Hello,

 

We are writing to update ISACA members in Russia about the consequences of sanctions imposed as a result of the recent events in Ukraine.

 

As you may know, a number of sanctions against Russia have been imposed by the EU, US and others.  The sanctions picture is very complicated and evolving, with the full impact and consequences still not entirely clear to anyone at this time.

 

To ensure we are in compliance with all legal requirements, ISACA is suspending all transactions via our website, and by any other means, with Russia.

 

For the time being, any member or certification holder whose membership or certification is due for renewal during this period will have their membership or certification extended to maintain the status quo while we continue to evaluate the requirements and effect of the applicable sanctions.  This may of course have to change depending on how the sanctions situation changes and other developments that occur, and we will do our best to keep you apprised of any changes.

 

We appreciate your patience, understanding, and support during this difficult time, and we will share further updates as information becomes available.

 

Best regards,

 

David

 

 

David Samuelson​ 
Chief Executive Officer

🔶 Let’s Architect! Architecting for Security

Post collecting security content to help you protect data, manage access, protect networks and applications, detect and monitor threats, and ensure privacy and compliance.

https://aws.amazon.com/ru/blogs/architecture/lets-architect-architecting-for-security

#aws

Сравнение фич server 2016/2019/2022

https://t.co/m9y2LZv4aH

https://cloudsecurityalliance.org/artifacts/saas-governance-best-practices-for-cloud-customers/

"In the context of cloud security, the focus is almost always on securing Infrastructure-as-a-Service (IaaS) environments. This is despite the reality that while organizations tend to consume 2-3 IaaS providers, they are often consuming tens to hundreds of Software as a Service (SaaS) Offerings. The SaaS Governance Best Practice for Cloud Customers is a baseline set of fundamental governance practices for SaaS environments. It enumerates and considers risks during all stages of the SaaS lifecycle, including Evaluation, Adoption, Usage, and Termination."

Предлагаем ознакомиться с обновлениями безопасности от Microsoft, которые пока доступны и устраняют 89 уязвимостей в ряде своих продуктов, 3 из которых - 0-day.

Мартовский PatchTuesday, включают исправления таких компонентов Microsoft Windows, как Azure и Azure DevOps, Azure Sphere, Internet Explorer и Edge (EdgeHTML), Exchange Server, службы Office и веб-приложения, SharePoint Server, Visual Studio и Windows Hyper-V.

Обновление включает в себя исправления для 7 недостатков в MS Exchange и 21 уязвимости Microsoft Edge. 14 уязвимостей были оценены как критические, а 75 — как важные. 2 уязвимости считаются как общеизвестные, а 5 активно эксплуатируются в дикой природе.

Три исправленные баги относятся к уязвимостям нулевого дня, для двух из которых, CVE-2022-21990 и CVE-2022-24459, доступны PoC:

- CVE-2022-21990 — уязвимость удаленного выполнения кода клиента удаленного рабочего стола;
- CVE-2022-24459 — уязвимость службы факсов и сканирования Windows;
- CVE-2022-24512 — уязвимость удаленного выполнения кода в NET и Visual Studio.

Другие наиболее серьезные недостатки, исправленные ИТ-гигантом:

- CVE-2021-26867 — уязвимость удаленного выполнения кода Windows Hyper-V (CVSS 9.9);
- CVE-2021-26897 — уязвимость удаленного выполнения кода Windows DNS Server (CVSS 9.8);
- CVE-2021-27080 — уязвимость выполнения неподписанного кода Azure Sphere (CVSS 9.3).

С полным списком уязвимостей, устраненных корпорацией Майкрософт можно ознакомиться тут.

MITRE запускает новый сайт про новый фреймворк по технологиям защиты и обмана

При проверке podSpec не забывайте, что теперь требуется проверить 3 типа контейнеров (а не 2 как раньше):

1) containers
2) initContainers
3) ephemeralContainers

Ephemeral Containers с 1.18 в Alpha, а с 1.23 перешли в Beta и включены по умолчанию. И не проверяя эту часть YAML, атакующий может обойти проверки вашего PolicyEngine!

Кто как с этим справляется?

- У OPA Gatekeeper в его библиотеке правил нет ни одного правила проверяющего эту часть YAML (но сам он в курсе о них);
- У Kyverno ситуация куда лучше - не зря они себя позиционируют как Kubernetes-native;
- У родного Pod Security Admission тоже все с этим в порядке (его код на скрине);
- У самописных Admission Controllers все в ваших руках).

Будде внимательны ;)

🔶 AWS Security Reference Architecture

60pg PDF by AWS Professional services containing a holistic set of guidelines for deploying the full complement of AWS security services in a multi-account environment. GitHub repo with example solutions.

https://github.com/aws-samples/aws-security-reference-architecture-examples

#aws