Forwarded from SecAtor
OpenSSL обзавелся обновленной версией с исправлением уязвимостей безопасности, в том числе серьезной ошибки в наборе инструментов шифрования с открытым исходным кодом.
Отслеживаемая как CVE-2023-0286 связана с путаницей типов, обусловленная обработкой адреса X.400 внутри X.509 GeneralName.
Ошибка может иметь серьезные последствия, поскольку ее можно использовать для принуждения программы к непреднамеренному поведению, что может привести к сбою или RCE.
Проблема была исправлена в версиях OpenSSL 3.0.8, 1.1.1t и 1.0.2zg.
В числе других в последних обновлениях устраненны следующие ошибки:
- CVE-2022-4203 (переполнение буфера),
- CVE-2022-4304 (синхронизация Oracle в расшифровке RSA),
- CVE-2022-4450 (использование после вызова PEM_read_bio_ex),
- CVE-2023-0215 (использование после освобождения после BIO_new_NDEF),
- CVE-2023-0216 (недопустимое разыменование указателя в функциях d2i_PKCS7),
- CVE-2023-0217 и CVE-2023-0401 (разыменование NULL при проверке открытого ключа DSA или данных PKCS7).
Успешная эксплуатация недостатков может привести к сбою приложения, раскрытию содержимого памяти и даже восстановлению незашифрованных сообщений, отправленных по сети, с использованием побочного канала на основе времени в атаке в стиле Блейхенбахера.
Отслеживаемая как CVE-2023-0286 связана с путаницей типов, обусловленная обработкой адреса X.400 внутри X.509 GeneralName.
Ошибка может иметь серьезные последствия, поскольку ее можно использовать для принуждения программы к непреднамеренному поведению, что может привести к сбою или RCE.
Проблема была исправлена в версиях OpenSSL 3.0.8, 1.1.1t и 1.0.2zg.
В числе других в последних обновлениях устраненны следующие ошибки:
- CVE-2022-4203 (переполнение буфера),
- CVE-2022-4304 (синхронизация Oracle в расшифровке RSA),
- CVE-2022-4450 (использование после вызова PEM_read_bio_ex),
- CVE-2023-0215 (использование после освобождения после BIO_new_NDEF),
- CVE-2023-0216 (недопустимое разыменование указателя в функциях d2i_PKCS7),
- CVE-2023-0217 и CVE-2023-0401 (разыменование NULL при проверке открытого ключа DSA или данных PKCS7).
Успешная эксплуатация недостатков может привести к сбою приложения, раскрытию содержимого памяти и даже восстановлению незашифрованных сообщений, отправленных по сети, с использованием побочного канала на основе времени в атаке в стиле Блейхенбахера.
👍1
Forwarded from Пост Лукацкого
Постоянно обновляемый список бесплатных и недорогих курсов и материалов по кибербезопасности. Все материалы разбиты на 4 направления:
1️⃣ Профессиональное развитие
2️⃣ Повышение осведомленности
3️⃣ Игры и геймификация
4️⃣ Материалы для тренеров и преподавателей
ЗЫ. Материалы на английском, но можно набраться идей
ЗЗЫ. Даже недорогие материалы надо оплачивать картой (с этим могут быть проблемы).
ЗЫ. Материалы на английском, но можно набраться идей
ЗЗЫ. Даже недорогие материалы надо оплачивать картой (с этим могут быть проблемы).
Please open Telegram to view this post
VIEW IN TELEGRAM
NIST
Free and Low Cost Online Cybersecurity Learning Content
Commercial Products
https://www.nccoe.nist.gov/digital-identity-guidelines-webinar-series
In furtherance of NIST’s effort to gain critical input on the Draft Fourth Revision to NIST Special Publication 800-63, Digital Identity Guidelines (Draft NIST SP 800-63-4) we will be hosting a three-part webinar series that will explore different aspects of the guidance and seek to gain additional input from the public. Each session will feature a panel of experts weighing on the specific topics, a moderated Slack discussion open to the public, and an extended Q&A session.
