Все чаще сталкиваюсь с вопросом у клиентов: "Как сделать Kubernetes кластер, чтобы он соответствовал PCI DSS?"

Я уже эту тему немного поднимал [1,2,3], но со временем понял, что лучше всего это знают большие компании с большим количеством клиентов, а следовательно, и опытом в этой области. А кто под это подходят? Конечно, облачные провайдеры с managed Kubernetes! По сути, можно не ломать голову и не придумывать ничего с нуля, а подсмотреть как они к этому подходят и перенять к себе.

Так вы можете с этим ознакомится в их мануалах и документах:
- "PCI DSS compliance on GKE"
- "Architecting Amazon EKS for PCI DSS Compliance"
- "Introduction of an AKS regulated cluster for PCI-DSS 3.2.1"

P.S. И не забываем также о классном проекте Compliance Operator ;)

Если завтра вас пригласят на встречу с топ менеджментом с помощью встречи в outlook (ics) убедитесь что это не фишинг. 😉

https://twitter.com/mrd0x/status/1455534456027029504

Еще одна причина использовать доверенные компиляторы и безусловно лицензионные

https://twitter.com/TAdviser/status/1455822072484143110

так теперь будет выглядеть реклама от Павла Дурова в телеграме.

Похоже нас ждет новый вид атак с использованием давно не обновляемых библиотек в менеджерах пакетов. это вторая уязвимость для npm за месяц.

https://www.bleepingcomputer.com/news/security/popular-coa-npm-library-hijacked-to-steal-user-passwords/

Интересный прецедент развивается дальше

https://www.reuters.com/technology/solarwinds-investors-allege-board-knew-about-cyber-risks-2021-11-05/

Интересные вещи предсказывает Гартнер. Например, постепенный отказ от начальников в командах, выстраивающихся не по принципу вертикальных иерархий (привет, Agile). Интересно, ИБ (не SecDevOps) это коснется?

Приватность еще в двух прогнозах, но это скорее развитие текущих трендов. Ну и хотелось бы посмотреть на физический ответ на кибератаки в условиях нечеткой атрибуции

Практика управления безопасностью ПО в масштабных продуктах

Доклад от CISO Тинькофф об угрозах, присущих платформам разработки (куда также относятся CI/CD системы). В число угроз попали:
- Уже многим известный Dependency Confussion
- Использование одних и тех же ключей для всех сборок и деплоев
- Повышение привилегий через shared раннеры (в т.ч. привилегированный DinD)
- Внесение изменений в код за счет отсутствия правил approve/review
- Использование небезопасных сторонних библиотек
- Публикация внутренних API во внешнюю среду через единый ingress
- Открытие полного доступа в Интернет для закрытых ресурсов

#dev #ops #attack

Тексты 60+ политик безопасности (каждая на 1-2 страницы) в проекте SANS. Все доступно в PDF и DOC (правда, на английском) без регистраций и SMS. Очень хороший старт для разработки своих собственных документов - без воды и оглядок на количество страниц - https://t.co/DCuunIdDC5 https://t.co/4tPKvSqnqF
— Alexey Lukatsky (@alukatsky) Nov 9, 2021

​​Microsoft выпустили традиционный PatchTuesday, исправив 6 критических 0-day уязвимостей и еще 49 важных, в общей сложности исправлено 55: в том числе 20 уязвимостей, связанных с повышением привилегий, 2 - с обходом функций безопасности, 15 - с удаленным выполнением кода, 10 - с раскрытием информации, 3 - с отказом в обслуживании, 4 - со спуфингом.

Текущий Patch закрывает 2 активно эксплуатирующиеся в дикой природе уязвимости: CVE-2021-42292 (связанная с обходом функций безопасности Microsoft Excel) и CVE-2021-42321 (связанная с удаленным выполнением кода в Microsoft Exchange Server).

Примечательно, что ошибку удаленного выполнения кода с проверкой подлинности в Microsoft Exchange обнаружили участники хакерского конкурса Tianfu Cup, о котором мы писали в прошлом месяце.

Разработчики не раскрывают подробностей известных им инцидентов, однако заверяют, что атаки носили ограниченный характер и связаны с ошибками после аутентификации в Exchange 2016 и 2019, затрагивая локальный Microsoft Exchange Server, включая также и серверы, используемые клиентами в гибридном режиме Exchange. Но прекрасно помним претензии США и их союзников, включая ЕС, Великобританию и НАТО, в адрес китайских властей относительно широкомасштабной хакерской кампании на Microsoft Exchange.

Второй 0-day был замечен в популярном инструменте повышения производительности Microsoft Excel и описан как уязвимость обхода функций, которая позволяет выполнять код с помощью специально созданных электронных таблиц. Дыра была обнаружена собственным Центром аналитики угроз и активно использовалась в злонамеренных атаках, но компания не предоставила никаких дополнительных сведений.

Ноябрьский патч также содержит исправление для CVE-2021-3711, критического недостатка переполнения буфера в функции дешифрования SM2 OpenSSL, который обнаружился в конце августа 2021 года и может быть использован злоумышленниками для запуска произвольного кода и отказа в доступе. состояние обслуживания (DoS).

Другие важные исправления включают исправления нескольких ошибок в Chakra Scripting Engine (CVE-2021-42279), Microsoft Defender (CVE-2021-42298), Microsoft Virtual Machine Bus (CVE-2021-26443), RDP (CVE-2021-38631 и CVE-2021-41371), средствах 3D-просмотра (CVE-2021-43208 и CVE-2021-43209).

Обновления Microsoft Patch Tuesday включают и исправления серьезных недостатков, затрагивающих Azure, Microsoft Edge, Visual Studio и других компонентов Windows.

Кроме того, в Patch Tuesday также включены исправления от Adobe, исправляющие как минимум 4 недостатка в безопасности продукта, в том числе устранен самый серьезный недостаток CVE-2021-39858 в RoboHelp Server (RHS2020.0.1 и более ранние версии под Windows) и получил оценку «критический», поскольку подвергает корпоративную среду атакам с выполнением произвольного кода.

Полный перечень устраненных уязвимостей и выпущенных рекомендаций по отдельным проблемам безопасности за ноябрь 2021 года представлен здесь.

Обновления безопасности для Mac пока еще не выпущены, даже несмотря на то, что уязвимость Excel затрагивает Microsoft Office для macOS.

Рекомендуем владельцам Windows без промедления установить все доступные обновления, а пользователям macOS уповать на удачу и терпение.