Forwarded from AlexRedSec
ISACA в марте выпустила интересный и объемный отчет о состоянии дел в сфере кибербезопасности. Рассказали об уровне подготовки кадров, образовании, бюджетах, киберугрозах и ожиданиях.
Главные выводы:
🔶 У 63% опрошенных организаций имеются сложности с закрытием вакансий по направлению КБ.
🔶 60% организаций сообщают, что испытывают проблемы с удержанием специалистов по КБ.
🔶 Софт-скиллы и облачные вычисления - проблема у современных специалистов по КБ.
🔶 Все чаще организации не обращают внимание на наличие высшего образования в области КБ.
🔶 42% опрошенных заявили, что удовлетворены финансированием программ КБ, а 55% ожидают увеличения бюджетов.
🔶 82% респондентов говорят, что руководство видит ценность в проведении оценки рисков, но только 41% организаций проводит ежегодную оценку киберрисков.
🔶 Только 51% опрошенных допускает, что их компания столкнется с кибератаками в будущем. Оптимистичненько...
Главные выводы:
🔶 У 63% опрошенных организаций имеются сложности с закрытием вакансий по направлению КБ.
🔶 60% организаций сообщают, что испытывают проблемы с удержанием специалистов по КБ.
🔶 Софт-скиллы и облачные вычисления - проблема у современных специалистов по КБ.
🔶 Все чаще организации не обращают внимание на наличие высшего образования в области КБ.
🔶 42% опрошенных заявили, что удовлетворены финансированием программ КБ, а 55% ожидают увеличения бюджетов.
🔶 82% респондентов говорят, что руководство видит ценность в проведении оценки рисков, но только 41% организаций проводит ежегодную оценку киберрисков.
🔶 Только 51% опрошенных допускает, что их компания столкнется с кибератаками в будущем. Оптимистичненько...
👍1
По сообщению одного из клиентов (компании Trezor), сервис Mailchimp был скомпрометирован со стороны инсайдера.
https://www.fxempire.com/news/article/trezor-issues-data-breach-warning-as-users-cite-phishing-attacks-957001
https://www.fxempire.com/news/article/trezor-issues-data-breach-warning-as-users-cite-phishing-attacks-957001
Fxempire
Trezor Issues Data Breach Warning As Users Cite Phishing Attacks
Trezor, a crypto hardware wallet provider firm, issued a warning about the newsletter phishing attack targeting its users on Sunday.
Вышла версия 1.0 бесплатного EDR от автора SigmaRules (Флориана Рота).
The Aurora agent is a Sigma-based endpoint agent that offers maximum transparency, flexibility, and confidentiality. It doesn’t require an additional kernel driver but uses the native Event Tracing for Windows (ETW).
https://www.nextron-systems.com/2022/04/04/aurora-lite-agent-v1-0-release/
The Aurora agent is a Sigma-based endpoint agent that offers maximum transparency, flexibility, and confidentiality. It doesn’t require an additional kernel driver but uses the native Event Tracing for Windows (ETW).
https://www.nextron-systems.com/2022/04/04/aurora-lite-agent-v1-0-release/
Реклама в канале по тематике канала допустима?
Anonymous Poll
38%
1. Допустима, если доходы с рекламы будут использоваться для развития сообщества.
32%
2 Допустима, если не часто.
16%
3. Недопустима, сразу же отпишусь от канала.
14%
4. Неприятно, но ничего страшного.
The National Cybersecurity Center of Excellence (NCCoE) has released two new final publications: Special Publication (SP) 800-40 Revision 4, Guide to Enterprise Patch Management Planning: Preventive Maintenance for Technology and SP 1800-31, Improving Enterprise Patching for General IT Systems: Utilizing Existing Tools and Performing Processes in Better Ways.
https://csrc.nist.gov/publications/detail/sp/800-40/rev-4/final
https://csrc.nist.gov/publications/detail/sp/1800-31/final
https://csrc.nist.gov/publications/detail/sp/800-40/rev-4/final
https://csrc.nist.gov/publications/detail/sp/1800-31/final
CSRC | NIST
NIST Special Publication (SP) 800-40 Rev. 4, Guide to Enterprise Patch Management Planning: Preventive Maintenance for Technology
Enterprise patch management is the process of identifying, prioritizing, acquiring, installing, and verifying the installation of patches, updates, and upgrades throughout an organization. Patching is more important than ever because of the increasing reliance…
Forwarded from SecAtor
Если мы обычно придерживались правила золотых 72 часов, то случае со Spring4Shell об этом определенно стоит забыть.
