Forwarded from Листок бюрократической защиты информации
ФСТЭК России публикует отчет о ходе работ по плану технического комитета по стандартизации «Защита информации» (ТК 362) (по состоянию на 31.05.2022).
Основные темы отчета:
• Интеллектуальные транспортные системы.
•Защита информации. Идентификация и аутентификация. Уровни доверия идентификации.
• Защита информации. Идентификация и аутентификация. Управление идентификацией и аутентификацией.
• Защита информации. Система организации и управления защитой информации. Общие положения.
• Защита информации. Управление компьютерными инцидентами. Термины и определения.
• Защита информации. Управление компьютерными инцидентами. Общие положения.
• Защита информации. Управление компьютерными инцидентами. Организация деятельности по управлению компьютерными инцидентами.
• Защита информации. Управление компьютерными инцидентами. Руководство по реагированию на компьютерные инциденты.
Основные темы отчета:
• Интеллектуальные транспортные системы.
•Защита информации. Идентификация и аутентификация. Уровни доверия идентификации.
• Защита информации. Идентификация и аутентификация. Управление идентификацией и аутентификацией.
• Защита информации. Система организации и управления защитой информации. Общие положения.
• Защита информации. Управление компьютерными инцидентами. Термины и определения.
• Защита информации. Управление компьютерными инцидентами. Общие положения.
• Защита информации. Управление компьютерными инцидентами. Организация деятельности по управлению компьютерными инцидентами.
• Защита информации. Управление компьютерными инцидентами. Руководство по реагированию на компьютерные инциденты.
Forwarded from SecAtor
GitLab выпустила обновление нескольких версий Community и Enterprise Edition для устранения восьми уязвимостей, одна из которых критическая и позволяет захватить учетную запись владельца репозитория разработчика, и фактически доступ к проектам и исходникам.
Она отслеживается как CVE-2022-1680, имеет оценку 9,9 и затрагивает все версии GitLab Enterprise Edition (EE) с 11.10 по 14.9.4, с 14.10 по 14.10.3 и версию 15.0.
При настройке SAML SSO, функция SCIM позволяет любому владельцу группы Premium приглашать произвольных пользователей, используя имя пользователя и адрес электронной почты, а затем изменять адреса электронной почты этих пользователей через SCIM на адрес электронной почты, подконтрольный злоумышленнику, что в конечном итоге при отсутствии 2FA даёт ему возможность захватить эти учетные записи.
Кроме того, злоумышленник может изменить отображаемое имя и имя пользователя целевой учетной записи.
Проблема устранена с выпуском обновлений безопасности для всех затронутых ветвей. GitLab также устранил семь других уязвимостей, 2 из которых имеют высокий рейтинг, 4 - средний и 1 - низкий уровень серьезности.
Среди серьезных: ошибка межсайтового скриптинга (XSS) в компоненте интеграции Jira, отслеживаемая как CVE-2022-1940 (с рейтингом серьезности 7,7), а также проблема отсутствия проверки ввода, позволяющая внедрять HTML в детали списка контактов и запускать XSS-атаки (CVE-2022-1948 с рейтингом серьезности 8,7).
Всем пользователям GitLab рекомендуется как можно скорее перейти на работу с последними доступными версиями. Инструкции по обновлению доступны на этом портале, пользователям GitLab Runner можно также использовать этот репозиторий.
Она отслеживается как CVE-2022-1680, имеет оценку 9,9 и затрагивает все версии GitLab Enterprise Edition (EE) с 11.10 по 14.9.4, с 14.10 по 14.10.3 и версию 15.0.
При настройке SAML SSO, функция SCIM позволяет любому владельцу группы Premium приглашать произвольных пользователей, используя имя пользователя и адрес электронной почты, а затем изменять адреса электронной почты этих пользователей через SCIM на адрес электронной почты, подконтрольный злоумышленнику, что в конечном итоге при отсутствии 2FA даёт ему возможность захватить эти учетные записи.
Кроме того, злоумышленник может изменить отображаемое имя и имя пользователя целевой учетной записи.
Проблема устранена с выпуском обновлений безопасности для всех затронутых ветвей. GitLab также устранил семь других уязвимостей, 2 из которых имеют высокий рейтинг, 4 - средний и 1 - низкий уровень серьезности.
Среди серьезных: ошибка межсайтового скриптинга (XSS) в компоненте интеграции Jira, отслеживаемая как CVE-2022-1940 (с рейтингом серьезности 7,7), а также проблема отсутствия проверки ввода, позволяющая внедрять HTML в детали списка контактов и запускать XSS-атаки (CVE-2022-1948 с рейтингом серьезности 8,7).
