NIST Publishes Review of Digital Forensic Methods
Report documents the scientific foundations of digital evidence examination and recommends ways to advance the field.
https://www.nist.gov/news-events/news/2022/05/nist-publishes-review-digital-forensic-methods
Report documents the scientific foundations of digital evidence examination and recommends ways to advance the field.
https://www.nist.gov/news-events/news/2022/05/nist-publishes-review-digital-forensic-methods
👍1
Forwarded from Security Wine (бывший - DevSecOps Wine) (Denis Yakimov)
Наиболее распространенные уязвимости в мобильных приложениях
Вы могли заметить, что я почти не пишу ничего про безопасность мобильных приложений (и вы окажетесь правы), но сегодня я хочу сделать исключение.
Открываем короткую неделю со статьи "Наиболее распространенные уязвимости в мобильных приложениях". Это авторский список уязвимостей на основе опыта их нахождения собственным инструментом динамического анализа мобильных приложений. Здесь есть и примеры небезопасного кода и варианты митигации. Как сам автор пишет, они мало чем отличаются от OWASP, даже не смотря на то, что последняя версия Mobile Top 10 вышла в далеком 2016 году.
#dev #mobile
Вы могли заметить, что я почти не пишу ничего про безопасность мобильных приложений (и вы окажетесь правы), но сегодня я хочу сделать исключение.
Открываем короткую неделю со статьи "Наиболее распространенные уязвимости в мобильных приложениях". Это авторский список уязвимостей на основе опыта их нахождения собственным инструментом динамического анализа мобильных приложений. Здесь есть и примеры небезопасного кода и варианты митигации. Как сам автор пишет, они мало чем отличаются от OWASP, даже не смотря на то, что последняя версия Mobile Top 10 вышла в далеком 2016 году.
#dev #mobile
👍2
Forwarded from Пост Лукацкого
По данным Cyentia в приложениях, написанных на разных языках программирования, превалируют совершенно разные проблемы ИБ, что должно учитываться при выстраивании процессов безопасной разработки; как с точки зрения анализа исходных кодов и исполняемых файлов приложений, так и с точки зрения обучения разработчиков
Forwarded from A
Периодически в чате поднимаются вопросы, касающиеся влияние образование на трудоустройство ИБ'шников - как ИБ'шник с одной стороны и наниматель с другой попытаюсь изложить своё субъективное виденье (не является официальной позицией "Большой и пушистой"):
1. При прочих равных магистр лучше специалиста, специалист лучше бакалавра, а бакалавр лучше выпускника колледжа/техникума. Это как мастер спорта международного класса лучше мастер спорта, а он лучше кандидата в мастера спорта.
2. Профильное образование лучше непрофильного, но и оно не даёт гарантии (см. пп. 3, 5)
3. Большинство ВУЗов, по финансовым причинам, не могут себе позволить нанять специалистов-практиков, находящихся на острие прогресса, поэтому там учат несколько устаревшим технологиям (часто преподаватели учат тому, чем они 5-10 лет назад занимались на своей прошлой работе). Поэтому наличие профильного высшего образование не гарантирует автоматического принятия на "нестартовые" позиции.
4. Из предыдущего пункта есть небольшое исключение: практики, засланные компаниями в ВУЗы для отбора/привлечения (в процессе преподавания) наиболее талантливых студентов старших курсов, и аспиранты-практики.
5. Даже в ТОП-ВУЗах есть целевики, платники и просто завбившие на учёбу, поэтому наличие корочки ТОП-ВУЗа также не даёт гарантий.
6. Профильные курсы от "инфоцыган" обычно проводятся специалистами-практиками без должного опыта преподавания и не предполагают подготовку по смежным направлениям (дискретная математика, теория алгоритмов, теория надёжности, теория игр, правоведение, криптография, криптология и т.п.), поэтому и они не дают гарантии.
7. Лицензированные образовательные учреждения учат более новым (по сравнению в ВУЗами) вещам, и более профессионально и закончено подают материал (по сравнению в "инфоцыганами"), но сам курс обычно не на острие прогресса и очень скомканный, поэтому там ещё меньше вопросов из смежных направлений освещается.
8. Весомость международного сертификата определяется как отсутствием дампов к нему, так и совпадением направления с требованиями вакансии (например, для специалиста по продуктовой безопасности сертификаты CCNP и CCDP не будут играть принципиальной роли, хотя в зачёт пойдёт), а также его (сертификата, а не кандидата) возрастом (технологии постоянно меняются).
