Новый отчет по безопасности жд транспорта
https://www.enisa.europa.eu/news/risk-management-helping-the-eu-railways-catch-the-cybersecurity-train
https://www.enisa.europa.eu/news/risk-management-helping-the-eu-railways-catch-the-cybersecurity-train
ENISA
Risk Management: Helping the EU Railways Catch the Cybersecurity Train
Risk management for the EU railways drives the attention of a new report by the European Union Agency for Cybersecurity. The report will be announced by Juhan Lepassaar during today’s webinar co-organised with the European Union Agency for Railways.
Forwarded from SecAtor
Компания VMware выпустила новый патч обновлений устраняющий две ошибки безопасности в vCenter Server и Cloud Foundation, которые могут быть использованы злоумышленником для получения удаленного доступа к конфиденциальной информации.
Наиболее серьезная проблема связана с уязвимостью произвольного чтения файлов в веб-клиенте vSphere. Ошибка CVE-2021-21980 имеет рейтинг 7,5 и влияет на vCenter Server версий 6.5 и 6.7. Любой, кто имеет сетевой доступ к порту 443 на vCenter Server, может использовать эту багу для получения доступа к конфиденциальной информации.
Вторая ошибка CVE-2021-22049 менее опасная чем предыдущая и затрагивает веб-клиент vSphere, в частности подключаемого модуля виртуальной сети хранения данных vSAN. Бага относится к SSRF (Server-Side Request Forgery) уязвимости и как мы уже знаем позволяет злоумышленнику читать или изменять внутренние ресурсы, к которым имеет доступ целевой сервер, путем отправки специально созданных HTTP-запросов, что, собственно, и приводит к несанкционированному раскрытию информации.
Риски, связанные с атаками SSRF достаточно серьезны и широко распространены и попали в ТОП-10 рисков безопасности веб-приложений проекта Open Web Application Security Project (OWASP) за 2021 год.
Решения от VMware широко используются на предприятиях, поэтому не удивительно почему ее продукты стали целями для злоумышленников, в связи с чем разработчик рекомендует организациям в скором порядке применить необходимые обновления.
Наиболее серьезная проблема связана с уязвимостью произвольного чтения файлов в веб-клиенте vSphere. Ошибка CVE-2021-21980 имеет рейтинг 7,5 и влияет на vCenter Server версий 6.5 и 6.7. Любой, кто имеет сетевой доступ к порту 443 на vCenter Server, может использовать эту багу для получения доступа к конфиденциальной информации.
Вторая ошибка CVE-2021-22049 менее опасная чем предыдущая и затрагивает веб-клиент vSphere, в частности подключаемого модуля виртуальной сети хранения данных vSAN. Бага относится к SSRF (Server-Side Request Forgery) уязвимости и как мы уже знаем позволяет злоумышленнику читать или изменять внутренние ресурсы, к которым имеет доступ целевой сервер, путем отправки специально созданных HTTP-запросов, что, собственно, и приводит к несанкционированному раскрытию информации.
Риски, связанные с атаками SSRF достаточно серьезны и широко распространены и попали в ТОП-10 рисков безопасности веб-приложений проекта Open Web Application Security Project (OWASP) за 2021 год.
Решения от VMware широко используются на предприятиях, поэтому не удивительно почему ее продукты стали целями для злоумышленников, в связи с чем разработчик рекомендует организациям в скором порядке применить необходимые обновления.
Текущий статус по сертификациям членов Московского отделения ISACA указан ниже на картинках. За 2020-2021 у ассоциации появилось довольно много новых сертификаций и у вас есть шансы стать первым получившим новый сертификат в Московском отделении.
Updated IoT Cybersecurity Guidance | SP 800-213 & SP 800-213A
SP 800-213, IoT Device Cybersecurity Guidance for the Federal Government: Establishing IoT Device Cybersecurity Requirements, was revised based on stakeholder feedback to be clearer, more usable, and more accommodating of the range of capabilities in IoT devices of possible interest to federal agencies.
SP 800-213A, IoT Device Cybersecurity Requirements Catalog, was revised to be more consistent in presentation, more balanced between technical and non-technical aspects, and more easily referenced. The catalog includes mappings to SP 800-53 and the Cybersecurity Framework as well as an IoT cybersecurity profile. The material included in this new publication was based on collaborative input from the public that NIST received via GitHub throughout all of 2021.
https://www.nist.gov/itl/applied-cybersecurity/nist-cybersecurity-iot-program
SP 800-213, IoT Device Cybersecurity Guidance for the Federal Government: Establishing IoT Device Cybersecurity Requirements, was revised based on stakeholder feedback to be clearer, more usable, and more accommodating of the range of capabilities in IoT devices of possible interest to federal agencies.
SP 800-213A, IoT Device Cybersecurity Requirements Catalog, was revised to be more consistent in presentation, more balanced between technical and non-technical aspects, and more easily referenced. The catalog includes mappings to SP 800-53 and the Cybersecurity Framework as well as an IoT cybersecurity profile. The material included in this new publication was based on collaborative input from the public that NIST received via GitHub throughout all of 2021.
https://www.nist.gov/itl/applied-cybersecurity/nist-cybersecurity-iot-program
NIST
NIST Cybersecurity for IoT Program
The Cybersecurity for IoT Program’s mission is to cultivate trust in the IoT and foster an environment that enables innovation on a global scale through standards, guidance, and related tools.