https://news.synopsys.com/2023-02-22-Synopsys-Study-Underscores-Need-for-Comprehensive-SBOM-as-Best-Defense-in-Software-Supply-Chain-Security
Опубликован 8 по счету ежегодный отчёт Synopsys по безопасности открытого кода. За последние 5 лет использование открытого кода значительно выросло. При этом основная часть открытого кода не получает своевременных патчей безопасти.
Опубликован 8 по счету ежегодный отчёт Synopsys по безопасности открытого кода. За последние 5 лет использование открытого кода значительно выросло. При этом основная часть открытого кода не получает своевременных патчей безопасти.
Synopsys
Synopsys Study Underscores Need for Comprehensive SBOM as Best Defense in Software Supply Chain Security
84% of codebases contained at least one known open source vulnerability, an almost 4% increase from last year's findings MOUNTAIN VIEW, Calif., Feb. 22, 2023 /PRNewswire/ -- Synopsys, Inc....
https://www.bleepingcomputer.com/news/security/nsa-shares-guidance-on-how-to-secure-your-home-network/
АНБ США: "Раз в неделю перезагружайте свои домашние устройства (смартфоны, роутеры, компьютер)".
АНБ США: "Раз в неделю перезагружайте свои домашние устройства (смартфоны, роутеры, компьютер)".
BleepingComputer
NSA shares guidance on how to secure your home network
The U.S. National Security Agency (NSA) has issued guidance to help remote workers secure their home networks and defend their devices from attacks.
Forwarded from Amir
Материалы конференции "Подходы и инструменты управления процессом безопасной разработки" (ТБ Форум 2023, 16 февраля, Москва):
Фото конференции
Фото мастер-классов
Видео конференции
Презентации и программа
Фото конференции
Фото мастер-классов
Видео конференции
Презентации и программа
Forwarded from Tazmania
ISACARuSec
Материалы конференции "Подходы и инструменты управления процессом безопасной разработки" (ТБ Форум 2023, 16 февраля, Москва): Фото конференции Фото мастер-классов Видео конференции Презентации и программа
Разметил видеозапись, если кому-то это нужно:
1. Вступительное слово модератора секции (Дмитрий Пономарев): https://youtu.be/ZtdDqUPJQFM?t=422
2. Базальт СПО (Елена Чернобривченко) "ОС "Альт" — платформа информационной безопасности": https://youtu.be/ZtdDqUPJQFM?t=698
3. БЕЛЛСОФТ (Александр Дроздов, Алексей Кузнецов) "Axiom JDK: безопасная разработка": https://youtu.be/ZtdDqUPJQFM?t=1825
4. ООО "Инфракод" (Александр Астахов) "Инфраструктура SDLC и внешняя разработка": https://youtu.be/ZtdDqUPJQFM?t=3346
5. Swordfish Security (Светлана Газизова) "Безопасный DevOps": https://youtu.be/ZtdDqUPJQFM?t=4788
6. ЦС ООО "КСБ-СОФТ" (Степан Харитонов) "Как выжить в мире безопасной разработки?": https://youtu.be/ZtdDqUPJQFM?t=6479
7. R Vision (Максим Карчевский) "Тернистый путь построения процессов SDL": https://youtu.be/ZtdDqUPJQFM?t=7753
8. Postgres Professional (Валерий Попов) "Опыт внедрения SDL в компании Postgres Professional": https://youtu.be/ZtdDqUPJQFM?t=8872
9. ИЛ НТЦ “Фобос-НТ“ (Андрей Кузнецов, Роман Борзов) "Радости и горести современной сертификации": https://youtu.be/ZtdDqUPJQFM?t=10187
10. YADRO (Александр Дубинин) "SDL, надежность и инженерная культура": https://youtu.be/ZtdDqUPJQFM?t=11776
11. Ростелеком-Солар (Сергей Деев) "Ключевые аспекты контроля безопасности ПО и безопасной разработки: опыт "Ростелеком-Солар": https://youtu.be/ZtdDqUPJQFM?t=13207
12. Profiscore (Алексей Смирнов) "Три этюда о защите цепочки поставки программного обеспечения": https://youtu.be/ZtdDqUPJQFM?t=14192