9. По мере развития технологий (инфраструктуры как кода, искусственного интеллекта и т.п.), новые вакансии постепенно переходят на всё более высокий уровень абстракции, поэтому hardening операционных систем всё сильнее уступает hardening'у контейнеров, а оно в свою очередь hardening'у приложений. Но наибольшим спросом будут пользоваться специалисты по ИБ микросервисов. Другие (более низкие направления) направления сразу и полностью не умрут, но их ждёт (пусть и не скоро) участь защиты технических каналов: предлагаемые оклады будут постепенно отставать от средних по ИБ-рынку (относительно специалистов эквивалентного уровня теоретической и практической подготовки).
10. Специализированные (не обзорные) книги являются самым доступным (с финансовой точки зрения) источником достаточно актуальных (относительно всех изложенных выше способов теоретической подготовки и за исключением свежих статей) и специализированных (глубоких, но однобоких) знаний. Книги на русском доступнее для усвоения, но несколько отстают от прогресса (я бы посоветовал "Istio: приступаем к работе", "Безопасность контейнеров. Фундаментальный подход к защите контейнеризированных приложений", "Безопасность разработки в Agile-проектах - Обеспечение безопасности в конвейере непрерывной поставки", "Безопасно by design" и "Безопасность веб-приложений - Разведка, защита, нападение"), а на английском сложнее для понимания, но их объективно гораздо больше и они современнее (тут я бы выделил "Microservices Security in Action").
Вывод: у каждого способа теоретической подготовки есть свои плюсы и есть свои минусы. Ни один из способов не даёт гарантии трудоустройства.
Послесловие: изложенное является отражением субъективного отношения и не является истиной в последней инстанции, а уж тем более догмой.
1. При прочих равных магистр лучше специалиста, специалист лучше бакалавра, а бакалавр лучше выпускника колледжа/техникума. Это как мастер спорта международного класса лучше мастер спорта, а он лучше кандидата в мастера спорта.
2. Профильное образование лучше непрофильного, но и оно не даёт гарантии (см. пп. 3, 5)
3. Большинство ВУЗов, по финансовым причинам, не могут себе позволить нанять специалистов-практиков, находящихся на острие прогресса, поэтому там учат несколько устаревшим технологиям (часто преподаватели учат тому, чем они 5-10 лет назад занимались на своей прошлой работе). Поэтому наличие профильного высшего образование не гарантирует автоматического принятия на "нестартовые" позиции.
4. Из предыдущего пункта есть небольшое исключение: практики, засланные компаниями в ВУЗы для отбора/привлечения (в процессе преподавания) наиболее талантливых студентов старших курсов, и аспиранты-практики.
5. Даже в ТОП-ВУЗах есть целевики, платники и просто завбившие на учёбу, поэтому наличие корочки ТОП-ВУЗа также не даёт гарантий.
6. Профильные курсы от "инфоцыган" обычно проводятся специалистами-практиками без должного опыта преподавания и не предполагают подготовку по смежным направлениям (дискретная математика, теория алгоритмов, теория надёжности, теория игр, правоведение, криптография, криптология и т.п.), поэтому и они не дают гарантии.
7. Лицензированные образовательные учреждения учат более новым (по сравнению в ВУЗами) вещам, и более профессионально и закончено подают материал (по сравнению в "инфоцыганами"), но сам курс обычно не на острие прогресса и очень скомканный, поэтому там ещё меньше вопросов из смежных направлений освещается.
8. Весомость международного сертификата определяется как отсутствием дампов к нему, так и совпадением направления с требованиями вакансии (например, для специалиста по продуктовой безопасности сертификаты CCNP и CCDP не будут играть принципиальной роли, хотя в зачёт пойдёт), а также его (сертификата, а не кандидата) возрастом (технологии постоянно меняются).
9. По мере развития технологий (инфраструктуры как кода, искусственного интеллекта и т.п.), новые вакансии постепенно переходят на всё более высокий уровень абстракции, поэтому hardening операционных систем всё сильнее уступает hardening'у контейнеров, а оно в свою очередь hardening'у приложений. Но наибольшим спросом будут пользоваться специалисты по ИБ микросервисов. Другие (более низкие направления) направления сразу и полностью не умрут, но их ждёт (пусть и не скоро) участь защиты технических каналов: предлагаемые оклады будут постепенно отставать от средних по ИБ-рынку (относительно специалистов эквивалентного уровня теоретической и практической подготовки).
10. Специализированные (не обзорные) книги являются самым доступным (с финансовой точки зрения) источником достаточно актуальных (относительно всех изложенных выше способов теоретической подготовки и за исключением свежих статей) и специализированных (глубоких, но однобоких) знаний. Книги на русском доступнее для усвоения, но несколько отстают от прогресса (я бы посоветовал "Istio: приступаем к работе", "Безопасность контейнеров. Фундаментальный подход к защите контейнеризированных приложений", "Безопасность разработки в Agile-проектах - Обеспечение безопасности в конвейере непрерывной поставки", "Безопасно by design" и "Безопасность веб-приложений - Разведка, защита, нападение"), а на английском сложнее для понимания, но их объективно гораздо больше и они современнее (тут я бы выделил "Microservices Security in Action").
