Forwarded from Security Wine (бывший - DevSecOps Wine) (Denis Yakimov)
Common Threat Matrix for CI/CD Pipeline
В рамках доклада “Attacking and Securing CI/CD Pipeline” на конференции CODE BLUE 2021 Opentalks вышла матрица угроз MITRE ATT&CK для CI/CD: Threat Matrix for CI/CD Pipeline. Частично она переиспользует идеи, предложенные SLSA, расширяя перечень потенциальных угроз и мер безопасности. Про многое я писал в серии постов по моделированию угроз CI/CD [1,2,3] и возможности извлечения секретов из CI.
Очень понравился перечень мер безопасности, который сильно пересекается с тем, что прорабатывал я в рамках аналогичной активности (но не успел пока выложить в открытый доступ). Не стоит забывать, что создание модели угроз и требований ИБ для таких широких процессов, как сборка и деплой - это всегда про кастомизацию. Кому-то будет важно ограничить прямой доступ к CD, отделив процесс отдельной системой (например, AWX, для которого есть свой набор security практик) и закрыв PAM'ом. Для кого-то верификация сигнатур в CI/CD может быть очень дорогим процессом и они ограничиваются проставлением метатэгов на уровне централизованного репозитория артефактов. Сама по себе мера "Hardening CI/CD pipeline servers" может завезти вереницу проверок и возможных "переключателей" (пример вариации настроек).
#ops
В рамках доклада “Attacking and Securing CI/CD Pipeline” на конференции CODE BLUE 2021 Opentalks вышла матрица угроз MITRE ATT&CK для CI/CD: Threat Matrix for CI/CD Pipeline. Частично она переиспользует идеи, предложенные SLSA, расширяя перечень потенциальных угроз и мер безопасности. Про многое я писал в серии постов по моделированию угроз CI/CD [1,2,3] и возможности извлечения секретов из CI.
Очень понравился перечень мер безопасности, который сильно пересекается с тем, что прорабатывал я в рамках аналогичной активности (но не успел пока выложить в открытый доступ). Не стоит забывать, что создание модели угроз и требований ИБ для таких широких процессов, как сборка и деплой - это всегда про кастомизацию. Кому-то будет важно ограничить прямой доступ к CD, отделив процесс отдельной системой (например, AWX, для которого есть свой набор security практик) и закрыв PAM'ом. Для кого-то верификация сигнатур в CI/CD может быть очень дорогим процессом и они ограничиваются проставлением метатэгов на уровне централизованного репозитория артефактов. Сама по себе мера "Hardening CI/CD pipeline servers" может завезти вереницу проверок и возможных "переключателей" (пример вариации настроек).
#ops
Speaker Deck
Attacking and Securing CI/CD Pipeline
<strong>ATT&CK-like Threat Matrix for CI/CD Pipeline on GitHub:</strong>
https://github.com/rung/threat-matrix-cicd
--------
Place: CODE BLUE 2021 Op…
https://github.com/rung/threat-matrix-cicd
--------
Place: CODE BLUE 2021 Op…
Forwarded from Ilya Alekseyev
Коллеги, добрый день!
10 ноября в онлайн-формате пройдет мероприятие “Enterprise Open Source Summit #21: Взгляд со стороны бизнеса на открытый исходный код”.
Там можно будет послушать живые выступления Mark Shuttleworth (CANONICAL/UBUNTU, Founder & CEO), Frank Karlitschek (NEXTCLOUD, Founder & CEO), Philipp Reisner (LINBIT/DRBD, Founder & CEO), Michael Meeks (COLLABORA, Founder & MD), Alberto Martí (OPENNEBULA, Founder & VP of Open Source Community Relations) и зарядиться боди-позитивоом, почему OpenSource Enterprise Edition не менее важен для развития коммьюнити проектов OSS.
Прямая ссылка для регистрации на мероприятие: https://hopin.com/events/enterprise-open-source-event
Посмотреть описание и программу мероприятия на русском языке можно тут: https://www.fgts.ru/page/enterprise-open-source-summit
Мероприятие будет проходить на русском и английском языках. Выступления на английском будут сопровождаться русскими субтитрами.
ВАЖНО: В качестве респекта со стороны организаторов к российскому OpenStack-коммьюнити, предлагаем воспользоваться дискаунт-кодом OPENSTACK2021, который дает 100% скидку на участие.
10 ноября в онлайн-формате пройдет мероприятие “Enterprise Open Source Summit #21: Взгляд со стороны бизнеса на открытый исходный код”.
