Software Architecture and Design InfoQ Trends Report - April 2023
https://www.infoq.com/articles/architecture-trends-2023/
Three new items were added to the graph this year. Large language models and software supply chain security are new innovator trends, and "architecture as a team sport" was added under early adopters.
"when designing cloud architectures there is a need to think from the start about data collection, storage, and security, so that later on we can derive value from it, including the use of AI/ML.” "
Instead of compiling it to a Docker container and then needing to spin up an entire system inside that container on your orchestrator, you compile it to WebAssembly and that allows the container to be much more lightweight. It has security baked in because it's meant to run the browser. And it can run anywhere–in any cloud, or on any CPU, for that matter. – Eran Stiller
https://www.infoq.com/articles/architecture-trends-2023/
Three new items were added to the graph this year. Large language models and software supply chain security are new innovator trends, and "architecture as a team sport" was added under early adopters.
"when designing cloud architectures there is a need to think from the start about data collection, storage, and security, so that later on we can derive value from it, including the use of AI/ML.” "
Instead of compiling it to a Docker container and then needing to spin up an entire system inside that container on your orchestrator, you compile it to WebAssembly and that allows the container to be much more lightweight. It has security baked in because it's meant to run the browser. And it can run anywhere–in any cloud, or on any CPU, for that matter. – Eran Stiller
InfoQ
InfoQ Software Architecture and Design Trends Report - April 2023
This article provides an overview of how the InfoQ editorial team sees the Software Architecture and Design topic evolving in 2023, with a focus on what architects are designing for today.
Кстати если хотите быть на шаг впереди вашей разработки можете начать погружение в вопросы безопасности WebAssembly. Через 2-5 лет эта технология может стать мейнстримом.
👍1
Forwarded from k8s (in)security (Дмитрий Евдокимов)
Мы очень рады анонсировать нашу конференцию!
БЕКОН - техническая конференция по БЕзопасности КОНтейнеров и контейнерных сред
Дата и место: 7 июня 2023 года в Москве
Целевая аудитория: Архитекторы, Инфраструктурные и платформенные команды,
В программе 10 докладов, покрывающих практически все области безопасности контейнеров. Все доклады отбирал лично - так что за качество ручаюсь ;)
Постепенно опубликуем весь список + также могут появиться дополнительные активности.
Если вам понравится БЕКОН, то продолжим его готовить дальше вместе и с аппетитом применять полученные знания в работе!
P.S. Обратите внимание что зал небольшой - билетов совсем не много!
P.S.S. С автором названия связались и все подарки будут переданы лично =)
БЕКОН - техническая конференция по БЕзопасности КОНтейнеров и контейнерных сред
Дата и место: 7 июня 2023 года в Москве
Целевая аудитория: Архитекторы, Инфраструктурные и платформенные команды,
DevOps/DevSecOps, ИБ департаменты.В программе 10 докладов, покрывающих практически все области безопасности контейнеров. Все доклады отбирал лично - так что за качество ручаюсь ;)
Постепенно опубликуем весь список + также могут появиться дополнительные активности.
Если вам понравится БЕКОН, то продолжим его готовить дальше вместе и с аппетитом применять полученные знания в работе!
P.S. Обратите внимание что зал небольшой - билетов совсем не много!
P.S.S. С автором названия связались и все подарки будут переданы лично =)
Forwarded from k8s (in)security (Дмитрий Евдокимов)
В след за Kubernetes threat matrix компания
Похожую матрицу делали исследователи в работе "Attacking and Securing CI/CD Pipeline", так что если вам тема интересна - рекомендуем освежить в голове и эту работу 2021 года.
Microsoft выпустила DevOps threat matrix.Похожую матрицу делали исследователи в работе "Attacking and Securing CI/CD Pipeline", так что если вам тема интересна - рекомендуем освежить в голове и эту работу 2021 года.