Вывод: у каждого способа теоретической подготовки есть свои плюсы и есть свои минусы. Ни один из способов не даёт гарантии трудоустройства.
Послесловие: изложенное является отражением субъективного отношения и не является истиной в последней инстанции, а уж тем более догмой.
👍6
Forwarded from Пост Лукацкого
Делимся фреймворком Cloud Controls Framework для общения с облачными провайдерами и построения защиты на их основе
Бизнес без опасности - Блог, выступления, статьи, лекции, книги и немного юмора про кибербезопасность от Алексея Лукацкого
Фреймворк Cloud Controls Framework для общения с облачными провайдерами
Я неоднократно на выступлениях про безопасность облачных технологий рассказывал о том, что Cisco, являясь пользователем более 700 облачных провайдеров, не только накопила определенный опыт выбора облачного провайдера с точки зрения множества параметров, включая…
Коллеги из CROC организовали вчера хороший митап по организационным вопросам DevSecOps https://www.youtube.com/watch?v=CalJwgF6w8A
https://croc.disk.croc.ru/preview/public/PpoE_AQ19?file=CROC%26TALK.%20DevSecOps_Ryzhkovt.pdf
https://croc.disk.croc.ru/preview/public/uyZ8zAQ19?file=CROC%26TALK.%20DevSecOps_Tinkoff.pdf
https://croc.disk.croc.ru/preview/public/PpoE_AQ19?file=CROC%26TALK.%20DevSecOps_Ryzhkovt.pdf
https://croc.disk.croc.ru/preview/public/uyZ8zAQ19?file=CROC%26TALK.%20DevSecOps_Tinkoff.pdf
YouTube
CROC&TALK. Истории про командные процессы и коммуникации в DevSecOps
Обсудим основные боли при внедрении с точки зрения людей и коммуникаций, а также истории перехода в DevSecOps из других направлений.
0:12:40 Как подружить безопасность и разработку: советы для евангелистов (Виктор Рыжков, КРОК)
1:05:49 История AppSec одного…
0:12:40 Как подружить безопасность и разработку: советы для евангелистов (Виктор Рыжков, КРОК)
1:05:49 История AppSec одного…
Forwarded from HighLoad++
Открытая трансляция главного зала!
В этом году благодаря поддержке IT’s Tinkoff любой желающий может присоединиться к бесплатной трансляции главного зала «Терминус».
Здесь будут выступать ключевые спикеры HighLoad++ Foundation, а еще пройдут церемонии открытия и закрытия конференции.
👉🏻Для просмотра нужна только регистрация: https://bit.ly/39akkfd
В этом году благодаря поддержке IT’s Tinkoff любой желающий может присоединиться к бесплатной трансляции главного зала «Терминус».
Здесь будут выступать ключевые спикеры HighLoad++ Foundation, а еще пройдут церемонии открытия и закрытия конференции.
👉🏻Для просмотра нужна только регистрация: https://bit.ly/39akkfd
Forwarded from Privacy Advocates (Alexey Muntyan)
🇪🇺⚡🏛️ #ес #регулирование #кии #кибербез
Совет ЕС 13.05.2022 достиг предварительного соглашения с Европейским парламентом по проекту обновленной Директивы о безопасности сетей и информационных систем в ЕС (NIS2 Directive).
🔹Директива установит базовый перечень для мер по управлению рисками кибербезопасности и обязательств по предоставлению отчетности в критически важных секторах (например, энергетика, транспорт, здравоохранение и цифровая инфраструктура).
🔹NIS2 направлен на устранение расхождений в требованиях к кибербезопасности и в реализации мер кибербезопасности в разных государствах-членах ЕС.
🔹Кроме того, была проведена работа по более четкому определению правил взаимодействия между нормами NIS2 и отраслевого законодательства – Законом о цифровой операционной устойчивости (DORA) и Директивой об устойчивости критически важных объектов (CER).
Совет ЕС 13.05.2022 достиг предварительного соглашения с Европейским парламентом по проекту обновленной Директивы о безопасности сетей и информационных систем в ЕС (NIS2 Directive).
🔹Директива установит базовый перечень для мер по управлению рисками кибербезопасности и обязательств по предоставлению отчетности в критически важных секторах (например, энергетика, транспорт, здравоохранение и цифровая инфраструктура).
