Сравнение фич server 2016/2019/2022

https://t.co/m9y2LZv4aH

https://cloudsecurityalliance.org/artifacts/saas-governance-best-practices-for-cloud-customers/

"In the context of cloud security, the focus is almost always on securing Infrastructure-as-a-Service (IaaS) environments. This is despite the reality that while organizations tend to consume 2-3 IaaS providers, they are often consuming tens to hundreds of Software as a Service (SaaS) Offerings. The SaaS Governance Best Practice for Cloud Customers is a baseline set of fundamental governance practices for SaaS environments. It enumerates and considers risks during all stages of the SaaS lifecycle, including Evaluation, Adoption, Usage, and Termination."

Предлагаем ознакомиться с обновлениями безопасности от Microsoft, которые пока доступны и устраняют 89 уязвимостей в ряде своих продуктов, 3 из которых - 0-day.

Мартовский PatchTuesday, включают исправления таких компонентов Microsoft Windows, как Azure и Azure DevOps, Azure Sphere, Internet Explorer и Edge (EdgeHTML), Exchange Server, службы Office и веб-приложения, SharePoint Server, Visual Studio и Windows Hyper-V.

Обновление включает в себя исправления для 7 недостатков в MS Exchange и 21 уязвимости Microsoft Edge. 14 уязвимостей были оценены как критические, а 75 — как важные. 2 уязвимости считаются как общеизвестные, а 5 активно эксплуатируются в дикой природе.

Три исправленные баги относятся к уязвимостям нулевого дня, для двух из которых, CVE-2022-21990 и CVE-2022-24459, доступны PoC:

- CVE-2022-21990 — уязвимость удаленного выполнения кода клиента удаленного рабочего стола;
- CVE-2022-24459 — уязвимость службы факсов и сканирования Windows;
- CVE-2022-24512 — уязвимость удаленного выполнения кода в NET и Visual Studio.

Другие наиболее серьезные недостатки, исправленные ИТ-гигантом:

- CVE-2021-26867 — уязвимость удаленного выполнения кода Windows Hyper-V (CVSS 9.9);
- CVE-2021-26897 — уязвимость удаленного выполнения кода Windows DNS Server (CVSS 9.8);
- CVE-2021-27080 — уязвимость выполнения неподписанного кода Azure Sphere (CVSS 9.3).

С полным списком уязвимостей, устраненных корпорацией Майкрософт можно ознакомиться тут.

MITRE запускает новый сайт про новый фреймворк по технологиям защиты и обмана

При проверке podSpec не забывайте, что теперь требуется проверить 3 типа контейнеров (а не 2 как раньше):

1) containers
2) initContainers
3) ephemeralContainers

Ephemeral Containers с 1.18 в Alpha, а с 1.23 перешли в Beta и включены по умолчанию. И не проверяя эту часть YAML, атакующий может обойти проверки вашего PolicyEngine!

Кто как с этим справляется?

- У OPA Gatekeeper в его библиотеке правил нет ни одного правила проверяющего эту часть YAML (но сам он в курсе о них);
- У Kyverno ситуация куда лучше - не зря они себя позиционируют как Kubernetes-native;
- У родного Pod Security Admission тоже все с этим в порядке (его код на скрине);
- У самописных Admission Controllers все в ваших руках).

Будде внимательны ;)

🔶 AWS Security Reference Architecture

60pg PDF by AWS Professional services containing a holistic set of guidelines for deploying the full complement of AWS security services in a multi-account environment. GitHub repo with example solutions.

https://github.com/aws-samples/aws-security-reference-architecture-examples

#aws

Очень интересный документ, описывающий процесс моделирования угроз для медицинских устройств. Но самое интересное в нем - не сама методика, она как раз базируется на известных STRIDE и MITRE ATT&CK, а то, что авторы еще и несколько примеров в приложение добавили, чтобы было понятно, как это надо делать на конкретных типах медицинского оборудования. Ровно то, чего так не хватает методике ФСТЭК.