👍1
Forwarded from Аналитический центр RPPA
Банк России опубликовал стандарт обеспечения безопасности финансовых сервисов с использованием технологии цифровых отпечатков устройств. Он устанавливает для банков единые правила формирования, хранения и применения уникальных цифровых отпечатков устройств — набора параметров, позволяющих однозначно идентифицировать устройство пользователя, с помощью которого совершаются банковские и другие финансовые операции, пояснили в ЦБ. За счет стандартизации алгоритма сбора цифровых отпечатков устройств финансовые институты смогут эффективнее противодействовать операциям без согласия клиентов, считает регулятор. Вместе с тем стандарт носит рекомендательный характер.
Полный текст стандарта тут.
Напомним, что для МФО уже действует стандарт, предотвращающий мошенничество при удаленном обслуживании, где одна из рекомендаций — верификация принадлежности устройства.
Полный текст стандарта тут.
Напомним, что для МФО уже действует стандарт, предотвращающий мошенничество при удаленном обслуживании, где одна из рекомендаций — верификация принадлежности устройства.
Коммерсантъ
Банкиры сдадут цифровые отпечатки
Новые стандарты безопасности финансовых сервисов вызвали вопросы экспертного сообщества
👍1
Forwarded from Управление Уязвимостями и прочее
Релиз карты отечественных вендоров Средств Управления Уязвимостями (СУУ). Это результаты проекта, который стартовал 15 января. Драфты я выкладывал по мере готовности.
Карта доступна в двух видах:
- малая, только с логотипами
- полная, с описаниями категорий и характеристиками
Полная читабельна только в непожатом виде, см. ниже.
Я старался согласовывать с представителями вендоров присутствие на карте и характеристики. Получилось это сделать где-то с 80%. Если вы представитель вендора представленного на карте и у вас есть вопросы по этому поводу - пишите в личку @leonov_av, всё решим.
Ну и тем, кто будет сегодня на CISO-FORUM, заходите на мою презентацию карты в 12:30. 😉
@avleonovrus #VMmap
Карта доступна в двух видах:
- малая, только с логотипами
- полная, с описаниями категорий и характеристиками
Полная читабельна только в непожатом виде, см. ниже.
Я старался согласовывать с представителями вендоров присутствие на карте и характеристики. Получилось это сделать где-то с 80%. Если вы представитель вендора представленного на карте и у вас есть вопросы по этому поводу - пишите в личку @leonov_av, всё решим.
Ну и тем, кто будет сегодня на CISO-FORUM, заходите на мою презентацию карты в 12:30. 😉
@avleonovrus #VMmap
1. Спикеры отмечают важность коммуникаций с бизнесом и полезность встраивания метрик бизнеса в процессы ИБ.
2. Важный элемент пользоваться имеющимися комитетами и органами управления для разделения и делегирования ответственности.
3. Алексей Лукацкий напомнил про судебные дела 2 CISO в США , твиттера и убера .
4. Указали на возможный способ снижения риска по судебным делам DLP - сбор заявлений работников на контроль коммуникаций на вредоносное ПО.
5. Отмечают важность дополнения пентестов и аудитов внешними и внутренними програмами багбаунти.
6. Поделились практикой добавления в команду пентеста руководителя внутреннего SOC для попытки обхода средств контроля.
7.вызвал дискуссию вопрос стоит ли начинать с багбаунти построение ИБ. нашли плюсы в обоих походах.
8. Крайне важно сделать безопасность частью продукта и вовлечь разработчиков в процессы безопасной разработки.
9. Отметили неактуальность периметровых и "колпаковых" подходов. Необходимо строить эфемерные, имутабельные, распределенные системы. (выступление на конференции RSA представителя Citi). Пример Kubernetes - патчить образа, а не всю систему в целом. Zero trust другой пример такого подхода.
10. Во время ковида Ciso стали пить вина на 20 процентов больше 😉
#cf23
2. Важный элемент пользоваться имеющимися комитетами и органами управления для разделения и делегирования ответственности.
3. Алексей Лукацкий напомнил про судебные дела 2 CISO в США , твиттера и убера .
4. Указали на возможный способ снижения риска по судебным делам DLP - сбор заявлений работников на контроль коммуникаций на вредоносное ПО.
5. Отмечают важность дополнения пентестов и аудитов внешними и внутренними програмами багбаунти.
6. Поделились практикой добавления в команду пентеста руководителя внутреннего SOC для попытки обхода средств контроля.
