Forwarded from AlexRedSec
Компания Ermetic, специализирующаяся на облачной кибербезопасности, в этом году разработала собственную модель зрелости облачной безопасности Ermetic Cloud Security Maturity Model.
Данная модель зрелости объединяет 16 отдельных доменов облачной безопасности в организационные и технологические вопросы. Группа организационных вопросов состоит из двух областей: "People" и "Processes" - вместе эти области охватывают семь доменов.
Технологическая группа состоит из трех областей — "Visibility", "Prevention" и "Detection"; вместе эти области охватывают девять доменов.
Для каждого домена организация оценивается как соответствующая стандартам для одного из четырех уровней зрелости:
🔹Ad Hoc
🔹Opportunistic
🔹Repeatable
🔹Automated and Integrated
А вдогонку Ermetic совместно с Osterman Research провели опрос 326 крупных компаний, оценив их уровень зрелости по своей модели.
Ключевые выводы:
🔹В целом, зрелость низкая: 84% компаний были на первых двух уровнях и только 16% на двух высших.
🔹42% компаний, инвестирующих более 50 человеко-часов в неделю в облачную безопасность, достигают самых высоких уровней зрелости.
🔹Чем больше различных облаков, используется в компании, тем ниже ее уровень зрелости.
🔹81% компаний не имеют полного представления о своих активах, доступных напрямую из сети Интернет...
При этом, компании с высоким уровнем зрелости выделяли пять главных приоритетов в облачной безопасности:
🔹Обнаружение ошибок в конфигурациях облаков.
🔹Полное покрытие процесса отслеживания и исследования действий пользователей и сервисов/приложений.
🔹Обеспечение своевременного (JIT) доступа для команд разработчиков/DevOps/инженеров к облачным средам.
🔹Оценка соответствия лучшим практикам и стандартам безопасности.
🔹Обеспечение минимизации прав доступа как для пользователей, так и для сервисов/приложений.
Подробнее можно почитать тут. Ниже также приложил брошюру про саму модель зрелости и отчет по результатам опроса компаний.
Данная модель зрелости объединяет 16 отдельных доменов облачной безопасности в организационные и технологические вопросы. Группа организационных вопросов состоит из двух областей: "People" и "Processes" - вместе эти области охватывают семь доменов.
Технологическая группа состоит из трех областей — "Visibility", "Prevention" и "Detection"; вместе эти области охватывают девять доменов.
Для каждого домена организация оценивается как соответствующая стандартам для одного из четырех уровней зрелости:
🔹Ad Hoc
🔹Opportunistic
🔹Repeatable
🔹Automated and Integrated
А вдогонку Ermetic совместно с Osterman Research провели опрос 326 крупных компаний, оценив их уровень зрелости по своей модели.
Ключевые выводы:
🔹В целом, зрелость низкая: 84% компаний были на первых двух уровнях и только 16% на двух высших.
🔹42% компаний, инвестирующих более 50 человеко-часов в неделю в облачную безопасность, достигают самых высоких уровней зрелости.
🔹Чем больше различных облаков, используется в компании, тем ниже ее уровень зрелости.
🔹81% компаний не имеют полного представления о своих активах, доступных напрямую из сети Интернет...
При этом, компании с высоким уровнем зрелости выделяли пять главных приоритетов в облачной безопасности:
🔹Обнаружение ошибок в конфигурациях облаков.
🔹Полное покрытие процесса отслеживания и исследования действий пользователей и сервисов/приложений.
🔹Обеспечение своевременного (JIT) доступа для команд разработчиков/DevOps/инженеров к облачным средам.
🔹Оценка соответствия лучшим практикам и стандартам безопасности.
🔹Обеспечение минимизации прав доступа как для пользователей, так и для сервисов/приложений.
Подробнее можно почитать тут. Ниже также приложил брошюру про саму модель зрелости и отчет по результатам опроса компаний.
Forwarded from Пост Лукацкого
Согласно отчету страховой компании Marsh стоимость страхования киберисков выросла на 110%; по большей части из-за роста стоимости и частоты самих рисков и андеррайтинга по ним (процесса анализа предлагаемых для страхования киберрисков, принятия решения по ним и определения адекватной риску тарифной ставки и условий страхования).
То есть то, что так активно предлагали в мире скоро может стать недоступнее для многих компаний. Им и так приходилось вкладывать серьезные инвестиции в построение своей системы ИБ для снижения ставки страхования, а тут еще и стоимость самой услуги возрастает, а размер возмещения в случае реализации застрахованного риска снижается. Задумаешься 10 раз, стоит ли идти по этому сценарию, который многим казался вполне себе интересным (ничего не делаешь, просто платишь страховой, а она тебе потом все возмещает).
