Forwarded from Пост Лукацкого
Я уже писал про участие в семинаре Gartner, где они представляли свои прогнозы по ИБ на 2023+ годы, но забыл написать про них. И так, 8 тенденций:
📌 рост влияния темы приватности
📌 консолидация сервисов по защите web и периметра в единой платформе
📌 проекты Zero Trust будут терпеть часто неудачу
📌 при взаимодействии с третьими лицами ИБ будет выходить на первый план (тут и защитв от атак на цепочку поставок, и взаимоотношения с поставщиками и т.п.)
📌 принятие нормативки по борьбе с шифровальщиками
📌 атаки на АСУ ТП
📌 киберустойчивость войдет в повестку большинства гендиректоров
📌 многие компании создатут комитеты по ИБ (или замгендиров по ИБ), а также включат в систему оценку руководителей вопросы кибербеза
📌 рост влияния темы приватности
📌 консолидация сервисов по защите web и периметра в единой платформе
📌 проекты Zero Trust будут терпеть часто неудачу
📌 при взаимодействии с третьими лицами ИБ будет выходить на первый план (тут и защитв от атак на цепочку поставок, и взаимоотношения с поставщиками и т.п.)
📌 принятие нормативки по борьбе с шифровальщиками
📌 атаки на АСУ ТП
📌 киберустойчивость войдет в повестку большинства гендиректоров
📌 многие компании создатут комитеты по ИБ (или замгендиров по ИБ), а также включат в систему оценку руководителей вопросы кибербеза
https://csrc.nist.gov/news/2022/aes-draft-fips-197-update-available-for-comment
Начат процесс правок в стандарт шифрования AES.
Начат процесс правок в стандарт шифрования AES.
CSRC | NIST
Proposal to Update FIPS 197, The Advanced Encryption Standard | CSRC
NIST's Crypto Publication Review Board is proposing to update FIPS 197, and public comments are due on the draft by February 13, 2023. No technical changes are being made to the standard. This announcement summarizes the proposed changes.
Интересное исследование рынка труда США с оценкой какие направления профессий наиболее востребованы в свете изменений технологий.
В том числе показано место ИБ. Из 4 наиболее перспективных направлений ИБ упомянуто только в облачных вычислениях, но целых 2 раза.
В том числе показано место ИБ. Из 4 наиболее перспективных направлений ИБ упомянуто только в облачных вычислениях, но целых 2 раза.
Forwarded from WTF_HR
Про компанию Burning Glass и рескиллинг мы писали, когда это еще не было модным. А теперь подсмотрели сразу у нескольких коллег комментарии к весьма интересному новому исследованию про то, какие новые навыки нынче «дизраптят» существующие профессии. И тут сразу несколько вещей, которые нужно знать любому специалисту в корпоративном обучении – а заодно и любому человеку, который стремится быть «в обойме» своей профессии.
Большинство обозревателей, конечно, ухватились за четыре группы скиллов, которые в исследовании обозначены как самые модные – это AI/ML (он же ИИ и машинное обучение), соцсети, продуктовый подход и облачные вычисления.
Между тем, дьявол, как обычно в деталях, и здесь важно не упираться в хайповые названия и не воспринимать результаты исследования как призыв срочно все бросать, и, теряя тапки, бежать на трехмесячные курсы укротителей питонов.
Гораздо важнее понимать, как под влиянием новые веяний профессии предыдущего поколения эволюционируют в новые. И тут происходит интересное.
Вот, например, жила-была профессия веб-дизайнера, основой которой в старые добрые времена было умение владеть языками разметки типа HTML, чтобы кнопочки визуально не налезали друг на друга. Но за последние несколько лет появилось огромное количество инструментов, позволяющих лепить красивые странички, не зная ни слова на языке разметки.
Ценность технического навыка «аккуратно рисовать» снизилась, но зато к веб-дизайнерам появились новые требования более высокого уровня – рисовать так, чтобы пользователю хотелось нажать на правильные кнопочки и в конечном счете заплатить денег хозяину сайта (желательно не приходя в сознание). А для этого уже нужны элементы продуктового подхода, такие как A/B тестирование, проверка гипотез и вот это все. Вот вам и влияние хайпового навыка на существующую профессию.
То же самое случилось с дата-аналитикой, куда пришли инструменты машинного обучения, позволяющие не самому копаться в данных, а рассказывать машине, в каких данных покопаться – это более высокоуровневый навык, требующий меньше технологий и больше логики.
Про набор навыков под названием «облачные вычисления» в нашем канале можно читать неперечитать. За особенности и преимущества облачных систем автоматизации HR мы писали практически беспрерывно первые три года существования канала. И да, умение менять процессы в облаках – тоже более высокоуровневый навык, чем умение пилить существующие процессы в 1С.