Там можно будет послушать живые выступления Mark Shuttleworth (CANONICAL/UBUNTU, Founder & CEO), Frank Karlitschek (NEXTCLOUD, Founder & CEO), Philipp Reisner (LINBIT/DRBD, Founder & CEO), Michael Meeks (COLLABORA, Founder & MD), Alberto Martí (OPENNEBULA, Founder & VP of Open Source Community Relations) и зарядиться боди-позитивоом, почему OpenSource Enterprise Edition не менее важен для развития коммьюнити проектов OSS.
Прямая ссылка для регистрации на мероприятие: https://hopin.com/events/enterprise-open-source-event
Посмотреть описание и программу мероприятия на русском языке можно тут: https://www.fgts.ru/page/enterprise-open-source-summit
Мероприятие будет проходить на русском и английском языках. Выступления на английском будут сопровождаться русскими субтитрами.
ВАЖНО: В качестве респекта со стороны организаторов к российскому OpenStack-коммьюнити, предлагаем воспользоваться дискаунт-кодом OPENSTACK2021, который дает 100% скидку на участие.
Sign in
Hopin is an online events platform where you can create engaging virtual events that connect people around the globe.
https://nordicvirtualsummit.com/agenda/ бесплатный саммит по безопасности Microsoft с акцентом в Azure
https://www.nccoe.nist.gov/projects/building-blocks/trusted-cloud/hybrid
draft of the NIST Cybersecurity Practice Guide SP 1800-19, Trusted Cloud: Security Practice Guide for VMware Hybrid Cloud Infrastructure as a Service (IaaS) Environments for public comment.
draft of the NIST Cybersecurity Practice Guide SP 1800-19, Trusted Cloud: Security Practice Guide for VMware Hybrid Cloud Infrastructure as a Service (IaaS) Environments for public comment.
Forwarded from Пост Лукацкого
Что-то рано в этом году прогнозы по ИБ на следующий год начали давать. В прошлом году так тоже многие надавали, а про SolarWinds не подумали. Но прогнозы Гартнера все-таки очень высокоуровневы и непроверяемы ;-) https://t.co/sKCstDNP7Y
— Alexey Lukatsky (@alukatsky) Oct 27, 2021
— Alexey Lukatsky (@alukatsky) Oct 27, 2021
Gartner
The Top 8 Cybersecurity Predictions for 2021-2022
A focus on privacy laws, ransomware attacks, cyber-physical systems and board-level scrutiny are driving the priorities of security and risk leaders
Пост Лукацкого
Что-то рано в этом году прогнозы по ИБ на следующий год начали давать. В прошлом году так тоже многие надавали, а про SolarWinds не подумали. Но прогнозы Гартнера все-таки очень высокоуровневы и непроверяемы ;-) https://t.co/sKCstDNP7Y — Alexey Lukatsky (@alukatsky)…
1. By the end of 2023, modern privacy laws will cover the personal information of 75% of the world’s population.
2. By 2024, organizations adopting a cybersecurity mesh architecture will reduce the financial impact of security incidents by an average of 90%.
3. By 2024, 30% of enterprises will adopt cloud-delivered Secure Web Gateway (SWG), Cloud Access Security Brokers (CASB), Zero Trust Network Access (ZTNA) and Firewall As A Service (FWaaS) capabilities from the same vendor.
4. By 2025, 60% of organizations will use cybersecurity risk as a primary determinant in conducting third-party transactions and business engagements.
5. The percentage of nation states passing legislation to regulate ransomware payments, fines and negotiations will rise to 30% by the end of 2025, compared to less than 1% in 2021.
6. By 2025, 40% of boards of directors will have a dedicated cybersecurity committee overseen by a qualified board member.
7.By 2025, 70% of CEOs will mandate a culture of organizational resilience to survive coincident threats from cybercrime, severe weather events, civil unrest and political instabilities.
8. By 2025, threat actors will have weaponized operational technology environments successfully enough to cause human casualties.
2. By 2024, organizations adopting a cybersecurity mesh architecture will reduce the financial impact of security incidents by an average of 90%.
3. By 2024, 30% of enterprises will adopt cloud-delivered Secure Web Gateway (SWG), Cloud Access Security Brokers (CASB), Zero Trust Network Access (ZTNA) and Firewall As A Service (FWaaS) capabilities from the same vendor.
4. By 2025, 60% of organizations will use cybersecurity risk as a primary determinant in conducting third-party transactions and business engagements.
5. The percentage of nation states passing legislation to regulate ransomware payments, fines and negotiations will rise to 30% by the end of 2025, compared to less than 1% in 2021.
6. By 2025, 40% of boards of directors will have a dedicated cybersecurity committee overseen by a qualified board member.
7.By 2025, 70% of CEOs will mandate a culture of organizational resilience to survive coincident threats from cybercrime, severe weather events, civil unrest and political instabilities.
8. By 2025, threat actors will have weaponized operational technology environments successfully enough to cause human casualties.