Forwarded from CloudSec Wine (Артем Марков)
🔶 AWS Security by Dylan Shields
An excellent book by software engineer working on Quantum Computing at Amazon Dylan Shields describing that running your systems in the cloud doesn’t automatically make them secure. Learn the tools and new management approaches you need to create secure apps and infrastructure on AWS.
#aws
An excellent book by software engineer working on Quantum Computing at Amazon Dylan Shields describing that running your systems in the cloud doesn’t automatically make them secure. Learn the tools and new management approaches you need to create secure apps and infrastructure on AWS.
#aws
Forwarded from Листок бюрократической защиты информации
📯Утвержден ГОСТ Р 70262.1-2022 «Защита информации. Идентификация и аутентификация. Уровни доверия идентификации»
Документ начинает действовать с 01.01.2023.
Документ начинает действовать с 01.01.2023.
👍2
https://www.nccoe.nist.gov/projects/implementing-zero-trust-architecture
The Zero Trust Architecture (ZTA) team at NIST’s National Cybersecurity Center of Excellence (NCCoE) invites public comments on volumes C-D of a preliminary draft practice guide “Implementing a Zero Trust Architecture”. This guide summarizes how the NCCoE and its collaborators are using commercially available technology to build interoperable, open standards-based ZTA example implementations that align to the concepts and principles in NIST Special Publication (SP) 800-207, Zero Trust Architecture
The Zero Trust Architecture (ZTA) team at NIST’s National Cybersecurity Center of Excellence (NCCoE) invites public comments on volumes C-D of a preliminary draft practice guide “Implementing a Zero Trust Architecture”. This guide summarizes how the NCCoE and its collaborators are using commercially available technology to build interoperable, open standards-based ZTA example implementations that align to the concepts and principles in NIST Special Publication (SP) 800-207, Zero Trust Architecture
NCCoE
Implementing a Zero Trust Architecture | NCCoE
Project AbstractThe proliferation of cloud computing, mobile device use, and the Internet of Things has dissolved conventional network boundaries. The workforce is more distributed, with remote workers who need access to resources anytime, anywhere, and on…
Forwarded from Пост Лукацкого
FIRST, исключивший российские CERTы из своего состава, анонсировал новую версию протокола TLP 2.0. TLP:WHITE меняется на TLP:CLEAR, добавляется TLP:AMBER+Strict (только внутри организации, клиентам нельзя), уточнены лингвистические нюансы, добавлена расшифровка и кодировка цветов.
Интересно, НКЦКИ перейдет на новую версию?..
Интересно, НКЦКИ перейдет на новую версию?..
FIRST — Forum of Incident Response and Security Teams
Traffic Light Protocol (TLP)
Forwarded from SecAtor
CheckPoint обнаружили 10 вредоносных пакетов Python в репозитории PyPI, реализующих кражу учетных данных разработчиков.
Поддельные пакеты продвигались посредством метода опечатки, выдавая себя за популярные программные проекты и обманом заставляя пользователей PyPI загружать их.
В отчете представленные обнаруженные CheckPoint вредоносные пакеты PyPi, среди которых:
Ascii2text загружает скрипт, который собирает пароли, хранящиеся в веб-браузерах Google Chrome, Microsoft Edge, Brave, Opera и Яндекс.Браузер.
Pyg-utils, Pymocks и PyProto2 предназначены для кражи учетных данных пользователей AWS.
Test-async и Zlibsrc загружают и выполняют вредоносный код во время установки.
Free-net-vpn, Free-net-vpn2 и WINRPCexploit крадут учетные данные пользователя и переменные среды.
Browserdiv способен собирать учетные данные и другую информацию, сохраненную в папке локального хранилища веб-браузера.
Несмотря на то, что после уведомления CheckPoint все вредоносные пакеты Бали удалены из PyPI, разработчики ПО, успевшие их загрузить все еще могут подвергаться риску атак на цепочку поставок.
Важно помнить, что ни один пакет в PyPI не имеет гарантий безопасности, ответственность - всегда на стороне разработчиков.
Поддельные пакеты продвигались посредством метода опечатки, выдавая себя за популярные программные проекты и обманом заставляя пользователей PyPI загружать их.
В отчете представленные обнаруженные CheckPoint вредоносные пакеты PyPi, среди которых:
Ascii2text загружает скрипт, который собирает пароли, хранящиеся в веб-браузерах Google Chrome, Microsoft Edge, Brave, Opera и Яндекс.Браузер.
Pyg-utils, Pymocks и PyProto2 предназначены для кражи учетных данных пользователей AWS.
Test-async и Zlibsrc загружают и выполняют вредоносный код во время установки.
Free-net-vpn, Free-net-vpn2 и WINRPCexploit крадут учетные данные пользователя и переменные среды.
Browserdiv способен собирать учетные данные и другую информацию, сохраненную в папке локального хранилища веб-браузера.