In furtherance of NIST’s effort to gain critical input on the Draft Fourth Revision to NIST Special Publication 800-63, Digital Identity Guidelines (Draft NIST SP 800-63-4) we will be hosting a three-part webinar series that will explore different aspects of the guidance and seek to gain additional input from the public. Each session will feature a panel of experts weighing on the specific topics, a moderated Slack discussion open to the public, and an extended Q&A session.
Forwarded from Пост Лукацкого
Mandiant (подразделение Google) выпустило отчет о важности Threat Intelligence, в котором есть интересные цифры:
1️⃣ 79% бизнес- и ИТ-лидеров принимают решения без учета и понимания тех угроз и нарушителей, которых против них действуют. А вот среди ИБ-руководителей таких всего 4%.
2️⃣ 67% респондентов считают, что их топ-менеджмент недооценивает киберугрозы
3️⃣ 62% респондентов рассказали, что их команды ИБ делятся данными об угрозах с сотрудниками компании
4️⃣ 47% не могут доказать своим топам эффективность своих программ ИБ.
5️⃣ Россия попала на первое место среди стран, которую опасаются больше всего в киберпространстве и от которой не смогут защититься
6️⃣ С топами респонденты общаются о киберугрозах в среднем каждые 4 недели, с бордом - каждые 5, с инвесторами - каждые 7, с сотрудниками - каждые 5!
7️⃣ Самым популярным источником данных об угрозах стали ISACи (аналоги наших ГосСОПКИ и ФинЦЕРТа), внутренние команды и специализированные поставщики TI
8️⃣ Финансовые организации, здравоохранение и госуха больше всех нуждаются в улучшении своего понимания ландшафта угроз
9️⃣ На первое место с точки зрения сущностей TI, которые важны в ИБ, вышли TTP и инструменты хакеров. На второе - их мотивация, а на третье - их атрибуция.
Рекомендации Mandiant для более эффективного использования Threat Intelligence и использования его в принятии более обдуманных и эффективных решений:
1️⃣ Превращение Threat Intelligence в целостную программу, а не тупое получение IOCов
2️⃣ Идентификация угроз, действующих не только против организации, но и против отрасли, в которой она работает
3️⃣ Обмен информацией об угрозах с работниками компании и бизнес-подразделениями
4️⃣ Оценка уязвимостей с последующей их приоритизацией
5️⃣ Проведение пентестов и Bug Bounty с целью оценки реальной защищенности компании
6️⃣ Прогнозирование угроз
Рекомендации Mandiant для более эффективного использования Threat Intelligence и использования его в принятии более обдуманных и эффективных решений:
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Пост Лукацкого
На Уральском форуме я вел закрытую секцию с ФинЦЕРТ, на которой представители ДИБ Банка России отвечали на вопросы отрасли. С разрешения регулятора, за что им спасибо, я собрал все ответы и публикую их в блоге.
Бизнес без опасности - Блог, выступления, статьи, лекции, книги и немного юмора про кибербезопасность от Алексея Лукацкого
Ответы ДИБ Банка России с закрытой секции ФинЦЕРТа и еще немного разного
На Магнитке традиционно проводилась закрытая сессия ФинЦЕРТа, на которой присутствовали только представители Банка России и поднадзорных организаций, которые могли откровенно задавать вопросы регулятору и получать на них ответы. На Уральском форуме в этом…
https://news.synopsys.com/2023-02-22-Synopsys-Study-Underscores-Need-for-Comprehensive-SBOM-as-Best-Defense-in-Software-Supply-Chain-Security
Опубликован 8 по счету ежегодный отчёт Synopsys по безопасности открытого кода. За последние 5 лет использование открытого кода значительно выросло. При этом основная часть открытого кода не получает своевременных патчей безопасти.
Опубликован 8 по счету ежегодный отчёт Synopsys по безопасности открытого кода. За последние 5 лет использование открытого кода значительно выросло. При этом основная часть открытого кода не получает своевременных патчей безопасти.