13. ideco (Андрей Орлов) "Жизнь Ideco в парадигме SDL": https://youtu.be/ZtdDqUPJQFM?t=15524
14. Круглый стол "Безопасная разработка в современных реалиях": https://youtu.be/ZtdDqUPJQFM?t=16818
1. Вступительное слово модератора секции (Дмитрий Пономарев): https://youtu.be/ZtdDqUPJQFM?t=422
2. Базальт СПО (Елена Чернобривченко) "ОС "Альт" — платформа информационной безопасности": https://youtu.be/ZtdDqUPJQFM?t=698
3. БЕЛЛСОФТ (Александр Дроздов, Алексей Кузнецов) "Axiom JDK: безопасная разработка": https://youtu.be/ZtdDqUPJQFM?t=1825
4. ООО "Инфракод" (Александр Астахов) "Инфраструктура SDLC и внешняя разработка": https://youtu.be/ZtdDqUPJQFM?t=3346
5. Swordfish Security (Светлана Газизова) "Безопасный DevOps": https://youtu.be/ZtdDqUPJQFM?t=4788
6. ЦС ООО "КСБ-СОФТ" (Степан Харитонов) "Как выжить в мире безопасной разработки?": https://youtu.be/ZtdDqUPJQFM?t=6479
7. R Vision (Максим Карчевский) "Тернистый путь построения процессов SDL": https://youtu.be/ZtdDqUPJQFM?t=7753
8. Postgres Professional (Валерий Попов) "Опыт внедрения SDL в компании Postgres Professional": https://youtu.be/ZtdDqUPJQFM?t=8872
9. ИЛ НТЦ “Фобос-НТ“ (Андрей Кузнецов, Роман Борзов) "Радости и горести современной сертификации": https://youtu.be/ZtdDqUPJQFM?t=10187
10. YADRO (Александр Дубинин) "SDL, надежность и инженерная культура": https://youtu.be/ZtdDqUPJQFM?t=11776
11. Ростелеком-Солар (Сергей Деев) "Ключевые аспекты контроля безопасности ПО и безопасной разработки: опыт "Ростелеком-Солар": https://youtu.be/ZtdDqUPJQFM?t=13207
12. Profiscore (Алексей Смирнов) "Три этюда о защите цепочки поставки программного обеспечения": https://youtu.be/ZtdDqUPJQFM?t=14192
13. ideco (Андрей Орлов) "Жизнь Ideco в парадигме SDL": https://youtu.be/ZtdDqUPJQFM?t=15524
14. Круглый стол "Безопасная разработка в современных реалиях": https://youtu.be/ZtdDqUPJQFM?t=16818
YouTube
Подходы и инструменты управления процессом безопасной разработки
ТБ Форум 2023 | Москва | 16 февраля 2023
Приветствие. Андрей Мирошкин, компания "Гротек"
Сообщество энтузиастов под эгидой Центра компетенций ФСТЭК России и ИСП РАН. Дмитрий Пономарев, ООО НТЦ “Фобос-НТ“
ОС "Альт" — платформа информационной безопасности.…
Приветствие. Андрей Мирошкин, компания "Гротек"
Сообщество энтузиастов под эгидой Центра компетенций ФСТЭК России и ИСП РАН. Дмитрий Пономарев, ООО НТЦ “Фобос-НТ“
ОС "Альт" — платформа информационной безопасности.…
https://blogs.gartner.com/dionisio-zumerle/what-do-modern-cybersecurity-products-do/
Anything interesting or new introduced in the last 3-5 years in cybersecurity does one or more of the following three things:
Attack surface management: discover the current environment, identify relationships between components, identify external exposure.
Security posture management: catalog and assess, identify misconfigurations, prioritize findings based on risk, propose remediations. This is asking the tool to ‘find out what is wrong with what is out there’.
Detection and response: during runtime, identify suspicious behavior and alert or take action to remediate.
Anything interesting or new introduced in the last 3-5 years in cybersecurity does one or more of the following three things:
Attack surface management: discover the current environment, identify relationships between components, identify external exposure.
Security posture management: catalog and assess, identify misconfigurations, prioritize findings based on risk, propose remediations. This is asking the tool to ‘find out what is wrong with what is out there’.
