Forwarded from SecurityLab.ru
— С 1 октября Центробанк обязал российские кредитные организации идентифицировать все устройства, на которых граждане проводят онлайн-транзакции.
— «Даже если преступники выманят пароли и коды для доступа в Интернет или мобильный банк, им не удастся войти в ваш личный кабинет со своего гаджета. Как только банк заметит подмену, он свяжется с вами и уточнит, вы ли заходите с другого устройства», – рассказали представители Центробанка.
— Соответствующие требования описаны в указании ЦБ РФ, которое вносит изменения в положение Банка России № 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента».
https://www.securitylab.ru/news/534206.php
Please open Telegram to view this post
VIEW IN TELEGRAM
SecurityLab.ru
ЦБ обязал банки ввести идентификацию гаджетов клиентов
Центробанк с 1 октября обязал российские кредитные организации проводить идентификацию всех устройств, с которых жители совершают онлайн-операции.
👍1
https://www.nist.gov/blogs/cybersecurity-insights/cybersecurity-awareness-month-2022-enabling-multi-factor-authentication
советы для пользователей от NIST в рамках месячника аваренес
советы для пользователей от NIST в рамках месячника аваренес
NIST
Cybersecurity Awareness Month 2022: Enabling Multi-factor Authentication Key behavior: Multi-factor Authentication
In celebration of Cybersecurity Awareness Month, NIST will be publishing a d
Новый ресурс по обучению и карьере в кибербезе с бесплатными учебными материалами от Всемирного экономического форума.
https://www.weforum.org/impact/cybersecurity-training/
https://www.weforum.org/impact/cybersecurity-training/
World Economic Forum
Delivering free and globally accessible cybersecurity training
Cybersecurity training: the Forum and its partners are reducing the global cybersecurity workforce gap through training and upskilling
Forwarded from НеКасперский
Россия заняла 3 место в гарвардском рейтинге киберсилы
Ещё два года назад Россия была на 4-м месте в рейтинге киберсилы государств. Тогда Belfer Center при Гарварде впервые попытался комплексно оценить мощь государств в киберпространстве.
В этом году вышла новая версия рейтинга. В ней авторы пересмотрели методологию, киберсила теперь оценивается по 8 национальным целям и 29 индикаторам.
Индикаторы делятся на две группы: намерения и возможности.
Ещё два года назад Россия была на 4-м месте в рейтинге киберсилы государств. Тогда Belfer Center при Гарварде впервые попытался комплексно оценить мощь государств в киберпространстве.
В этом году вышла новая версия рейтинга. В ней авторы пересмотрели методологию, киберсила теперь оценивается по 8 национальным целям и 29 индикаторам.
Индикаторы делятся на две группы: намерения и возможности.
https://arstechnica.com/gadgets/2022/10/matter-and-thread-could-fix-smart-home-compatibility-but-dont-get-excited-yet/
стандарт безопасности для IOT
стандарт безопасности для IOT
Ars Technica
IoT harmony? What Matter and Thread really mean for your smart home
An explainer on how Matter and Thread work and how they might actually help.
https://www.datadoghq.com/state-of-aws-security/
Оценка состояния безопасности на примере одного из самых известных облачных провайдеров.
Оценка состояния безопасности на примере одного из самых известных облачных провайдеров.
Datadog
State of AWS Security | Datadog
We analyzed trends in the implementation of security best practices and took a closer look at various types of misconfigurations that contribute to the most common causes of security breaches.
Forwarded from SecAtor
VMware сообщила об исправлениях уязвимости vCenter Server, которая могла привести к RCE.
Утилита централизованного управления vCenter Server используется для контроля за виртуальными машинами и хостами ESXi, а также их зависимыми компонентами.
Отслеживаемая как CVE-2022-31680 с оценкой CVSS 7,2 ошибка безопасности описывается как проблема десериализации в контроллере служб платформы PSC.
Злоумышленник с правами администратора на сервере vCenter может использовать эту проблему для RCE в базовой операционной системе, на которой размещен сервер vCenter.
Уязвимость была устранена в выпуске VMware vCenter Server 6.5 U3u.
VMware также выпустила исправления для уязвимости с низким уровнем серьезности отказа в обслуживании (DoS) в гипервизоре VMware ESXi.
CVE-2022-31681 заключается в недостатке разыменования нулевого указателя, который может позволить злоумышленнику с привилегиями только в рамках процесса VMX создать состояние DoS на хосте.
Ошибка была устранена в версиях ESXi ESXi70U3sf-20036586, ESXi670-202210101-SG и ESXi650-202210101-SG.
Как сообщает VMware, Cloud Foundation (ESXi) также подвержена этой уязвимости.
VMware рекомендует всем клиентам выполнить обновления программного обеспечения, даже несмотря на то, что данных об использовании ошибок в дикой природе не имеется.
Утилита централизованного управления vCenter Server используется для контроля за виртуальными машинами и хостами ESXi, а также их зависимыми компонентами.
Отслеживаемая как CVE-2022-31680 с оценкой CVSS 7,2 ошибка безопасности описывается как проблема десериализации в контроллере служб платформы PSC.
Злоумышленник с правами администратора на сервере vCenter может использовать эту проблему для RCE в базовой операционной системе, на которой размещен сервер vCenter.
Уязвимость была устранена в выпуске VMware vCenter Server 6.5 U3u.
VMware также выпустила исправления для уязвимости с низким уровнем серьезности отказа в обслуживании (DoS) в гипервизоре VMware ESXi.
CVE-2022-31681 заключается в недостатке разыменования нулевого указателя, который может позволить злоумышленнику с привилегиями только в рамках процесса VMX создать состояние DoS на хосте.