Synopsys
Synopsys Study Underscores Need for Comprehensive SBOM as Best Defense in Software Supply Chain Security
84% of codebases contained at least one known open source vulnerability, an almost 4% increase from last year's findings MOUNTAIN VIEW, Calif., Feb. 22, 2023 /PRNewswire/ -- Synopsys, Inc....
https://www.bleepingcomputer.com/news/security/nsa-shares-guidance-on-how-to-secure-your-home-network/
АНБ США: "Раз в неделю перезагружайте свои домашние устройства (смартфоны, роутеры, компьютер)".
АНБ США: "Раз в неделю перезагружайте свои домашние устройства (смартфоны, роутеры, компьютер)".
BleepingComputer
NSA shares guidance on how to secure your home network
The U.S. National Security Agency (NSA) has issued guidance to help remote workers secure their home networks and defend their devices from attacks.
Forwarded from Amir
Материалы конференции "Подходы и инструменты управления процессом безопасной разработки" (ТБ Форум 2023, 16 февраля, Москва):
Фото конференции
Фото мастер-классов
Видео конференции
Презентации и программа
Фото конференции
Фото мастер-классов
Видео конференции
Презентации и программа
Forwarded from Tazmania
ISACARuSec
Материалы конференции "Подходы и инструменты управления процессом безопасной разработки" (ТБ Форум 2023, 16 февраля, Москва): Фото конференции Фото мастер-классов Видео конференции Презентации и программа
Разметил видеозапись, если кому-то это нужно:
1. Вступительное слово модератора секции (Дмитрий Пономарев): https://youtu.be/ZtdDqUPJQFM?t=422
2. Базальт СПО (Елена Чернобривченко) "ОС "Альт" — платформа информационной безопасности": https://youtu.be/ZtdDqUPJQFM?t=698
3. БЕЛЛСОФТ (Александр Дроздов, Алексей Кузнецов) "Axiom JDK: безопасная разработка": https://youtu.be/ZtdDqUPJQFM?t=1825
4. ООО "Инфракод" (Александр Астахов) "Инфраструктура SDLC и внешняя разработка": https://youtu.be/ZtdDqUPJQFM?t=3346
5. Swordfish Security (Светлана Газизова) "Безопасный DevOps": https://youtu.be/ZtdDqUPJQFM?t=4788
6. ЦС ООО "КСБ-СОФТ" (Степан Харитонов) "Как выжить в мире безопасной разработки?": https://youtu.be/ZtdDqUPJQFM?t=6479
7. R Vision (Максим Карчевский) "Тернистый путь построения процессов SDL": https://youtu.be/ZtdDqUPJQFM?t=7753
8. Postgres Professional (Валерий Попов) "Опыт внедрения SDL в компании Postgres Professional": https://youtu.be/ZtdDqUPJQFM?t=8872
9. ИЛ НТЦ “Фобос-НТ“ (Андрей Кузнецов, Роман Борзов) "Радости и горести современной сертификации": https://youtu.be/ZtdDqUPJQFM?t=10187
10. YADRO (Александр Дубинин) "SDL, надежность и инженерная культура": https://youtu.be/ZtdDqUPJQFM?t=11776
11. Ростелеком-Солар (Сергей Деев) "Ключевые аспекты контроля безопасности ПО и безопасной разработки: опыт "Ростелеком-Солар": https://youtu.be/ZtdDqUPJQFM?t=13207
12. Profiscore (Алексей Смирнов) "Три этюда о защите цепочки поставки программного обеспечения": https://youtu.be/ZtdDqUPJQFM?t=14192
13. ideco (Андрей Орлов) "Жизнь Ideco в парадигме SDL": https://youtu.be/ZtdDqUPJQFM?t=15524
14. Круглый стол "Безопасная разработка в современных реалиях": https://youtu.be/ZtdDqUPJQFM?t=16818
1. Вступительное слово модератора секции (Дмитрий Пономарев): https://youtu.be/ZtdDqUPJQFM?t=422
2. Базальт СПО (Елена Чернобривченко) "ОС "Альт" — платформа информационной безопасности": https://youtu.be/ZtdDqUPJQFM?t=698
