focus: China adopts new law to protect personal information
BEIJING, Aug. 20 (Xinhua) -- China's top legislature on Friday voted to adopt a new law on personal information protection, which will take effect on Nov. 1.
Mobile Application Single Sign-On | NCCoE
The NCCoE has released the final NIST Cybersecurity Practice Guide SP 1800-13, Mobile Application Single Sign-On.
https://www.nccoe.nist.gov/projects/use-cases/mobile-sso
The NCCoE has released the final NIST Cybersecurity Practice Guide SP 1800-13, Mobile Application Single Sign-On.
https://www.nccoe.nist.gov/projects/use-cases/mobile-sso
Forwarded from k8s (in)security (D1g1)
Крутая картинка со систематизацией Kubernetes Privilage Escalation! (Автор не известен.)
И Red team и Blue team это все очень полезно знать.
P.S. Сегодня на ZeroNights - буду рад пообщаться лично, пообсуждать Kubernetes ;)
И Red team и Blue team это все очень полезно знать.
P.S. Сегодня на ZeroNights - буду рад пообщаться лично, пообсуждать Kubernetes ;)
Forwarded from SecAtor
Специалистами Cisco была обнаружена критическая уязвимость и экстренно выпущен соответствующий патч. Угроза касается интерфейса Application Policy Infrastructure Controller (APIC), используемого в коммутаторах серии Nexus 9000.
Речь идет о CVE-2021-1577 (оценка CVSS: 9,1), эксплуатация которой связана с неправильным контролем доступа и позволяет злоумышленнику, не прошедшему проверку подлинности, загрузить файл на устройство.
Cisco заявила, что обнаружила уязвимость во время внутреннего тестирования безопасности своих девайсов, проведенного собственной группой киберзащиты Cisco Advanced Security Initiatives Group (ASIG).
Публичных фактов эксплуатации на данный момент пока не зафиксировано, что дает фору админам, дабы успеть накатить патч.
Как показывает практика, представители хакподполья тоже не теряют время даром, умудряясь придумывать способы закрепиться в уязвимых хостах.
Речь идет о CVE-2021-1577 (оценка CVSS: 9,1), эксплуатация которой связана с неправильным контролем доступа и позволяет злоумышленнику, не прошедшему проверку подлинности, загрузить файл на устройство.
Cisco заявила, что обнаружила уязвимость во время внутреннего тестирования безопасности своих девайсов, проведенного собственной группой киберзащиты Cisco Advanced Security Initiatives Group (ASIG).
Публичных фактов эксплуатации на данный момент пока не зафиксировано, что дает фору админам, дабы успеть накатить патч.
Как показывает практика, представители хакподполья тоже не теряют время даром, умудряясь придумывать способы закрепиться в уязвимых хостах.
Cisco
Cisco Security Advisory: Cisco Application Policy Infrastructure Controller Arbitrary File Read and Write Vulnerability
A vulnerability in an API endpoint of Cisco Application Policy Infrastructure Controller (APIC) and Cisco Cloud Application Policy Infrastructure Controller (Cloud APIC) could allow an unauthenticated, remote attacker to read or write arbitrary files on an…