Ошибка была устранена в версиях ESXi ESXi70U3sf-20036586, ESXi670-202210101-SG и ESXi650-202210101-SG.
Как сообщает VMware, Cloud Foundation (ESXi) также подвержена этой уязвимости.
VMware рекомендует всем клиентам выполнить обновления программного обеспечения, даже несмотря на то, что данных об использовании ошибок в дикой природе не имеется.
Forwarded from SecAtor
А вот, Intel подтвердила подлинность утечки исходного кода UEFI BIOS процессоров Alder Lake.
Alder Lake — это линейка процессоров Intel Core 12-го поколения, выпущенных в ноябре 2021 года.
В пятницу пользователь Freak в Twitter опубликовал ссылки на исходники прошивки UEFI, которая, как они утверждают, была выпущена 4chan. Весь исходный код был разработан Insyde Software Corp, компанией-разработчиком прошивки для систем UEFI.
Репозиторий GitHub с именем «ICE_TEA_BIOS» был загружен пользователем с именем LCFCASD, который добавил к нему описание «Код BIOS из проекта C970».
Как выяснилось, утечка содержит 5,97 ГБ файлов, включая исходный код, закрытые ключи, журналы изменений и инструменты компиляции, последняя временная метка которых датирована 30 сентября этого года.
Слитые файлы содержат многочисленные ссылки на Lenovo, в том числе код для интеграции с «Lenovo String Service», «Lenovo Secure Suite» и «Lenovo Cloud Service».
Как предполагают в Intel, проприетарный код UEFI, по-видимому, был украден третьей стороной, правда непонятно, был ли исходный код украден во время кибератаки или действовал инсайдер.
Безусловно, Intel пытается преуменьшить риски безопасности, связанные с утечкой исходного кода, который, как они уверяют, включен в BugBounty.
Однако, ресерчеры придерживается иного мнения и предупреждают, что утечка может упростить поиск уязвимостей в коде.
Hardened Vault прямо заявляют, что злоумышленники непременно извлекут огромную выгоду из утечек, даже если утечка OEM-реализации лишь частично используется в производстве.
Ресерчер Марк Ермолов из Positive Technologies также отмечает, что утечка включала закрытый ключ шифрования KeyManifest, закрытый ключ, который используется для защиты платформы Intel Boot Guard.
Alder Lake — это линейка процессоров Intel Core 12-го поколения, выпущенных в ноябре 2021 года.
В пятницу пользователь Freak в Twitter опубликовал ссылки на исходники прошивки UEFI, которая, как они утверждают, была выпущена 4chan. Весь исходный код был разработан Insyde Software Corp, компанией-разработчиком прошивки для систем UEFI.
Репозиторий GitHub с именем «ICE_TEA_BIOS» был загружен пользователем с именем LCFCASD, который добавил к нему описание «Код BIOS из проекта C970».
Как выяснилось, утечка содержит 5,97 ГБ файлов, включая исходный код, закрытые ключи, журналы изменений и инструменты компиляции, последняя временная метка которых датирована 30 сентября этого года.
Слитые файлы содержат многочисленные ссылки на Lenovo, в том числе код для интеграции с «Lenovo String Service», «Lenovo Secure Suite» и «Lenovo Cloud Service».
Как предполагают в Intel, проприетарный код UEFI, по-видимому, был украден третьей стороной, правда непонятно, был ли исходный код украден во время кибератаки или действовал инсайдер.
Безусловно, Intel пытается преуменьшить риски безопасности, связанные с утечкой исходного кода, который, как они уверяют, включен в BugBounty.
Однако, ресерчеры придерживается иного мнения и предупреждают, что утечка может упростить поиск уязвимостей в коде.
Hardened Vault прямо заявляют, что злоумышленники непременно извлекут огромную выгоду из утечек, даже если утечка OEM-реализации лишь частично используется в производстве.
Ресерчер Марк Ермолов из Positive Technologies также отмечает, что утечка включала закрытый ключ шифрования KeyManifest, закрытый ключ, который используется для защиты платформы Intel Boot Guard.
Tom's Hardware
Intel Confirms Alder Lake BIOS Source Code Leak, New Details Emerge
Hack's perpetrator and origins remain unknown.
Forwarded from AlexRedSec
На днях Microsoft опубликовала исследование о построении комплексной программы управления рисками инсайдерских угроз.
В этом документе излагается несколько идей и передовых практик о том, как перейти от фрагментированного к комплексному подходу управления инсайдерскими рисками.
Помимо вышеуказанного, в отчете Microsoft вводит понятие Индекса комплекского управления рисками инсайдерских угроз.
По факту этот Индекс (HIRMI-Holistic Insider Risk Management Index) позволяет определить уровень зрелости организации в рассматриваемом вопросе. А сущности, для которых проводятся измерения, типичны для моделей зрелости - персонал, процессы, инструменты и обучение.
Исследование интересное, много статистики и аналитики. Рекомендую к изучению. Ниже приложил сам отчет.
p.s. Напомню, что недавно также делился замечательным документом NASA по этой же теме.
В этом документе излагается несколько идей и передовых практик о том, как перейти от фрагментированного к комплексному подходу управления инсайдерскими рисками.
Помимо вышеуказанного, в отчете Microsoft вводит понятие Индекса комплекского управления рисками инсайдерских угроз.
По факту этот Индекс (HIRMI-Holistic Insider Risk Management Index) позволяет определить уровень зрелости организации в рассматриваемом вопросе. А сущности, для которых проводятся измерения, типичны для моделей зрелости - персонал, процессы, инструменты и обучение.
Исследование интересное, много статистики и аналитики. Рекомендую к изучению. Ниже приложил сам отчет.
p.s. Напомню, что недавно также делился замечательным документом NASA по этой же теме.
👍3