7.вызвал дискуссию вопрос стоит ли начинать с багбаунти построение ИБ. нашли плюсы в обоих походах.
8. Крайне важно сделать безопасность частью продукта и вовлечь разработчиков в процессы безопасной разработки.
9. Отметили неактуальность периметровых и "колпаковых" подходов. Необходимо строить эфемерные, имутабельные, распределенные системы. (выступление на конференции RSA представителя Citi). Пример Kubernetes - патчить образа, а не всю систему в целом. Zero trust другой пример такого подхода.
10. Во время ковида Ciso стали пить вина на 20 процентов больше 😉
#cf23
👍3
Минцифры отметило риск утечки информации через сервисы virustotal.
Обратили внимание на Российскую инициативу аналогичную - Мультисканер.
https://virustest.gov.ru/
#cf23
Обратили внимание на Российскую инициативу аналогичную - Мультисканер.
https://virustest.gov.ru/
#cf23
👍1
На секции по ФЗ-152 обсудили проблему отнесения различных ситуаций к утечке.
В том числе угрозы публикации утекших данных и опубликованных в анонимных каналах. Пришли к выводу о необходимости брать за основу положения ФЗ-152 в части определения случаев необходимости увеломления. угроза подкреплённая сканом паспорта скорее всего - утечка.
Отметили риски принятия текущих законопроектов:
1. в части проекта статей УК - будут проблемы с подбором DPO.
2. В части смягчения ответственности оборотных штрафов за счёт прохождения аудитов - прогнозируется всплеск интереса к услугам аудита.
#cf23
В том числе угрозы публикации утекших данных и опубликованных в анонимных каналах. Пришли к выводу о необходимости брать за основу положения ФЗ-152 в части определения случаев необходимости увеломления. угроза подкреплённая сканом паспорта скорее всего - утечка.
Отметили риски принятия текущих законопроектов:
1. в части проекта статей УК - будут проблемы с подбором DPO.
2. В части смягчения ответственности оборотных штрафов за счёт прохождения аудитов - прогнозируется всплеск интереса к услугам аудита.
#cf23
Forwarded from Управление Уязвимостями и прочее
Доклад Айдеко про NGFW. Понравилась подборка отечественных NGFW вендоров. Как "старичков" из правого нижнего "квадранта IBS Platformix", так и "новичков", которые зарезили NGFW недавно или только анонсировали их. Также интересная подборка слабых мест, на которые стоит обратить внимание при выборе NGFW решения.
@avleonovrus #CISOForum #NGFW #ideco
@avleonovrus #CISOForum #NGFW #ideco
👍2
Forwarded from Управление Уязвимостями и прочее
Доклад Ильи Борисова про Архитектуру Безопасности. Очень интересно, очень высокоуровнево и мудрено. Настолько, что я даже адекватно описать впечатления не могу. 🙂
Местами даже несколько медитативно. Например, первая картинка про построение ИБ архитектуры. "Здесь намеренно нет этапа внедрения, потому что НЕ нужно относиться к этому как к PDCA циклу, как к повороту колеса". 😇
Наверное самое близкое ко мне это про декомпозицию требований, их приоритизацию и группировку. Здесь имеются ввиду вообще все требования, но по применимо и к требованиям по безопасной конфигурации систем.
Те, кто занимается разработкой архитектуры ИБ (методологи?), посмотрите видяшечку доклада, когда будет. Вам должно зайти.
@avleonovrus #CISOForum #SecurityArchitecture
Местами даже несколько медитативно. Например, первая картинка про построение ИБ архитектуры. "Здесь намеренно нет этапа внедрения, потому что НЕ нужно относиться к этому как к PDCA циклу, как к повороту колеса". 😇
Наверное самое близкое ко мне это про декомпозицию требований, их приоритизацию и группировку. Здесь имеются ввиду вообще все требования, но по применимо и к требованиям по безопасной конфигурации систем.
Те, кто занимается разработкой архитектуры ИБ (методологи?), посмотрите видяшечку доклада, когда будет. Вам должно зайти.
@avleonovrus #CISOForum #SecurityArchitecture
👍1