Detection and response: during runtime, identify suspicious behavior and alert or take action to remediate.
Gartner
Gartner: Fueling the Future of Business
What Do Modern Cybersecurity Products Do?
Forwarded from SecAtor
͏Ряд авторитетных инфосек-компаний представили результаты ежегодной аналитики ландшафта угроз.
Останавливаться подробно на каждом смысла особого нет, отметим лишь наиболее важные выводы.
CrowdStrike в ежегодном отчете Global Threat Report отметили следующие тренды по итогам наблюдений за 2022 год:
- количество рекламных объявлений IAB медленно увеличивалось каждый месяц в течение прошедшего года;
- время "прорыва" с момента компрометации хоста и последующего доступа к нему сократилось с 98 минут в 2021 году до 84 минут;
- количество вторжений, не связанных с вредоносными программами, выросло до 71% инцидентов по сравнению с 62% в 2021 году;
- число интерактивных вторжений увеличилось на 50%.
Tenable в своем ежегодном Tenable Threat Landscape Report (PDF) отметили:
- в 2022 году было зарегистрировано 25 112 уязвимостей, что на 14,4% больше, чем в 2021 году, и на 287% больше, чем в 2016 году;
- старые уязвимости по-прежнему поражают программную экосистему, причем набор ошибок 2017 года был одним из наиболее часто используемых;
- в 2022 году в результате утечек данных было раскрыто 2,29 миллиарда записей;
- 35% всех нарушений безопасности были связаны с атаками ransomware.
Rapid7 опубликовали результаты аналитики в рамках Annual Vulnerability Intelligence Report (report) сделали акцент на эксплуатации уязвимостей. Основные выводы:
- в 2022 году было использовано 28 новых уязвимостей, что на 15% меньше, чем в 2021 году;
- эксплуатация 0-day сократилась на 9% по сравнению с 2021 годом;
- 56% вновь эксплуатируемых уязвимостей были использованы в дикой природе в течение семи дней с момента их раскрытия;
- при этом лишь 14 уязвимостей использовались для проведения атак программ-вымогателей.
Proofpoint также опубликовала свой ежегодный State of the Phish Report, основные положения которого исследователи уложили в компактную инфографику, с которой можно ознакомиться 👇
Останавливаться подробно на каждом смысла особого нет, отметим лишь наиболее важные выводы.
CrowdStrike в ежегодном отчете Global Threat Report отметили следующие тренды по итогам наблюдений за 2022 год:
- количество рекламных объявлений IAB медленно увеличивалось каждый месяц в течение прошедшего года;
- время "прорыва" с момента компрометации хоста и последующего доступа к нему сократилось с 98 минут в 2021 году до 84 минут;
- количество вторжений, не связанных с вредоносными программами, выросло до 71% инцидентов по сравнению с 62% в 2021 году;
- число интерактивных вторжений увеличилось на 50%.
Tenable в своем ежегодном Tenable Threat Landscape Report (PDF) отметили:
- в 2022 году было зарегистрировано 25 112 уязвимостей, что на 14,4% больше, чем в 2021 году, и на 287% больше, чем в 2016 году;
- старые уязвимости по-прежнему поражают программную экосистему, причем набор ошибок 2017 года был одним из наиболее часто используемых;
- в 2022 году в результате утечек данных было раскрыто 2,29 миллиарда записей;
- 35% всех нарушений безопасности были связаны с атаками ransomware.
Rapid7 опубликовали результаты аналитики в рамках Annual Vulnerability Intelligence Report (report) сделали акцент на эксплуатации уязвимостей. Основные выводы:
- в 2022 году было использовано 28 новых уязвимостей, что на 15% меньше, чем в 2021 году;
- эксплуатация 0-day сократилась на 9% по сравнению с 2021 годом;
- 56% вновь эксплуатируемых уязвимостей были использованы в дикой природе в течение семи дней с момента их раскрытия;
- при этом лишь 14 уязвимостей использовались для проведения атак программ-вымогателей.
Proofpoint также опубликовала свой ежегодный State of the Phish Report, основные положения которого исследователи уложили в компактную инфографику, с которой можно ознакомиться 👇
Forwarded from SecAtor
На этой неделе Cisco объявила об обновлениях программного обеспечения, устраняющих критическую уязвимость в веб-интерфейсе управления IP-телефонов серий 6800, 7800 и 8800.
