Новый отчет по безопасности жд транспорта
https://www.enisa.europa.eu/news/risk-management-helping-the-eu-railways-catch-the-cybersecurity-train
https://www.enisa.europa.eu/news/risk-management-helping-the-eu-railways-catch-the-cybersecurity-train
ENISA
Risk Management: Helping the EU Railways Catch the Cybersecurity Train
Risk management for the EU railways drives the attention of a new report by the European Union Agency for Cybersecurity. The report will be announced by Juhan Lepassaar during today’s webinar co-organised with the European Union Agency for Railways.
Forwarded from SecAtor
Компания VMware выпустила новый патч обновлений устраняющий две ошибки безопасности в vCenter Server и Cloud Foundation, которые могут быть использованы злоумышленником для получения удаленного доступа к конфиденциальной информации.
Наиболее серьезная проблема связана с уязвимостью произвольного чтения файлов в веб-клиенте vSphere. Ошибка CVE-2021-21980 имеет рейтинг 7,5 и влияет на vCenter Server версий 6.5 и 6.7. Любой, кто имеет сетевой доступ к порту 443 на vCenter Server, может использовать эту багу для получения доступа к конфиденциальной информации.
Вторая ошибка CVE-2021-22049 менее опасная чем предыдущая и затрагивает веб-клиент vSphere, в частности подключаемого модуля виртуальной сети хранения данных vSAN. Бага относится к SSRF (Server-Side Request Forgery) уязвимости и как мы уже знаем позволяет злоумышленнику читать или изменять внутренние ресурсы, к которым имеет доступ целевой сервер, путем отправки специально созданных HTTP-запросов, что, собственно, и приводит к несанкционированному раскрытию информации.
Риски, связанные с атаками SSRF достаточно серьезны и широко распространены и попали в ТОП-10 рисков безопасности веб-приложений проекта Open Web Application Security Project (OWASP) за 2021 год.
Решения от VMware широко используются на предприятиях, поэтому не удивительно почему ее продукты стали целями для злоумышленников, в связи с чем разработчик рекомендует организациям в скором порядке применить необходимые обновления.
Наиболее серьезная проблема связана с уязвимостью произвольного чтения файлов в веб-клиенте vSphere. Ошибка CVE-2021-21980 имеет рейтинг 7,5 и влияет на vCenter Server версий 6.5 и 6.7. Любой, кто имеет сетевой доступ к порту 443 на vCenter Server, может использовать эту багу для получения доступа к конфиденциальной информации.
Вторая ошибка CVE-2021-22049 менее опасная чем предыдущая и затрагивает веб-клиент vSphere, в частности подключаемого модуля виртуальной сети хранения данных vSAN. Бага относится к SSRF (Server-Side Request Forgery) уязвимости и как мы уже знаем позволяет злоумышленнику читать или изменять внутренние ресурсы, к которым имеет доступ целевой сервер, путем отправки специально созданных HTTP-запросов, что, собственно, и приводит к несанкционированному раскрытию информации.
Риски, связанные с атаками SSRF достаточно серьезны и широко распространены и попали в ТОП-10 рисков безопасности веб-приложений проекта Open Web Application Security Project (OWASP) за 2021 год.
Решения от VMware широко используются на предприятиях, поэтому не удивительно почему ее продукты стали целями для злоумышленников, в связи с чем разработчик рекомендует организациям в скором порядке применить необходимые обновления.
Текущий статус по сертификациям членов Московского отделения ISACA указан ниже на картинках. За 2020-2021 у ассоциации появилось довольно много новых сертификаций и у вас есть шансы стать первым получившим новый сертификат в Московском отделении.
Updated IoT Cybersecurity Guidance | SP 800-213 & SP 800-213A
SP 800-213, IoT Device Cybersecurity Guidance for the Federal Government: Establishing IoT Device Cybersecurity Requirements, was revised based on stakeholder feedback to be clearer, more usable, and more accommodating of the range of capabilities in IoT devices of possible interest to federal agencies.
SP 800-213A, IoT Device Cybersecurity Requirements Catalog, was revised to be more consistent in presentation, more balanced between technical and non-technical aspects, and more easily referenced. The catalog includes mappings to SP 800-53 and the Cybersecurity Framework as well as an IoT cybersecurity profile. The material included in this new publication was based on collaborative input from the public that NIST received via GitHub throughout all of 2021.
https://www.nist.gov/itl/applied-cybersecurity/nist-cybersecurity-iot-program
SP 800-213, IoT Device Cybersecurity Guidance for the Federal Government: Establishing IoT Device Cybersecurity Requirements, was revised based on stakeholder feedback to be clearer, more usable, and more accommodating of the range of capabilities in IoT devices of possible interest to federal agencies.
SP 800-213A, IoT Device Cybersecurity Requirements Catalog, was revised to be more consistent in presentation, more balanced between technical and non-technical aspects, and more easily referenced. The catalog includes mappings to SP 800-53 and the Cybersecurity Framework as well as an IoT cybersecurity profile. The material included in this new publication was based on collaborative input from the public that NIST received via GitHub throughout all of 2021.
https://www.nist.gov/itl/applied-cybersecurity/nist-cybersecurity-iot-program
NIST
NIST Cybersecurity for IoT Program
The Cybersecurity for IoT Program’s mission is to cultivate trust in the IoT and foster an environment that enables innovation on a global scale through standards, guidance, and related tools.
Forwarded from Листок бюрократической защиты информации
📍 Что день грядущий нам сулит?
Введение в действие множества ГОСТов по ИБ.
Это как-то случайно совпало или к празднику специально подгадали?
#ГОСТ #ИБ #ПДн
Введение в действие множества ГОСТов по ИБ.
Это как-то случайно совпало или к празднику специально подгадали?
#ГОСТ #ИБ #ПДн
Telegraph
Новые ГОСТы по ИБ
Сегодня (30.11.2021) вводятся в действие следующие ГОСТы, связанные с информационной безопасностью: • ГОСТ ISO/IEC 19896-1-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Требования к компетенции специалистов по тестированию и…
Forwarded from Пост Лукацкого
CERT островного государства Вануату (это в Меланезии, кто забыл географию) помимо своей основной деятельности по реагированию на инциденты занимается еще и повышением осведомленности, в том числе пишет песни про кибербезопасность в жизни каждого вануатца. Если вам грустно, то включите эти бодрые мелодии на, то ли французском языке, то ли на бислама, и возрадуйтесь! Все-таки через час наступает (а у кого-то уже наступил) международный день кибербезопасности! Ура, товарищи!
Forwarded from Пост Лукацкого
Бизнес без опасности - Блог, выступления, статьи, лекции, книги и немного юмора про кибербезопасность от Алексея Лукацкого
Я запустил новый сайт/блог!
Месяц Интернет-молчания в блоге, перемежаемый регулярными мини-заметками в Telegram и еще более мини в Твиттере, завершается сегодня, 30 ноября, в Международный день по информационной безопасности. Весь этот месяц я потратил на разработку и тестирование нового…
Пост Лукацкого
CERT островного государства Вануату (это в Меланезии, кто забыл географию) помимо своей основной деятельности по реагированию на инциденты занимается еще и повышением осведомленности, в том числе пишет песни про кибербезопасность в жизни каждого вануатца.…
Еще один пример что ИБ все стили покорны, сначала английский стиль, потом мы видели рэп, а теперь и этно музыка. Что дальше? Частушки по ИБ? 😉
С международным днем безопасности компьютеров!
2 ноября 1988 началось заражение червем Мориса!
С международным днем безопасности компьютеров!
2 ноября 1988 началось заражение червем Мориса!