3. БЕЛЛСОФТ (Александр Дроздов, Алексей Кузнецов) "Axiom JDK: безопасная разработка": https://youtu.be/ZtdDqUPJQFM?t=1825
4. ООО "Инфракод" (Александр Астахов) "Инфраструктура SDLC и внешняя разработка": https://youtu.be/ZtdDqUPJQFM?t=3346
5. Swordfish Security (Светлана Газизова) "Безопасный DevOps": https://youtu.be/ZtdDqUPJQFM?t=4788
6. ЦС ООО "КСБ-СОФТ" (Степан Харитонов) "Как выжить в мире безопасной разработки?": https://youtu.be/ZtdDqUPJQFM?t=6479
7. R Vision (Максим Карчевский) "Тернистый путь построения процессов SDL": https://youtu.be/ZtdDqUPJQFM?t=7753
8. Postgres Professional (Валерий Попов) "Опыт внедрения SDL в компании Postgres Professional": https://youtu.be/ZtdDqUPJQFM?t=8872
9. ИЛ НТЦ “Фобос-НТ“ (Андрей Кузнецов, Роман Борзов) "Радости и горести современной сертификации": https://youtu.be/ZtdDqUPJQFM?t=10187
10. YADRO (Александр Дубинин) "SDL, надежность и инженерная культура": https://youtu.be/ZtdDqUPJQFM?t=11776
11. Ростелеком-Солар (Сергей Деев) "Ключевые аспекты контроля безопасности ПО и безопасной разработки: опыт "Ростелеком-Солар": https://youtu.be/ZtdDqUPJQFM?t=13207
12. Profiscore (Алексей Смирнов) "Три этюда о защите цепочки поставки программного обеспечения": https://youtu.be/ZtdDqUPJQFM?t=14192
13. ideco (Андрей Орлов) "Жизнь Ideco в парадигме SDL": https://youtu.be/ZtdDqUPJQFM?t=15524
14. Круглый стол "Безопасная разработка в современных реалиях": https://youtu.be/ZtdDqUPJQFM?t=16818
YouTube
Подходы и инструменты управления процессом безопасной разработки
ТБ Форум 2023 | Москва | 16 февраля 2023
Приветствие. Андрей Мирошкин, компания "Гротек"
Сообщество энтузиастов под эгидой Центра компетенций ФСТЭК России и ИСП РАН. Дмитрий Пономарев, ООО НТЦ “Фобос-НТ“
ОС "Альт" — платформа информационной безопасности.…
Приветствие. Андрей Мирошкин, компания "Гротек"
Сообщество энтузиастов под эгидой Центра компетенций ФСТЭК России и ИСП РАН. Дмитрий Пономарев, ООО НТЦ “Фобос-НТ“
ОС "Альт" — платформа информационной безопасности.…
https://blogs.gartner.com/dionisio-zumerle/what-do-modern-cybersecurity-products-do/
Anything interesting or new introduced in the last 3-5 years in cybersecurity does one or more of the following three things:
Attack surface management: discover the current environment, identify relationships between components, identify external exposure.
Security posture management: catalog and assess, identify misconfigurations, prioritize findings based on risk, propose remediations. This is asking the tool to ‘find out what is wrong with what is out there’.
Detection and response: during runtime, identify suspicious behavior and alert or take action to remediate.
Anything interesting or new introduced in the last 3-5 years in cybersecurity does one or more of the following three things:
Attack surface management: discover the current environment, identify relationships between components, identify external exposure.
Security posture management: catalog and assess, identify misconfigurations, prioritize findings based on risk, propose remediations. This is asking the tool to ‘find out what is wrong with what is out there’.
Detection and response: during runtime, identify suspicious behavior and alert or take action to remediate.
Gartner
Gartner: Fueling the Future of Business
What Do Modern Cybersecurity Products Do?