Несмотря на то, что после уведомления CheckPoint все вредоносные пакеты Бали удалены из PyPI, разработчики ПО, успевшие их загрузить все еще могут подвергаться риску атак на цепочку поставок.
Важно помнить, что ни один пакет в PyPI не имеет гарантий безопасности, ответственность - всегда на стороне разработчиков.
Check Point Research
CloudGuard Spectral detects several malicious packages on PyPI - the official software repository for Python developers - Check…
Highlights: CloudGuard Spectral detects 10 malicious packages on PyPI, the leading Python package index used by developers for the Python programming language Malicious packages install info-stealers that enable attackers to steal developer’s private data…
Forwarded from AlexRedSec
ЕЦБ (Европейский центральный банк) опубликовал методичку с лучшими практиками по имплементации в процесс тестирования и правильному применению "пурпурных команд" (Purple Team).
Да, методичка "заточена" под стандарт и платформу TIBER-EU (European Framework for Threat Intelligence-based Ethical Red Teaming), но чего-то сильно узкоспециализированного в рекомендациях я не увидел, поэтому смело можно читать и брать что-то полезное на вооружение.
Да, методичка "заточена" под стандарт и платформу TIBER-EU (European Framework for Threat Intelligence-based Ethical Red Teaming), но чего-то сильно узкоспециализированного в рекомендациях я не увидел, поэтому смело можно читать и брать что-то полезное на вооружение.
👍2
https://www.nccoe.nist.gov/get-involved/attend-events/nccoe-learning-series-webinar-preparing-migration-post-quantum
NCCoE Learning Series Webinar: Preparing for the Migration to Post-Quantum Cryptography
NCCoE Learning Series Webinar: Preparing for the Migration to Post-Quantum Cryptography
Forwarded from AlexRedSec
На Black Hat 2022 презентовали Open Cybersecurity Schema Framework - стандарт, призванный устранить проблему того, что различные организации оперируют собственными терминологиями при описании событий и угроз кибербезопасности.
В фреймворке OCSF определены типы данных, атрибуты, классы и категории событий и т.п.
Наглядно посмотреть матрицу конструкций OCSF можно тут, а почитать подробнее про сам фреймворк здесь.
p.s. Хорошая инициатива, но взлетит ли - это вопрос)
В фреймворке OCSF определены типы данных, атрибуты, классы и категории событий и т.п.
Наглядно посмотреть матрицу конструкций OCSF можно тут, а почитать подробнее про сам фреймворк здесь.
p.s. Хорошая инициатива, но взлетит ли - это вопрос)
Forwarded from CloudSec Wine (Артем Марков)
🔶🔷🔴 HashiCorp State of Cloud Strategy Survey
Insights from HashiCorp’s 2022 State of Cloud Strategy Survey, commissioned by HashiCorp and conducted by Forrester Consulting. Forrester surveyed more than 1,000 technology practitioners and decision makers from around the world, drawn from random samplings as well as the HashiCorp opt-in contact database.
Some stats that stuck out to us:
1️⃣ 81% of companies are or are planning to use multiple cloud providers
2️⃣ 86% have a centralized function or group responsible for cloud operations or strategy
https://www.hashicorp.com/state-of-the-cloud
#aws #azure #gcp
Insights from HashiCorp’s 2022 State of Cloud Strategy Survey, commissioned by HashiCorp and conducted by Forrester Consulting. Forrester surveyed more than 1,000 technology practitioners and decision makers from around the world, drawn from random samplings as well as the HashiCorp opt-in contact database.
Some stats that stuck out to us:
1️⃣ 81% of companies are or are planning to use multiple cloud providers
2️⃣ 86% have a centralized function or group responsible for cloud operations or strategy
https://www.hashicorp.com/state-of-the-cloud
#aws #azure #gcp
Forwarded from AlexRedSec
Компания Ermetic, специализирующаяся на облачной кибербезопасности, в этом году разработала собственную модель зрелости облачной безопасности Ermetic Cloud Security Maturity Model.
Данная модель зрелости объединяет 16 отдельных доменов облачной безопасности в организационные и технологические вопросы. Группа организационных вопросов состоит из двух областей: "People" и "Processes" - вместе эти области охватывают семь доменов.
Технологическая группа состоит из трех областей — "Visibility", "Prevention" и "Detection"; вместе эти области охватывают девять доменов.
Для каждого домена организация оценивается как соответствующая стандартам для одного из четырех уровней зрелости:
🔹Ad Hoc
🔹Opportunistic
🔹Repeatable
🔹Automated and Integrated
А вдогонку Ermetic совместно с Osterman Research провели опрос 326 крупных компаний, оценив их уровень зрелости по своей модели.
Ключевые выводы:
🔹В целом, зрелость низкая: 84% компаний были на первых двух уровнях и только 16% на двух высших.
