Forwarded from Пост Лукацкого
Forrester тут выпустил отчет (можно найти на просторах Интернета на сайтах вендоров) по решениям класса SOAR
Forwarded from AlexRedSec
Ассоциация IAPP опубликовала очередной (шестой) ежегодный сборник поставщиков технологий privacy-сегмента.
В отчете перечисляется 364 компании с краткой справкой о каждой и описанием технических решений, которые они разрабатывают в области приватности и конфиденциальности данных.
Интересный сборничек - можно пробежаться и посмотреть кто есть на рынке и какие решения реализуют.
Кстати, в перечне компаний есть парочка отечественных👌
В отчете перечисляется 364 компании с краткой справкой о каждой и описанием технических решений, которые они разрабатывают в области приватности и конфиденциальности данных.
Интересный сборничек - можно пробежаться и посмотреть кто есть на рынке и какие решения реализуют.
Кстати, в перечне компаний есть парочка отечественных
Please open Telegram to view this post
VIEW IN TELEGRAM
👍2
Forwarded from Минцифры России
🚀 На Госуслугах появился раздел про кибербезопасность
На портале Госуслуг в разделе «Кибербезопасность – это просто» пользователи могут:
🔹 пройти тест и узнать, насколько хорошо они умеют распознавать типичные уловки интернет-мошенников и защищать свои данные;
🔹 узнать, как обезопасить себя от различных типов угроз – от взлома аккаунта до телефонного мошенничества;
🔹 скачать специальные памятки со списком фраз телефонных мошенников и информацией, которую никогда нельзя раскрывать и др.
Также в рамках федпроекта «Информационная безопасность» Минцифры России совместно с «РТК-Солар» и СПбГУТ запустили три спецпроекта для повышения кибеграмотности граждан.
«КиберЗОЖ» – сайт о простых правилах кибербезопасности
«Сложные несложные пароли» – раздел на сайте «КиберЗОЖ» о качественной защите своего аккаунта
«Кибербуллинг» – истории блогеров в соцсетях о том, как они преодолели кибербуллинг, а также сайт для детей и подростков о борьбе с травлей в интернете
👉 Подробнее на сайте Минцифры
@mintsifry
На портале Госуслуг в разделе «Кибербезопасность – это просто» пользователи могут:
🔹 пройти тест и узнать, насколько хорошо они умеют распознавать типичные уловки интернет-мошенников и защищать свои данные;
🔹 узнать, как обезопасить себя от различных типов угроз – от взлома аккаунта до телефонного мошенничества;
🔹 скачать специальные памятки со списком фраз телефонных мошенников и информацией, которую никогда нельзя раскрывать и др.
Также в рамках федпроекта «Информационная безопасность» Минцифры России совместно с «РТК-Солар» и СПбГУТ запустили три спецпроекта для повышения кибеграмотности граждан.
«КиберЗОЖ» – сайт о простых правилах кибербезопасности
«Сложные несложные пароли» – раздел на сайте «КиберЗОЖ» о качественной защите своего аккаунта
«Кибербуллинг» – истории блогеров в соцсетях о том, как они преодолели кибербуллинг, а также сайт для детей и подростков о борьбе с травлей в интернете
👉 Подробнее на сайте Минцифры
@mintsifry
Forwarded from AlexRedSec
Please open Telegram to view this post
VIEW IN TELEGRAM
Газета.Ru
Сбер запустил библиотеку знаний по киберграмотности «Кибрарий»
Заместитель председателя правления Сбербанка Станислав Кузнецов в интервью телеканалу «Россия 24» заявил, что Сбер запустил библиотеку знаний в области кибербезопасности «Кибрарий». По его словам, это поможет в информировании граждан о мерах безопасности...
Forwarded from SecAtor
VMware выпустила патч для критической RCE-уязвимости в Cloud Foundation, гибридной облачной платформе для запуска корпоративных приложений в частных или общедоступных средах.
CVE-2021-39144 затрагивает библиотеку с открытым исходным кодом XStream и имеет почти максимальную базовую оценку CVSSv3 9,8/10, присвоенную VMware.