Forwarded from SecAtor
͏Ряд авторитетных инфосек-компаний представили результаты ежегодной аналитики ландшафта угроз.
Останавливаться подробно на каждом смысла особого нет, отметим лишь наиболее важные выводы.
CrowdStrike в ежегодном отчете Global Threat Report отметили следующие тренды по итогам наблюдений за 2022 год:
- количество рекламных объявлений IAB медленно увеличивалось каждый месяц в течение прошедшего года;
- время "прорыва" с момента компрометации хоста и последующего доступа к нему сократилось с 98 минут в 2021 году до 84 минут;
- количество вторжений, не связанных с вредоносными программами, выросло до 71% инцидентов по сравнению с 62% в 2021 году;
- число интерактивных вторжений увеличилось на 50%.
Tenable в своем ежегодном Tenable Threat Landscape Report (PDF) отметили:
- в 2022 году было зарегистрировано 25 112 уязвимостей, что на 14,4% больше, чем в 2021 году, и на 287% больше, чем в 2016 году;
- старые уязвимости по-прежнему поражают программную экосистему, причем набор ошибок 2017 года был одним из наиболее часто используемых;
- в 2022 году в результате утечек данных было раскрыто 2,29 миллиарда записей;
- 35% всех нарушений безопасности были связаны с атаками ransomware.
Rapid7 опубликовали результаты аналитики в рамках Annual Vulnerability Intelligence Report (report) сделали акцент на эксплуатации уязвимостей. Основные выводы:
- в 2022 году было использовано 28 новых уязвимостей, что на 15% меньше, чем в 2021 году;
- эксплуатация 0-day сократилась на 9% по сравнению с 2021 годом;
- 56% вновь эксплуатируемых уязвимостей были использованы в дикой природе в течение семи дней с момента их раскрытия;
- при этом лишь 14 уязвимостей использовались для проведения атак программ-вымогателей.
Proofpoint также опубликовала свой ежегодный State of the Phish Report, основные положения которого исследователи уложили в компактную инфографику, с которой можно ознакомиться 👇
Останавливаться подробно на каждом смысла особого нет, отметим лишь наиболее важные выводы.
CrowdStrike в ежегодном отчете Global Threat Report отметили следующие тренды по итогам наблюдений за 2022 год:
- количество рекламных объявлений IAB медленно увеличивалось каждый месяц в течение прошедшего года;
- время "прорыва" с момента компрометации хоста и последующего доступа к нему сократилось с 98 минут в 2021 году до 84 минут;
- количество вторжений, не связанных с вредоносными программами, выросло до 71% инцидентов по сравнению с 62% в 2021 году;
- число интерактивных вторжений увеличилось на 50%.
Tenable в своем ежегодном Tenable Threat Landscape Report (PDF) отметили:
- в 2022 году было зарегистрировано 25 112 уязвимостей, что на 14,4% больше, чем в 2021 году, и на 287% больше, чем в 2016 году;
- старые уязвимости по-прежнему поражают программную экосистему, причем набор ошибок 2017 года был одним из наиболее часто используемых;
- в 2022 году в результате утечек данных было раскрыто 2,29 миллиарда записей;
- 35% всех нарушений безопасности были связаны с атаками ransomware.
Rapid7 опубликовали результаты аналитики в рамках Annual Vulnerability Intelligence Report (report) сделали акцент на эксплуатации уязвимостей. Основные выводы:
- в 2022 году было использовано 28 новых уязвимостей, что на 15% меньше, чем в 2021 году;
- эксплуатация 0-day сократилась на 9% по сравнению с 2021 годом;
- 56% вновь эксплуатируемых уязвимостей были использованы в дикой природе в течение семи дней с момента их раскрытия;
- при этом лишь 14 уязвимостей использовались для проведения атак программ-вымогателей.
Proofpoint также опубликовала свой ежегодный State of the Phish Report, основные положения которого исследователи уложили в компактную инфографику, с которой можно ознакомиться 👇