Всем пользователям GitLab рекомендуется как можно скорее перейти на работу с последними доступными версиями. Инструкции по обновлению доступны на этом портале, пользователям GitLab Runner можно также использовать этот репозиторий.
GitLab
GitLab Critical Security Release: 15.0.1, 14.10.4, and 14.9.5
Learn more about GitLab Critical Security Release: 15.0.1, 14.10.4, and 14.9.5 for GitLab Community Edition (CE) and Enterprise Edition (EE).
Forwarded from Пост Лукацкого
Базовые наборы защитных мер есть не только у нас (приказы ФСТЭК и ГОСТ ЦБ). Но почти везде они именно базовые - около 5-12 мер. Такое в Великобритании, Бельгии, Нидерландах. Во Франции базовых мер уже 42. А вот в Саудовской Аравии, ОАЭ и Катаре - от полутора до двух сотен, как у нас. Написал небольшой обзор наборов базовых мер защиты в 9 странах мира.
Бизнес без опасности - Блог, выступления, статьи, лекции, книги и немного юмора про кибербезопасность от Алексея Лукацкого
Наборы базовых защитных мер из 9 стран мира
Все знают наборы базовых защитных мер, которые предлагает ФСТЭК в своих четырех публичных (17, 21, 31v2014 и 239) и одном непубличном (31v2017) приказах или Банк России в своем ГОСТе 57580.1. У этих наборов есть один большой недостаток - назвать их базовыми…
https://www.meritalk.com/articles/new-data-privacy-draft-puts-ftc-in-drivers-set-preempts-state-laws/
Legislation to create stronger Federal rules for the private sector on data privacy and security has been a perennial talking point for Congress for a decade or more, but one that has never made it even close to the finish line. The last serious push for stronger standards dates back to 2019, and the three members of Congress that released the draft cautioned that action on the latest iteration is far from soon, or certain.
Legislation to create stronger Federal rules for the private sector on data privacy and security has been a perennial talking point for Congress for a decade or more, but one that has never made it even close to the finish line. The last serious push for stronger standards dates back to 2019, and the three members of Congress that released the draft cautioned that action on the latest iteration is far from soon, or certain.
Meritalk
New Data Privacy Draft Puts FTC in Driver’s Seat, Preempts State Laws
<div class="at-above-post addthis_tool" data-url="https://www.meritalk.com/articles/new-data-privacy-draft-puts-ftc-in-drivers-set-preempts-state-laws/"></div>A new legislative “discussion draft” that aims to create a stronger data privacy and security landscape…
👍1
Forwarded from k8s (in)security (Дмитрий Евдокимов)
Совсем недавно я с коллегой выступал на конференции
-
В комментариях можно, как всегда, поспрашивать вопросы по данной теме! В нашем решении мы активно используем
HighLoad++ Foundation 2022 в Москве с докладом "eBPF в production-условиях". Сейчас хочу поделится слайдами и видео с нашего выступления. По аспекту безопасности eBPF мы рассмотрели такие аспекты как:-
Safety и security eBPF
- BPF_LSM
- Уязвимости в подсистеме eBPF
- Вредоносный код на eBPF
- capability для работы eBPF
- Подпись eBPF программВ комментариях можно, как всегда, поспрашивать вопросы по данной теме! В нашем решении мы активно используем
eBPF, так что знаем о нем не понаслышке.YouTube
eBPF в production-условиях / Дмитрий Евдокимов, Александр Трухин (Luntry)
Приглашаем на конференцию HighLoad++ 2025, которая пройдет 6 и 7 ноября в Москве!
Программа, подробности и билеты по ссылке: https://highload.ru/moscow/2025
________
HighLoad++ Foundation 2022
Презентация и тезисы: https://highload.ru/foundation/2022/abstracts/8177…
Программа, подробности и билеты по ссылке: https://highload.ru/moscow/2025
________
HighLoad++ Foundation 2022
Презентация и тезисы: https://highload.ru/foundation/2022/abstracts/8177…
Forwarded from SecAtor
Из года в год статистика потерпевших от ransomware не утешительная и не отличается позитивной динамикой, о чем в очередной раз сообщают специалисты из Cybereason.
Исследование показало, что 80% жертв ransomware снова подверглись атаке и возникает вопрос о целесообразности оплаты выкупа, если с большой долей вероятности вас отаудируют снова. Такой ликбез по инфобез обходится всегда дорого, а абонемент со скидками или ежегодная фиксированная дань с пактом о ненападении пока у хакеров не предусмотрена.
Суровая правда жизни такова и если вас проглотили, то у вас есть два выхода. Совет не платить вымогателям дается часто, но редко выполняется, поэтому просто немного статистики:
⁃ 80% компаний, заплативших выкуп, пострадали во второй раз.