🔹NIS2 направлен на устранение расхождений в требованиях к кибербезопасности и в реализации мер кибербезопасности в разных государствах-членах ЕС.
🔹Кроме того, была проведена работа по более четкому определению правил взаимодействия между нормами NIS2 и отраслевого законодательства – Законом о цифровой операционной устойчивости (DORA) и Директивой об устойчивости критически важных объектов (CER).
European Council
Strengthening EU-wide cybersecurity and resilience – provisional agreement by the Council and the European Parliament
The Council and the European Parliament have agreed on measures for a high common level of cybersecurity across the Union.
👍1
Forwarded from Пост Лукацкого
Многие компании по ИБ, занимающиеся реагированием и расследованиями, ежегодно публикуют всяческие Топ10 техник согласно MITRE ATT&CK. И вот, чтобы облегчить жизнь уже всем ИБшникам, Center for Threat-Informed Defense при MITRE вместе с рядом коммерческих компаний замутили специальный калькулятор, а также выкатили методологию составления своего Топ10 техник, приоритизированного по разным критериям, выбираемым самими пользователями. Чтобы показать, как этим всем пользоваться, был сделан Топ10 техник, используемых шифровальщиками. Я ни на что не намекаю, но именно так и должна презентоваться любая методика в идеальном ИБ-мире - вот описание того, что надо делать, вот инструментарий для реализации методики, а вот пример их совместного использования, чтобы снять большинство вопросов и показать, что все это не плод больной фантазии.
ЗЫ. А еще сегодня вышла чуть обновленная версия матрицы MITRE ATT&CK v11.1
ЗЫ. А еще сегодня вышла чуть обновленная версия матрицы MITRE ATT&CK v11.1
👍1
Английский блог посвященный форензике в windows.
http://windowsir.blogspot.com/
http://windowsir.blogspot.com/
Blogspot
Windows Incident Response
The Windows Incident Response Blog is dedicated to the myriad information surrounding and inherent to the topics of IR and digital analysis of Windows systems. This blog provides information in support of my books; "Windows Forensic Analysis" (1st thru 4th…
Forwarded from AlexRedSec
Министерство DCMS Великобритании уже четвертый год публикует исследование рынка труда в области кибербезопасности. Общие тенденции и выводы вполне уместны и для отечественного рынка труда. Ниже приведу наиболее интересные моменты.
🔸 Половина организаций имеет проблемы с базовыми направлениями кибербезопасности (администрирование межсетевых экранов, антивирусная защита, защита персональных данных).
🔸 В трети организаций совсем плохо по направлениям пентестов, форензики, киберразведки и архитектуры безопасности.
🔸 С каждым годом растет дефицит специалистов по направлению реагирования на инциденты.
🔸 Результаты опросов свидетельствуют о том, что руководство организаций по прежнему не понимает важность кибербезопасности и ее роль (то времени не хватает, то знаний).
🔸 Качество подготовки кадров падает, при этом организации все чаще нанимают джунов и сами их обучают.
🔸 Наиболее востребованными являются следующие специальности в порядке убывания - инженеры, аналитики, менеджеры, архитекторы и консультанты.
🔸 Рекрутеры в который раз говорят, что CISO и руководители уровня пониже не умеют составлять описание вакансий🙂
🔸 Переход к удаленке и гибридному графику работы привел к выравниванию уровня оплаты труда в столичных и провинциальных регионах, от чего дефицит кадров в провинциальных организациях возрос.
🔸 Половина организаций имеет проблемы с базовыми направлениями кибербезопасности (администрирование межсетевых экранов, антивирусная защита, защита персональных данных).
🔸 В трети организаций совсем плохо по направлениям пентестов, форензики, киберразведки и архитектуры безопасности.
🔸 С каждым годом растет дефицит специалистов по направлению реагирования на инциденты.
🔸 Результаты опросов свидетельствуют о том, что руководство организаций по прежнему не понимает важность кибербезопасности и ее роль (то времени не хватает, то знаний).
🔸 Качество подготовки кадров падает, при этом организации все чаще нанимают джунов и сами их обучают.
🔸 Наиболее востребованными являются следующие специальности в порядке убывания - инженеры, аналитики, менеджеры, архитекторы и консультанты.
🔸 Рекрутеры в который раз говорят, что CISO и руководители уровня пониже не умеют составлять описание вакансий🙂
🔸 Переход к удаленке и гибридному графику работы привел к выравниванию уровня оплаты труда в столичных и провинциальных регионах, от чего дефицит кадров в провинциальных организациях возрос.
GOV.UK
Cyber security skills in the UK labour market 2022
Research detailing skills needs and job vacancies across the UK cyber security sector.
👍1