Но самое интересное – что существуют фундаментальные группы навыков, которые остаются востребованными вне зависимости от того, куда движутся эти ваши облака и AI/ML, и благодаря которым можно продержаться на рынке труда даже в бурю типа сегодняшней с минимальным количеством доучиваний. И вот их (несколько сокращенный) список: управление командами, коммуникация и аргументация, грамотная письменная речь, а также C++, сварка и сантехническое дело. Такие дела.
Для гурманов выкладываем доклад следующим постом.
Большинство обозревателей, конечно, ухватились за четыре группы скиллов, которые в исследовании обозначены как самые модные – это AI/ML (он же ИИ и машинное обучение), соцсети, продуктовый подход и облачные вычисления.
Между тем, дьявол, как обычно в деталях, и здесь важно не упираться в хайповые названия и не воспринимать результаты исследования как призыв срочно все бросать, и, теряя тапки, бежать на трехмесячные курсы укротителей питонов.
Гораздо важнее понимать, как под влиянием новые веяний профессии предыдущего поколения эволюционируют в новые. И тут происходит интересное.
Вот, например, жила-была профессия веб-дизайнера, основой которой в старые добрые времена было умение владеть языками разметки типа HTML, чтобы кнопочки визуально не налезали друг на друга. Но за последние несколько лет появилось огромное количество инструментов, позволяющих лепить красивые странички, не зная ни слова на языке разметки.
Ценность технического навыка «аккуратно рисовать» снизилась, но зато к веб-дизайнерам появились новые требования более высокого уровня – рисовать так, чтобы пользователю хотелось нажать на правильные кнопочки и в конечном счете заплатить денег хозяину сайта (желательно не приходя в сознание). А для этого уже нужны элементы продуктового подхода, такие как A/B тестирование, проверка гипотез и вот это все. Вот вам и влияние хайпового навыка на существующую профессию.
То же самое случилось с дата-аналитикой, куда пришли инструменты машинного обучения, позволяющие не самому копаться в данных, а рассказывать машине, в каких данных покопаться – это более высокоуровневый навык, требующий меньше технологий и больше логики.
Про набор навыков под названием «облачные вычисления» в нашем канале можно читать неперечитать. За особенности и преимущества облачных систем автоматизации HR мы писали практически беспрерывно первые три года существования канала. И да, умение менять процессы в облаках – тоже более высокоуровневый навык, чем умение пилить существующие процессы в 1С.
Но самое интересное – что существуют фундаментальные группы навыков, которые остаются востребованными вне зависимости от того, куда движутся эти ваши облака и AI/ML, и благодаря которым можно продержаться на рынке труда даже в бурю типа сегодняшней с минимальным количеством доучиваний. И вот их (несколько сокращенный) список: управление командами, коммуникация и аргументация, грамотная письменная речь, а также C++, сварка и сантехническое дело. Такие дела.
Для гурманов выкладываем доклад следующим постом.
Forwarded from Избранное про ИБ
Недавно Microsoft опубликовали третью версию матрицы угроз для Kubernetes (https://microsoft.github.io/Threat-Matrix-for-Kubernetes/) с мерами защиты (mitigations).
Давайте посмотрим подробнее что там добавилось интересного.
1. Mitigations
Предыдущие версии матрицы помогали лучше разобраться как происходит цепочка атаки на kubernetes и какие специфические для данной системы техники используются. Но когда осознана проблема, определены актуальные для вашей системы техники и тактики злоумышленников нужно идти дальше - разрабатывать план защиты kebernetes и шаг за шагом его реализовывать. Для этого и предлагается использовать Mitigations methods.
Mitigations
2. Маппинг на техники MITRE ATT&CK
Ранее Microsoft совместно с MITRE адаптировали предыдущую Threat matrix в экосистему MITRE и разрабатывали набор техник атак специфичных для систем с использованием контейнеров MITRE ATT&CK matrix for containers. Там техники получились более универсальные и общие. Получается что атаки на kubernetes лучше моделировать с Threat matrix, но по итогам сформировать ещё и соответствующий перечень техник MITRE для того чтобы его использовать в каких то системах защиты, мониторинга и информирования об актуальных угрозах (всё-таки MITRE для этого более распространен).
MITRE
3. Новые техники атак
По сравнению с предыдущей версией добавилось/расширили 4 техники:
Static pods (новая) - в рамках этапа закрепления в системы атакующий размещает Pod-ы которые не управляются (и не видны) централизованно Kubernetes API server
Collecting data from pod (новая) - специфическая для Kubernetes техника которая используется для выгрузки данных их работающего pod-а
Container service account (расширение) - атакующий может создать новую системную учетную запись или похитить токены доступа существующей учетной записи для использования в будущих атаках как изнутри так и извне кластера.