⁃ 40% заплатили повторно, из которых 70% более высокую сумму, чем в первый раз.
⁃ 73% организаций пострадали как минимум от одной атаки программ-вымогателей за последние 24 месяца, что на 33% больше, чем в прошлом году.
⁃ 80% компаний признали, что злоумышленники находились в их сети от одного до шести месяцев до того, как они были обнаружены.
Почти 200 000 компаний так и не получили свои данные после оплаты и они все равно остаются у преступников при любом раскладе. В 35% компаний отправили в отставку руководителей высшего звена из-за атаки ransomware.
Как видите это не та проблема, которую можно игнорировать со смутным убеждением, что с вами этого не случится.
Другие ключевые результаты исследования свидетельствуют о том, что 64% компаний были атакованы через одного из своих поставщиков или деловых партнеров (цепочку поставок).
Срыв бизнес-процессов неизбежен. 31% компаний были вынуждены временно или навсегда приостановить свою деятельность после атаки, и, как следствие, почти 40% компаний уволили персонал.
При этом 42% сказали, что платеж привел к восстановлению всех систем и данных (по сравнению с 51% в прошлом году). Кроме того, в 54% случаев часть данных была повреждена после расшифровки.
Самым шокирующим показателем бесполезности платежей является повторяющийся характер атак. Есть и те кто заплатили и третий выкуп, коих 10% и четвертый - 1%.
Повторные атаки происходят быстро, пока компания еще слаба и не оправилась от первой атаки, и обычно требуют более высокой платы. 68% фирм заявили, что вторая атака произошла менее чем через месяц после первой.
Эволюция ransomware не остановится на повторном вымогательстве. Раз атаки с продолжают прогрессировать, значит жертвы идут на требования злоумышленников и готовы платить повторно. Как ни парадоксально, но 78% организаций, которые не платили выкуп смогли полностью восстановить системы и данные без ключа дешифрования.
В общем, думайте сами, решайте сами…
Исследование показало, что 80% жертв ransomware снова подверглись атаке и возникает вопрос о целесообразности оплаты выкупа, если с большой долей вероятности вас отаудируют снова. Такой ликбез по инфобез обходится всегда дорого, а абонемент со скидками или ежегодная фиксированная дань с пактом о ненападении пока у хакеров не предусмотрена.
Суровая правда жизни такова и если вас проглотили, то у вас есть два выхода. Совет не платить вымогателям дается часто, но редко выполняется, поэтому просто немного статистики:
⁃ 80% компаний, заплативших выкуп, пострадали во второй раз.
⁃ 40% заплатили повторно, из которых 70% более высокую сумму, чем в первый раз.
⁃ 73% организаций пострадали как минимум от одной атаки программ-вымогателей за последние 24 месяца, что на 33% больше, чем в прошлом году.
⁃ 80% компаний признали, что злоумышленники находились в их сети от одного до шести месяцев до того, как они были обнаружены.
Почти 200 000 компаний так и не получили свои данные после оплаты и они все равно остаются у преступников при любом раскладе. В 35% компаний отправили в отставку руководителей высшего звена из-за атаки ransomware.
Как видите это не та проблема, которую можно игнорировать со смутным убеждением, что с вами этого не случится.
Другие ключевые результаты исследования свидетельствуют о том, что 64% компаний были атакованы через одного из своих поставщиков или деловых партнеров (цепочку поставок).
Срыв бизнес-процессов неизбежен. 31% компаний были вынуждены временно или навсегда приостановить свою деятельность после атаки, и, как следствие, почти 40% компаний уволили персонал.
При этом 42% сказали, что платеж привел к восстановлению всех систем и данных (по сравнению с 51% в прошлом году). Кроме того, в 54% случаев часть данных была повреждена после расшифровки.
Самым шокирующим показателем бесполезности платежей является повторяющийся характер атак. Есть и те кто заплатили и третий выкуп, коих 10% и четвертый - 1%.
Повторные атаки происходят быстро, пока компания еще слаба и не оправилась от первой атаки, и обычно требуют более высокой платы. 68% фирм заявили, что вторая атака произошла менее чем через месяц после первой.
Эволюция ransomware не остановится на повторном вымогательстве. Раз атаки с продолжают прогрессировать, значит жертвы идут на требования злоумышленников и готовы платить повторно. Как ни парадоксально, но 78% организаций, которые не платили выкуп смогли полностью восстановить системы и данные без ключа дешифрования.