О ней сообщили Сина Хейркх и Стивен Сили из Source Incite.
Из-за неаутентифицированной конечной точки, которая использует XStream для сериализации ввода в VMware Cloud Foundation (NSX-V), злоумышленник может получить удаленное выполнение кода в контексте «root» на устройстве.
Недостаток может быть использован удаленно злоумышленниками, не прошедшими проверку подлинности, в несложных атаках, не требующих взаимодействия с пользователем.
Для устранения CVE-2021-39144 VMware обновила XStream до версии 1.4.19.
Кроме того, выпущены исправления безопасности для продуктов с истекшим сроком эксплуатации.
Компания также выпустила исправления для другой уязвимости CVE-2022-31678, которая может вызвать DoS или раскрыть информацию после успешных атак с внедрением внешних объектов XML (XXE).
VMware также предложено временное решение для тех, кто не может оперативно пропатчить свои устройства.
Администраторам потребуется вход в каждую виртуальную машину диспетчера SDDC в своей среде Cloud Foundation для применения исправления NSX для vSphere (NSX-V), которое обновит библиотеку XStream до версии 1.4.19.
Однако, в отличие от обновлений, обходной путь потребует от администраторов выполнения всех шагов каждый раз, когда создается новый домен рабочей нагрузки VI.
CVE-2021-39144 затрагивает библиотеку с открытым исходным кодом XStream и имеет почти максимальную базовую оценку CVSSv3 9,8/10, присвоенную VMware.
О ней сообщили Сина Хейркх и Стивен Сили из Source Incite.
Из-за неаутентифицированной конечной точки, которая использует XStream для сериализации ввода в VMware Cloud Foundation (NSX-V), злоумышленник может получить удаленное выполнение кода в контексте «root» на устройстве.
Недостаток может быть использован удаленно злоумышленниками, не прошедшими проверку подлинности, в несложных атаках, не требующих взаимодействия с пользователем.
Для устранения CVE-2021-39144 VMware обновила XStream до версии 1.4.19.
Кроме того, выпущены исправления безопасности для продуктов с истекшим сроком эксплуатации.
Компания также выпустила исправления для другой уязвимости CVE-2022-31678, которая может вызвать DoS или раскрыть информацию после успешных атак с внедрением внешних объектов XML (XXE).
VMware также предложено временное решение для тех, кто не может оперативно пропатчить свои устройства.
Администраторам потребуется вход в каждую виртуальную машину диспетчера SDDC в своей среде Cloud Foundation для применения исправления NSX для vSphere (NSX-V), которое обновит библиотеку XStream до версии 1.4.19.
Однако, в отличие от обновлений, обходной путь потребует от администраторов выполнения всех шагов каждый раз, когда создается новый домен рабочей нагрузки VI.
Forwarded from TAdviser
Растущие риски и повсеместное использование открытого исходного кода в разработке программного обеспечения требуют анализа состава программного обеспечения (SCA) для обеспечения безопасности приложений. Руководители служб безопасности должны расширить область применения SCA-инструментов, включив в нее обнаружение вредоносного кода, операционных рисков и рисков цепочки поставок, считают в Gartner. Аналитики Gartner подготовили отчет «Market Guide for Software Composition Analysis», который помогает разобраться в функциональных возможностях класса SCA - Software Composition Analysis, анализ состава ПО - и выбрать подходящий для себя инструмент. Представляем обзор этого документа https://www.tadviser.ru/a/696895
Опубликованы новые редакции iso 27001 и 27005.
https://pecb.com/article/isoiec-27001---what-are-the-main-changes-in-2022
https://pecb.com/article/isoiec-27001---what-are-the-main-changes-in-2022
Pecb
ISO/IEC 27001 - What are the main changes in 2022?
<p>
The new ISO/IEC 27001:2022 is currently under the publication stage and will be published very soon. Some of the main new updates of ISO/IEC 27001:2022 include the update of Annex A and a change in the noscript of the standard.
The new ISO/IEC 27001:2022 is currently under the publication stage and will be published very soon. Some of the main new updates of ISO/IEC 27001:2022 include the update of Annex A and a change in the noscript of the standard.