У нас в регионе этот вид страхования так и не стал популярным, так как он все равно не позволял отказаться от реализации защитных мер регуляторов; да и оценка стоимости ущерба (а как иначе оценить адекватность суммы страховки, если мы не знаем, во сколько нам обходится страхуемый риск?) многими делалась в виде тепловых карт, а не с реальными выкладками и расчетами.
То есть то, что так активно предлагали в мире скоро может стать недоступнее для многих компаний. Им и так приходилось вкладывать серьезные инвестиции в построение своей системы ИБ для снижения ставки страхования, а тут еще и стоимость самой услуги возрастает, а размер возмещения в случае реализации застрахованного риска снижается. Задумаешься 10 раз, стоит ли идти по этому сценарию, который многим казался вполне себе интересным (ничего не делаешь, просто платишь страховой, а она тебе потом все возмещает).
У нас в регионе этот вид страхования так и не стал популярным, так как он все равно не позволял отказаться от реализации защитных мер регуляторов; да и оценка стоимости ущерба (а как иначе оценить адекватность суммы страховки, если мы не знаем, во сколько нам обходится страхуемый риск?) многими делалась в виде тепловых карт, а не с реальными выкладками и расчетами.
https://www.nextron-systems.com/2022/08/13/antivirus-event-analysis-cheat-sheet-v1-10-0/
updated Antivirus Event Analysis Cheat Sheet to version 1.10.0.
It includes updates in several sections
add special identifiers for Sliver and Brute Ratel C4 framework implants
many new tags for Virustotal assessments
updated Antivirus Event Analysis Cheat Sheet to version 1.10.0.
It includes updates in several sections
add special identifiers for Sliver and Brute Ratel C4 framework implants
many new tags for Virustotal assessments
Nextron-Systems
Antivirus Event Analysis Cheat Sheet v1.10.0 - Nextron Systems
https://github.com/zeronetworks/BlueHound
BlueHound is an open-source tool that helps blue teams pinpoint the security issues that actually matter. By combining information about user permissions, network access and unpatched vulnerabilities, BlueHound reveals the paths attackers would take if they were inside your network
It is a fork of NeoDash, reimagined, to make it suitable for defensive security purposes.
BlueHound is an open-source tool that helps blue teams pinpoint the security issues that actually matter. By combining information about user permissions, network access and unpatched vulnerabilities, BlueHound reveals the paths attackers would take if they were inside your network
It is a fork of NeoDash, reimagined, to make it suitable for defensive security purposes.
GitHub
GitHub - zeronetworks/BlueHound: BlueHound - pinpoint the security issues that actually matter
BlueHound - pinpoint the security issues that actually matter - zeronetworks/BlueHound
Forwarded from CyberCamp
Насколько сложно начать карьеру после студенческой скамьи?👨🏻🎓
Рассказывает Ольга Елисеева, руководитель сервиса Jet CyberCamp:
«14 лет назад я училась в университете по специальности «Организация и технология защиты информации». Направление было перспективным, но с перекосом в сторону теории.
Практики хотелось все сильнее, и на четвертом курсе я задумалась о стажировке. Искала вакансии, ходила на собеседования, но почти везде нужны были опытные сотрудники на полный рабочий день. Общаясь с нынешними студентами, я поняла, что ничего не изменилось.
Мы знаем, что практические навыки важно получать уже в университете. Поэтому программа CyberCamp 2022 составлена так, чтобы за 3 дня можно было понять, как обеспечивается безопасность бизнеса в реальной жизни».
Мы зарезервировали места под студенческие команды. Лучших ждет специальный приз🏆
📌Если ты студент, регистрируйся и приглашай однокурсников!
Рассказывает Ольга Елисеева, руководитель сервиса Jet CyberCamp:
«14 лет назад я училась в университете по специальности «Организация и технология защиты информации». Направление было перспективным, но с перекосом в сторону теории.
Практики хотелось все сильнее, и на четвертом курсе я задумалась о стажировке. Искала вакансии, ходила на собеседования, но почти везде нужны были опытные сотрудники на полный рабочий день. Общаясь с нынешними студентами, я поняла, что ничего не изменилось.
Мы знаем, что практические навыки важно получать уже в университете. Поэтому программа CyberCamp 2022 составлена так, чтобы за 3 дня можно было понять, как обеспечивается безопасность бизнеса в реальной жизни».
Мы зарезервировали места под студенческие команды. Лучших ждет специальный приз🏆
📌Если ты студент, регистрируйся и приглашай однокурсников!