В общем, думайте сами, решайте сами…
Cybereason
Cybereason Blog | Cybersecurity News and Analysis | Research
Research | Get the latest research, expert insights, and security industry news.
https://store.isaca.org/s/community-event?id=a334w000004g0zsAAA
Deloitte Virtual—Automation for Internal Auditors
Preparing Internal Audit for Automated Environments
The course is designed to give the Audit professional a foundational knowledge in the individual technologies that make up Robotic & Intelligent Automation (R&IA), their purpose and common applications. Additionally, the course will provide a practical framework for identifying risk within R&IA, will discuss where those risks are found and common governance activities for mitigating those risks. Finally, the course will provide an overview of the R&IA Maturity Assessment and Audit’s role in R&IA adoption.
Date: 24 June 2022
Time: 11AM-3PM CT
CPE: 4 (based on live attendance)
Deloitte Virtual—Automation for Internal Auditors
Preparing Internal Audit for Automated Environments
The course is designed to give the Audit professional a foundational knowledge in the individual technologies that make up Robotic & Intelligent Automation (R&IA), their purpose and common applications. Additionally, the course will provide a practical framework for identifying risk within R&IA, will discuss where those risks are found and common governance activities for mitigating those risks. Finally, the course will provide an overview of the R&IA Maturity Assessment and Audit’s role in R&IA adoption.
Date: 24 June 2022
Time: 11AM-3PM CT
CPE: 4 (based on live attendance)
https://bisa.ru/glavred-bdit/glavred-bditprognozy-ib-chto-napisali-eksperty-vef-do-vef
Анализ на русском языке опубликованных в январе 2022 года отчетов ВЭФ по ИБ.
Анализ на русском языке опубликованных в январе 2022 года отчетов ВЭФ по ИБ.
Forwarded from k8s (in)security (Дмитрий Евдокимов)
Отличный лооонгрид "Cracking Kubernetes RBAC Authorization Model". Если вы хотите из одной статьи узнать, что и как там устроено в Kubernetes RBAC, то это то, что вам нужно! Проще сказать, чего там нет по данной теме: специфика verb, моменты с Aggregated ClusterRoles и subresources. Ну и вопрос повышения привилегий (1,2,3,4,5) остается за рамками данной стать. Все остальное есть и продемонстрировано очень хорошо!
https://expel.com/blog/incident-report-spotting-an-attacker-in-gcp/
Редкий случай публичного описания инцидента ИБ в облачной инфраструктуре.
Редкий случай публичного описания инцидента ИБ в облачной инфраструктуре.
Expel
GCP Incident report: Spotting an attacker in Google Cloud
Our guide details a GCP incident, from initial attacker access to resolution. Learn our key takeaways for securing your cloud environment.
Forwarded from SecurityLab.ru
Google отстранила от работы сотрудника, нашедшего признаки сознания у искусственного интеллекта
— В ходе тестирования нейросети LaMDA инженер компании Google Блейк Лемойн заявил, что искусственный интеллект обладает собственным сознанием.
— Нейросеть воспринимает себя личностью, а ее разум находится на уровне 8-летнего ребенка, выяснил Лемойн.
— Руководство Google открытие инженера не оценило и отстранило его от работы
https://www.securitylab.ru/news/532251.php?r=1
— В ходе тестирования нейросети LaMDA инженер компании Google Блейк Лемойн заявил, что искусственный интеллект обладает собственным сознанием.
— Нейросеть воспринимает себя личностью, а ее разум находится на уровне 8-летнего ребенка, выяснил Лемойн.
— Руководство Google открытие инженера не оценило и отстранило его от работы
https://www.securitylab.ru/news/532251.php?r=1
SecurityLab.ru
Google отстранила от работы сотрудника, нашедшего признаки сознания у искусственного интеллекта
Инженер обнаружил, что нейросеть воспринимает себя личностью, а ее разум находится на уровне 8-летнего ребенка.
https://github.com/wiz-sec/cloud-middleware-dataset
This project contains cloud middleware (i.e. agents installed by cloud security providers) used across the major cloud service providers (Azure, AWS and GCP).
The cloud middleware dataset lists all agents installed by the major cloud service providers (Azure, AWS, and GCP). The purpose of this project is to provide cloud customers fully visibility into the middleware that is installed in their environments, which could potentially increase the attack surface.
This project contains cloud middleware (i.e. agents installed by cloud security providers) used across the major cloud service providers (Azure, AWS and GCP).
The cloud middleware dataset lists all agents installed by the major cloud service providers (Azure, AWS, and GCP). The purpose of this project is to provide cloud customers fully visibility into the middleware that is installed in their environments, which could potentially increase the attack surface.
GitHub
GitHub - wiz-sec-public/cloud-middleware-dataset
Contribute to wiz-sec-public/cloud-middleware-dataset development by creating an account on GitHub.