Ошибка, отслеживаемая как CVE-2023-20078 (оценка CVSS 9,8) может быть использована удаленным злоумышленником, не прошедшим проверку подлинности, для выполнения кода с привилегиями root.
Дефект безопасности, как поясняет Cisco в своем бюллетене, возникает из-за того, что вводимые пользователем данные недостаточно проверяются.
Потенциальный злоумышленник может воспользоваться этой багой, отправив сформированный запрос в веб-интерфейс управления, что в итоге позволит злоумышленнику выполнять произвольные команды в базовой операционной системе уязвимого устройства.
Уязвимые продукты включают IP-телефоны серий 6800, 7800 и 8800 с кроссплатформенной прошивкой. Недостаток устранен в выпуске прошивки версии 11.3.7SR1.
Обновление ПО также устраняет CVE-2023-20079 (оценка CVSS 7,5), еще одну проблему с недостаточной проверкой данных, введенных пользователем. Ошибка может быть использована для создания условия отказа в обслуживании (DoS).
В дополнение к вышеупомянутым устройствам уязвимость также затрагивает IP-телефон для конференц-связи Cisco 8831, в том числе с кроссплатформенной прошивкой, а также IP-телефоны серии 7900, которые достигли статуса окончания срока службы (EoL) и не будут получать патчи.
Со слов Cisco, ей неизвестно об использовании какой-либо из этих уязвимостей в злонамеренных атаках.
Ошибка, отслеживаемая как CVE-2023-20078 (оценка CVSS 9,8) может быть использована удаленным злоумышленником, не прошедшим проверку подлинности, для выполнения кода с привилегиями root.
Дефект безопасности, как поясняет Cisco в своем бюллетене, возникает из-за того, что вводимые пользователем данные недостаточно проверяются.
Потенциальный злоумышленник может воспользоваться этой багой, отправив сформированный запрос в веб-интерфейс управления, что в итоге позволит злоумышленнику выполнять произвольные команды в базовой операционной системе уязвимого устройства.
Уязвимые продукты включают IP-телефоны серий 6800, 7800 и 8800 с кроссплатформенной прошивкой. Недостаток устранен в выпуске прошивки версии 11.3.7SR1.
Обновление ПО также устраняет CVE-2023-20079 (оценка CVSS 7,5), еще одну проблему с недостаточной проверкой данных, введенных пользователем. Ошибка может быть использована для создания условия отказа в обслуживании (DoS).
В дополнение к вышеупомянутым устройствам уязвимость также затрагивает IP-телефон для конференц-связи Cisco 8831, в том числе с кроссплатформенной прошивкой, а также IP-телефоны серии 7900, которые достигли статуса окончания срока службы (EoL) и не будут получать патчи.
Со слов Cisco, ей неизвестно об использовании какой-либо из этих уязвимостей в злонамеренных атаках.
Cisco
Cisco Security Advisory: Cisco IP Phone 6800, 7800, and 8800 Series Web UI Vulnerabilities
Multiple vulnerabilities in the web-based management interface of certain Cisco IP Phones could allow an unauthenticated, remote attacker to execute arbitrary code or cause a denial of service (DoS) condition.
For more information about these vulnerabilities…
For more information about these vulnerabilities…
👍1
https://nvlpubs.nist.gov/nistpubs/ir/2023/NIST.IR.8432.ipd.pdf
The National Cybersecurity Center of Excellence (NCCoE) has published Draft NIST Internal Report (NIST IR) 8432, Cybersecurity of Genomic Data. The public comment period is now open through April 3, 2023.
"This report describes current practices in risk management, cybersecurity, and privacy management for protecting genomic data, as well as the associated challenges and concerns. It identifies gaps in protection practices across the genomic data lifecycle and proposes solutions to address real-life use cases occurring at various stages of the genomic data lifecycle. This report also is intended to provide areas for regulatory/policy enactment or further research."
The National Cybersecurity Center of Excellence (NCCoE) has published Draft NIST Internal Report (NIST IR) 8432, Cybersecurity of Genomic Data. The public comment period is now open through April 3, 2023.