👍1
Forwarded from AlexRedSec
Репозиторий с ссылками на видео (и/или презентации) докладов с международных конференций по ИБ за 2022 год (50 конференций получилось пока).
Для просмотра холодными осенними вечерами😉
Для просмотра холодными осенними вечерами
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - TalEliyahu/awesome-cybersecurity-conferences: Watch the latest awesome security talks around the globe
Watch the latest awesome security talks around the globe - GitHub - TalEliyahu/awesome-cybersecurity-conferences: Watch the latest awesome security talks around the globe
👍2
Forwarded from k8s (in)security (Дмитрий Евдокимов)
На прошлой неделе прошел KubeCon + CloudNativeCon North America 2022 и уже доступны видео и слайды со специализированных сессий:
- Cloud Native SecurityCon NA 2022
- SigstoreCon NA 2022
- ServiceMeshCon NA 2022
- PrometheusDay NA 2022
- Kubernetes on Edge Day NA 2022
- Kubernetes AI Day NA 2022
- GitOpsCon NA 2022
- EnvoyCon NA 2022
- Cloud Native eBPF Day NA 2022
- Open Observability Day NA 2022
- Cloud Native Telco Day NA 2022
- Kubernetes Batch + HPC Day NA 2022
- KnativeCon NA 2022
- Cloud Native Wasm Day NA 2022
- BackstageCon NA 2022
Отдельно выделю появление новых сессий про Sigstore и Backstage, что говорит про тренды про подпись/аттестацию используемых артефактов и движение к специализированным порталам для разработчиков.
P.S. Видео с основной программы
- Cloud Native SecurityCon NA 2022
- SigstoreCon NA 2022
- ServiceMeshCon NA 2022
- PrometheusDay NA 2022
- Kubernetes on Edge Day NA 2022
- Kubernetes AI Day NA 2022
- GitOpsCon NA 2022
- EnvoyCon NA 2022
- Cloud Native eBPF Day NA 2022
- Open Observability Day NA 2022
- Cloud Native Telco Day NA 2022
- Kubernetes Batch + HPC Day NA 2022
- KnativeCon NA 2022
- Cloud Native Wasm Day NA 2022
- BackstageCon NA 2022
Отдельно выделю появление новых сессий про Sigstore и Backstage, что говорит про тренды про подпись/аттестацию используемых артефактов и движение к специализированным порталам для разработчиков.
P.S. Видео с основной программы
KubeCon + CloudNativeCon North America 2022 еще не доступно …Forwarded from Пост Лукацкого
"Кто первый, того и тапки". Такого принципа придерживается Mandiant, которая за два месяца до конца года решила сделать прогнозы на 2023-й год в области ИБ.
Отчет коротенький и его можно изложить всего в нескольких тезисах:
📌 Больше атак от неорганизованных и негосударственных хакеров
📌 Европа обойдет США с точки зрения более атакуемого шифровальщиками региона
📌 Больше вымогательства
📌 Россия, Китай, Иран и Северная Коре я - основные кибервраги
📌 Беспарольная аутентификация завоевывает мир
📌 Смена фокуса хакеров с компрометации ПК в сторону компрометации учетной записи
📌 Хакеры будут изучать больше отчетов ИБ-компаний и ИБ-специалистов для изучения защитных тактик и техник
📌 Киберстрахование - это шняга
📌 ...ну и еще немного в самом отчете👇🏻
Отчет коротенький и его можно изложить всего в нескольких тезисах:
📌 Больше атак от неорганизованных и негосударственных хакеров
📌 Европа обойдет США с точки зрения более атакуемого шифровальщиками региона
📌 Больше вымогательства
📌 Россия, Китай, Иран и Северная Коре я - основные кибервраги
📌 Беспарольная аутентификация завоевывает мир
📌 Смена фокуса хакеров с компрометации ПК в сторону компрометации учетной записи
📌 Хакеры будут изучать больше отчетов ИБ-компаний и ИБ-специалистов для изучения защитных тактик и техник
📌 Киберстрахование - это шняга
📌 ...ну и еще немного в самом отчете👇🏻
👍3