👍1
Forwarded from Yandex Neuro Scale 2025
Yandex Scale 2022 — программа мероприятия уже на сайте!
На Yandex Scale вас снова ждёт насыщенная программа: 30 докладов, 50 докладчиков, общение с командой разработки и истории наших пользователей.
В главном докладе расскажем о том, как мы и наши клиенты адаптировались к новой реальности, что было в фокусе последние несколько месяцев и каким видим будущее нашей платформы.
В пяти тематических треках поделимся важными новостями о продуктах и сервисах.
Переходите на сайт, чтобы посмотреть список докладов и сформировать своё расписание →
#yacloud_news
На Yandex Scale вас снова ждёт насыщенная программа: 30 докладов, 50 докладчиков, общение с командой разработки и истории наших пользователей.
В главном докладе расскажем о том, как мы и наши клиенты адаптировались к новой реальности, что было в фокусе последние несколько месяцев и каким видим будущее нашей платформы.
В пяти тематических треках поделимся важными новостями о продуктах и сервисах.
Переходите на сайт, чтобы посмотреть список докладов и сформировать своё расписание →
#yacloud_news
Forwarded from Денис Тришкин
Всем привет!
Для студентов, выпускников технических вузов и начинающих специалистов в ИТ: Тинькофф открыk набор на бесплатный онлайн-курс Информационной безопасности 👀
Преподаватели — ведущие специалисты и техлиды Тинькофф.
Больше подробностей о программе читайте в карточках. Подать заявку можно уже сейчас, а пройти отборочные испытания с 25 августа по 1 сентября — выбирайте интересное вам направление по ссылке: https://o.tinkoff.ru/infobez-fintech-qa
P.S. Согласовано с @vbengin
Для студентов, выпускников технических вузов и начинающих специалистов в ИТ: Тинькофф открыk набор на бесплатный онлайн-курс Информационной безопасности 👀
Преподаватели — ведущие специалисты и техлиды Тинькофф.
Больше подробностей о программе читайте в карточках. Подать заявку можно уже сейчас, а пройти отборочные испытания с 25 августа по 1 сентября — выбирайте интересное вам направление по ссылке: https://o.tinkoff.ru/infobez-fintech-qa
P.S. Согласовано с @vbengin
https://www.nccoe.nist.gov/get-involved/attend-events/nccoe-learning-series-webinar-preparing-migration-post-quantum
NCCoE Learning Series Webinar: Preparing for the Migration to Post-Quantum Cryptography
Thursday, August 25, 2022 3:00–3:45pm
NCCoE Learning Series Webinar: Preparing for the Migration to Post-Quantum Cryptography
Thursday, August 25, 2022 3:00–3:45pm
👍1
Forwarded from SecurityLab.ru
Microsoft: Песня Джанет Джексон обладала способностью ломать ноутбуки
— Один из производителей ноутбуков обнаружил, что при воспроизведении песни Rhythm Nation популярной американской певицы Джанет Джексон определённые модели мобильных ПК выходили из строя.
— Оказывается, песня содержала одну из собственных резонансных частот для модели жестких дисков для ноутбуков на 5400 об/мин, которую использовали разные производители жестких дисков.
— Производитель решил проблему, добавив в аудиоконвейер специальный фильтр, который обнаруживал и удалял нежелательные частоты во время воспроизведения звука. Таким образом песни Джексон больше не могли навредить системе. Возможно, что этот аудиофильтр с тех пор продолжает быть обязательными строками кода в драйверах многих ноутбуков.
Подробнее: https://www.securitylab.ru/news/533397.php?r=2
— Один из производителей ноутбуков обнаружил, что при воспроизведении песни Rhythm Nation популярной американской певицы Джанет Джексон определённые модели мобильных ПК выходили из строя.
— Оказывается, песня содержала одну из собственных резонансных частот для модели жестких дисков для ноутбуков на 5400 об/мин, которую использовали разные производители жестких дисков.
— Производитель решил проблему, добавив в аудиоконвейер специальный фильтр, который обнаруживал и удалял нежелательные частоты во время воспроизведения звука. Таким образом песни Джексон больше не могли навредить системе. Возможно, что этот аудиофильтр с тех пор продолжает быть обязательными строками кода в драйверах многих ноутбуков.
Подробнее: https://www.securitylab.ru/news/533397.php?r=2
SecurityLab.ru
Песня Джанет Джексон обладала способностью ломать ноутбуки
О необычном влиянии песен сестры Майкла Джексона на ноутбуки и лэптопы рассказали в компании Microsoft.