"This report describes current practices in risk management, cybersecurity, and privacy management for protecting genomic data, as well as the associated challenges and concerns. It identifies gaps in protection practices across the genomic data lifecycle and proposes solutions to address real-life use cases occurring at various stages of the genomic data lifecycle. This report also is intended to provide areas for regulatory/policy enactment or further research."
Forwarded from Пост Лукацкого
Магический квадрат Гартнера по защите персональных компьютеров. Российские вендора из него исключены 😭
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SecAtor
Китайский исследователь 4ra1n выпустил PoC для RCE-уязвимости CVE-2023-21839, затрагивающей сервера Oracle WebLogic и имеющей оценку CVSS 7,5.
Уязвимость в продукте Oracle WebLogic Server для Oracle Fusion Middleware кроется в компоненте ядра и влияет на версии 12.2.1.3.0, 12.2.1.4.0 и 14.1.1.0.0.
Легко эксплуатируемая уязвимость позволяет злоумышленнику, не прошедшему проверку подлинности, с доступом к сети через T3, IIOP, скомпрометировать Oracle WebLogic Server.
Успешные атаки этой уязвимости могут привести к несанкционированному доступу к критически важным данным или полному доступу ко всем доступным данным Oracle WebLogic Server.
Ошибка была исправлена Oracle 24 января этого года. Тем не менее, пользователям следует озаботиться соответствующими обновлениями для купирования потенциальных рисков эксплуатации.
Уязвимость в продукте Oracle WebLogic Server для Oracle Fusion Middleware кроется в компоненте ядра и влияет на версии 12.2.1.3.0, 12.2.1.4.0 и 14.1.1.0.0.
Легко эксплуатируемая уязвимость позволяет злоумышленнику, не прошедшему проверку подлинности, с доступом к сети через T3, IIOP, скомпрометировать Oracle WebLogic Server.
Успешные атаки этой уязвимости могут привести к несанкционированному доступу к критически важным данным или полному доступу ко всем доступным данным Oracle WebLogic Server.
Ошибка была исправлена Oracle 24 января этого года. Тем не менее, пользователям следует озаботиться соответствующими обновлениями для купирования потенциальных рисков эксплуатации.
Forwarded from Пост Лукацкого
Вдогонку про документальные фильмы про ИБ, хакеров и вот это вот все, еще три списка (местами пересекаются):
1️⃣ https://www.detectx.com.au/best-cyber-security-and-hacking-documentary-1/
2️⃣ https://10pie.com/cyber-security-documentaries/
3️⃣ https://securitygladiators.com/cybersecurity/documentary/
Please open Telegram to view this post
VIEW IN TELEGRAM
DETECTX | Cloud Security Expert
Best Cyber Security and Hacking Documentaries #1 - DETECTX | Cloud Security Expert
Best Cyber Security and Hacking Documentaries #1 1. We Are Legion – The Story Of The Hacktivists (https://lnkd.in/dEihGfAg)2. The Internet’s Own Boy: The Story Of Aaron Swartz (https://lnkd.in/d3hQVxqp)3. Hackers Wanted (https://lnkd.in/du-pMY2R)4. Secret…
Decision to Revise FIPS 180-4, Secure Hash Standard | CSRC
https://csrc.nist.gov/News/2023/decision-to-revise-fips-180-4
NIST has decided to revise FIPS 180-4 and will revise the text to:
Remove the SHA-1 specification;
Add any guidance from NIST Special Publication (SP) 800-107, Recommendation for Applications Using Approved Hash Algorithms, that belongs in this document;
Improve the standard’s editorial quality;
and
Update its references.
https://csrc.nist.gov/News/2023/decision-to-revise-fips-180-4
NIST has decided to revise FIPS 180-4 and will revise the text to:
Remove the SHA-1 specification;
Add any guidance from NIST Special Publication (SP) 800-107, Recommendation for Applications Using Approved Hash Algorithms, that belongs in this document;
Improve the standard’s editorial quality;
and
Update its references.
CSRC | NIST
Decision to Revise FIPS 180-4, Secure Hash Standard | CSRC
After considering multiple rounds of public comments, NIST has decided to revise Federal Information Process Standard (FIPS), 'Secure Hash Standard (SHS).'