🔹42% компаний, инвестирующих более 50 человеко-часов в неделю в облачную безопасность, достигают самых высоких уровней зрелости.
🔹Чем больше различных облаков, используется в компании, тем ниже ее уровень зрелости.
🔹81% компаний не имеют полного представления о своих активах, доступных напрямую из сети Интернет...
При этом, компании с высоким уровнем зрелости выделяли пять главных приоритетов в облачной безопасности:
🔹Обнаружение ошибок в конфигурациях облаков.
🔹Полное покрытие процесса отслеживания и исследования действий пользователей и сервисов/приложений.
🔹Обеспечение своевременного (JIT) доступа для команд разработчиков/DevOps/инженеров к облачным средам.
🔹Оценка соответствия лучшим практикам и стандартам безопасности.
🔹Обеспечение минимизации прав доступа как для пользователей, так и для сервисов/приложений.
Подробнее можно почитать тут. Ниже также приложил брошюру про саму модель зрелости и отчет по результатам опроса компаний.
Данная модель зрелости объединяет 16 отдельных доменов облачной безопасности в организационные и технологические вопросы. Группа организационных вопросов состоит из двух областей: "People" и "Processes" - вместе эти области охватывают семь доменов.
Технологическая группа состоит из трех областей — "Visibility", "Prevention" и "Detection"; вместе эти области охватывают девять доменов.
Для каждого домена организация оценивается как соответствующая стандартам для одного из четырех уровней зрелости:
🔹Ad Hoc
🔹Opportunistic
🔹Repeatable
🔹Automated and Integrated
А вдогонку Ermetic совместно с Osterman Research провели опрос 326 крупных компаний, оценив их уровень зрелости по своей модели.
Ключевые выводы:
🔹В целом, зрелость низкая: 84% компаний были на первых двух уровнях и только 16% на двух высших.
🔹42% компаний, инвестирующих более 50 человеко-часов в неделю в облачную безопасность, достигают самых высоких уровней зрелости.
🔹Чем больше различных облаков, используется в компании, тем ниже ее уровень зрелости.
🔹81% компаний не имеют полного представления о своих активах, доступных напрямую из сети Интернет...
При этом, компании с высоким уровнем зрелости выделяли пять главных приоритетов в облачной безопасности:
🔹Обнаружение ошибок в конфигурациях облаков.
🔹Полное покрытие процесса отслеживания и исследования действий пользователей и сервисов/приложений.
🔹Обеспечение своевременного (JIT) доступа для команд разработчиков/DevOps/инженеров к облачным средам.
🔹Оценка соответствия лучшим практикам и стандартам безопасности.
🔹Обеспечение минимизации прав доступа как для пользователей, так и для сервисов/приложений.
Подробнее можно почитать тут. Ниже также приложил брошюру про саму модель зрелости и отчет по результатам опроса компаний.
Forwarded from Пост Лукацкого
Согласно отчету страховой компании Marsh стоимость страхования киберисков выросла на 110%; по большей части из-за роста стоимости и частоты самих рисков и андеррайтинга по ним (процесса анализа предлагаемых для страхования киберрисков, принятия решения по ним и определения адекватной риску тарифной ставки и условий страхования).
То есть то, что так активно предлагали в мире скоро может стать недоступнее для многих компаний. Им и так приходилось вкладывать серьезные инвестиции в построение своей системы ИБ для снижения ставки страхования, а тут еще и стоимость самой услуги возрастает, а размер возмещения в случае реализации застрахованного риска снижается. Задумаешься 10 раз, стоит ли идти по этому сценарию, который многим казался вполне себе интересным (ничего не делаешь, просто платишь страховой, а она тебе потом все возмещает).
У нас в регионе этот вид страхования так и не стал популярным, так как он все равно не позволял отказаться от реализации защитных мер регуляторов; да и оценка стоимости ущерба (а как иначе оценить адекватность суммы страховки, если мы не знаем, во сколько нам обходится страхуемый риск?) многими делалась в виде тепловых карт, а не с реальными выкладками и расчетами.
То есть то, что так активно предлагали в мире скоро может стать недоступнее для многих компаний. Им и так приходилось вкладывать серьезные инвестиции в построение своей системы ИБ для снижения ставки страхования, а тут еще и стоимость самой услуги возрастает, а размер возмещения в случае реализации застрахованного риска снижается. Задумаешься 10 раз, стоит ли идти по этому сценарию, который многим казался вполне себе интересным (ничего не делаешь, просто платишь страховой, а она тебе потом все возмещает).
У нас в регионе этот вид страхования так и не стал популярным, так как он все равно не позволял отказаться от реализации защитных мер регуляторов; да и оценка стоимости ущерба (а как иначе оценить адекватность суммы страховки, если мы не знаем, во сколько нам обходится страхуемый риск?) многими делалась в виде тепловых карт, а не с реальными выкладками и расчетами.