Exposed sensitive interfaces (расширение) - атакующий использует интерфейсы управления и мониторинга для изучения системы и обнаружения новых целей. Используя разрешенное взаимодействие между pod-ами и системой управления, атакующий может подключаться к таким интерфейсам из любого сегмента и неймспейса для получения дополнительной информации
Давайте посмотрим подробнее что там добавилось интересного.
1. Mitigations
Предыдущие версии матрицы помогали лучше разобраться как происходит цепочка атаки на kubernetes и какие специфические для данной системы техники используются. Но когда осознана проблема, определены актуальные для вашей системы техники и тактики злоумышленников нужно идти дальше - разрабатывать план защиты kebernetes и шаг за шагом его реализовывать. Для этого и предлагается использовать Mitigations methods.
Mitigations
2. Маппинг на техники MITRE ATT&CK
Ранее Microsoft совместно с MITRE адаптировали предыдущую Threat matrix в экосистему MITRE и разрабатывали набор техник атак специфичных для систем с использованием контейнеров MITRE ATT&CK matrix for containers. Там техники получились более универсальные и общие. Получается что атаки на kubernetes лучше моделировать с Threat matrix, но по итогам сформировать ещё и соответствующий перечень техник MITRE для того чтобы его использовать в каких то системах защиты, мониторинга и информирования об актуальных угрозах (всё-таки MITRE для этого более распространен).
MITRE
3. Новые техники атак
По сравнению с предыдущей версией добавилось/расширили 4 техники:
Static pods (новая) - в рамках этапа закрепления в системы атакующий размещает Pod-ы которые не управляются (и не видны) централизованно Kubernetes API server
Collecting data from pod (новая) - специфическая для Kubernetes техника которая используется для выгрузки данных их работающего pod-а
Container service account (расширение) - атакующий может создать новую системную учетную запись или похитить токены доступа существующей учетной записи для использования в будущих атаках как изнутри так и извне кластера.
Exposed sensitive interfaces (расширение) - атакующий использует интерфейсы управления и мониторинга для изучения системы и обнаружения новых целей. Используя разрешенное взаимодействие между pod-ами и системой управления, атакующий может подключаться к таким интерфейсам из любого сегмента и неймспейса для получения дополнительной информации
Уязвимость CVSS 9.6 в ядре Linux .
https://www.zdnet.com/article/patch-now-serious-linux-kernel-security-hole-uncovered
1. $ uname -r
если ядро выше или равно 5.15 (ubuntu 22.04 и выше) то нужна
вторая команда.
2.$ modinfo ksmb
если модуль найден, то нужно ядро обновлять до 5.15.61 или старше.
https://www.zdnet.com/article/patch-now-serious-linux-kernel-security-hole-uncovered
1. $ uname -r
если ядро выше или равно 5.15 (ubuntu 22.04 и выше) то нужна
вторая команда.
2.$ modinfo ksmb
если модуль найден, то нужно ядро обновлять до 5.15.61 или старше.
ZDNET
Patch now: Serious Linux kernel security hole uncovered
The Zero Day Initiative originally rated this Linux 5.15 in-kernel SMB server, ksmbd, bug a perfectly awful 10.
Forwarded from Пост Лукацкого
Обновил календарь крупных ИБ-мероприятий на 2023-й год. Пока не все есть - даты мероприятий второй половины годы еще не определены. Появилось парочка новых имен - "Магнитка" разделилась на два мероприятия. Ну и как обычно - есть, что упустил, пишите, внесу в список.
Бизнес без опасности - Блог, выступления, статьи, лекции, книги и немного юмора про кибербезопасность от Алексея Лукацкого
Календарь крупных мероприятий по ИБ на 2024 год
Я более 10 лет публиковал список крупных мероприятий по информационной безопасности, проводимых в России (критерии включения описаны здесь), но в этом году решил, что надо прекращать это делать в том варианте, как это было раньше. Хочу пересмотреть всю историю…
Forwarded from Пост Лукацкого
Недавно вышла 2-я версия фреймворка CSAF (Common Security Advisory Framework), который призван завершить вакханалию с собственными и только человеком читаемыми форматами и структурами описания уязвимостей. CSAF 2.0 позволяет описать машинно-читаемый формат описания уязвимостей для автоматизации управления ими. Поддержка CSAF 2.0, как предполагается, позволит не только автоматизировать сопоставление пришедшей информации об уязвимостях с имеющейся CMDB, но и даже сопоставлять эти данные с базой данных SBOM поставщиков ПО (VEX является одним из профилей CSAF).
Dark Reading
CSAF Is the Future of Vulnerability Management
Version 2.0 of the Common Security Advisory Framework will enable organizations to automate vulnerability remediation.