Попытки эксплуатации были предприняты в первые же дни сразу после обнаружения серьезной уязвимости RCE, отслеживаемой как CVE-2022-22965. Еще до того, как были выпущены исправления.
Еще одним критическим недостатком является CVE-2022-22963, которая влияет на функцию Spring Cloud, а также позволяет удаленно выполнять код. Третьей дырой в безопасности является CVE-2022-22950, DoS-уязвимость средней степени опасности.
Согласно данным телеметрии Check Point, только за прошедшие выходные было обнаружено 37 000 атак Spring4Shell. При этом почти каждая шестая организация во всем мире, затронутая уязвимостью нулевого дня Spring4Shell, уже стала мишенью злоумышленников. На первом месте по числу жертв - Европа, на которую приходится 20%.
Наиболее пострадавшими оказались разработчики программного обеспечения, на долю которых приходится 28% от общего числа инцидентов, потенциально из-за того, что они являются отличными целями для атак на цепочку поставок.
Пока разработчики повсеместно заняты оценкой влияния Spring4Shell на свои продукты, злоумышленники предпринимают активные попытки воспользоваться существующими возможностями RCE в отношении уязвимых систем полным ходом. К настоящему моменту эксплойты доступны как для Spring4Shell, так и для CVE-2022-22963.
Поставщик выпустил версии Spring Framework 5.3.18 и 5.2.20, а также Spring Boot 2.5.12, которые успешно решают проблему RCE, а также меры по смягчению. Поэтому настоятельно рекомендуется выполнить обновление до этих версий или более поздних версий, не забывая при этом о CVE-2022-22963 и CVE-2022-22947 в Spring Cloud Function и Spring Cloud Gateway.
Попытки эксплуатации были предприняты в первые же дни сразу после обнаружения серьезной уязвимости RCE, отслеживаемой как CVE-2022-22965. Еще до того, как были выпущены исправления.
Еще одним критическим недостатком является CVE-2022-22963, которая влияет на функцию Spring Cloud, а также позволяет удаленно выполнять код. Третьей дырой в безопасности является CVE-2022-22950, DoS-уязвимость средней степени опасности.
Согласно данным телеметрии Check Point, только за прошедшие выходные было обнаружено 37 000 атак Spring4Shell. При этом почти каждая шестая организация во всем мире, затронутая уязвимостью нулевого дня Spring4Shell, уже стала мишенью злоумышленников. На первом месте по числу жертв - Европа, на которую приходится 20%.
Наиболее пострадавшими оказались разработчики программного обеспечения, на долю которых приходится 28% от общего числа инцидентов, потенциально из-за того, что они являются отличными целями для атак на цепочку поставок.
Пока разработчики повсеместно заняты оценкой влияния Spring4Shell на свои продукты, злоумышленники предпринимают активные попытки воспользоваться существующими возможностями RCE в отношении уязвимых систем полным ходом. К настоящему моменту эксплойты доступны как для Spring4Shell, так и для CVE-2022-22963.
Поставщик выпустил версии Spring Framework 5.3.18 и 5.2.20, а также Spring Boot 2.5.12, которые успешно решают проблему RCE, а также меры по смягчению. Поэтому настоятельно рекомендуется выполнить обновление до этих версий или более поздних версий, не забывая при этом о CVE-2022-22963 и CVE-2022-22947 в Spring Cloud Function и Spring Cloud Gateway.
Check Point Blog
16% of organizations worldwide impacted by Spring4Shell Zero-day vulnerability exploitation attempts since outbreak - Check Point…
Forwarded from WTF_HR
Наконец добрались до отличного исследования школы Сколково про то, что лидеры делали за последние полтора месяца со своими компаниями, командами, и главное – с собой.
Не будем долго останавливаться на стратегических и операционных шагах, которые предпринимали руководители компаний. Перестройка цепочек поставок, финансовых потоков, работа с регуляторами и подобные штуки важны - вот только HR в них принимает участие в основном по касательной.
Но одну вещь все-таки отметим, и она про управление собой и внутренним заказчиком.
Опрошенные Сколково лидеры примерно поровну делятся на тех, кто в кризис предпочитает некоторое время ничего не делать и осмотреться, и на тех, кто развивает активность, чтобы срочно все непоправимо улучшить.
Забавно, что, если почитать исследование дальше и добраться до собственно практик управления собой, то можно сделать вывод, что и для тех, и для других – это не столько осознанное решение, сколько рационализация механизмов, позволяющих справиться с собственным стрессом.
Если говорить совсем просто, то одни лучше справляются с ужасом, когда много работают, а вторые – когда не работают совсем. Безусловно, для разных индустрий и разных состояний компаний (например, в зависимости от того, есть ли у компании резервы, чтобы ничего не делать, несмотря на потери) эта ситуация может быть разной. Но на относительно больших числах разница между количеством тех, кто «в домике» и тех, кто «скорей бежим, а то все вкусное съедят» оказывается в пределах статистической погрешности.
HR, как функция, про которую обычно вспоминают в кризис, с этими двумя типами внутреннего заказчика справляется по разному – и мы слышали от наших источников полный спектр жалоб на руководителя.
От «свалил(а) на несколько недель в Дубаи и не выходил на связь, а мне отдуваться перед людьми» до «я уже месяц сдерживаю безумные порывы руководства в разных направлениях, типа они тут гипотезы проверяют, а я страдай».
Мы посылаем лучи поддержки и тем, и другим, а заодно всем, кто где-то между этими двумя экстремумами на шкале, потому что многие люди в HR сейчас чувствуют себя героем бородатой глупой шутки про «мужчины любят женщин, женщины – детей, дети – хомячков, а хомячки никого не любят!».
В том смысле, что сотрудники могут пойти за поддержкой к руководителям, те – к топам, топы идут к эйчарам, а к кому пойти эйчару за сочувствием, заботой и решением своих проблем – подчас непонятно.
Отчетик, приложенный в следующем посте содержит полный комплекс практик по само- и взаимовосстановлению, если вы еще вдруг не успели прийти в себя. Или по дальнейшему укреплению общего эмоционального состояния, если успели.
Не будем долго останавливаться на стратегических и операционных шагах, которые предпринимали руководители компаний. Перестройка цепочек поставок, финансовых потоков, работа с регуляторами и подобные штуки важны - вот только HR в них принимает участие в основном по касательной.
Но одну вещь все-таки отметим, и она про управление собой и внутренним заказчиком.
Опрошенные Сколково лидеры примерно поровну делятся на тех, кто в кризис предпочитает некоторое время ничего не делать и осмотреться, и на тех, кто развивает активность, чтобы срочно все непоправимо улучшить.
Забавно, что, если почитать исследование дальше и добраться до собственно практик управления собой, то можно сделать вывод, что и для тех, и для других – это не столько осознанное решение, сколько рационализация механизмов, позволяющих справиться с собственным стрессом.
Если говорить совсем просто, то одни лучше справляются с ужасом, когда много работают, а вторые – когда не работают совсем. Безусловно, для разных индустрий и разных состояний компаний (например, в зависимости от того, есть ли у компании резервы, чтобы ничего не делать, несмотря на потери) эта ситуация может быть разной. Но на относительно больших числах разница между количеством тех, кто «в домике» и тех, кто «скорей бежим, а то все вкусное съедят» оказывается в пределах статистической погрешности.
HR, как функция, про которую обычно вспоминают в кризис, с этими двумя типами внутреннего заказчика справляется по разному – и мы слышали от наших источников полный спектр жалоб на руководителя.
От «свалил(а) на несколько недель в Дубаи и не выходил на связь, а мне отдуваться перед людьми» до «я уже месяц сдерживаю безумные порывы руководства в разных направлениях, типа они тут гипотезы проверяют, а я страдай».
Мы посылаем лучи поддержки и тем, и другим, а заодно всем, кто где-то между этими двумя экстремумами на шкале, потому что многие люди в HR сейчас чувствуют себя героем бородатой глупой шутки про «мужчины любят женщин, женщины – детей, дети – хомячков, а хомячки никого не любят!».
В том смысле, что сотрудники могут пойти за поддержкой к руководителям, те – к топам, топы идут к эйчарам, а к кому пойти эйчару за сочувствием, заботой и решением своих проблем – подчас непонятно.
Отчетик, приложенный в следующем посте содержит полный комплекс практик по само- и взаимовосстановлению, если вы еще вдруг не успели прийти в себя. Или по дальнейшему укреплению общего эмоционального состояния, если успели.
The NIST National Cybersecurity Center of Excellence (NCCoE) has published NIST Internal Report (NISTIR) 8419, Blockchain and Related Technologies to Support Manufacturing Supply Chain Traceability: Needs and Industry Perspectives.
https://doi.org/10.6028/NIST.IR.8419
https://doi.org/10.6028/NIST.IR.8419