Forwarded from k8s (in)security (Дмитрий Евдокимов)
Мы очень рады анонсировать нашу конференцию!
БЕКОН - техническая конференция по БЕзопасности КОНтейнеров и контейнерных сред
Дата и место: 7 июня 2023 года в Москве
Целевая аудитория: Архитекторы, Инфраструктурные и платформенные команды,
В программе 10 докладов, покрывающих практически все области безопасности контейнеров. Все доклады отбирал лично - так что за качество ручаюсь ;)
Постепенно опубликуем весь список + также могут появиться дополнительные активности.
Если вам понравится БЕКОН, то продолжим его готовить дальше вместе и с аппетитом применять полученные знания в работе!
P.S. Обратите внимание что зал небольшой - билетов совсем не много!
P.S.S. С автором названия связались и все подарки будут переданы лично =)
БЕКОН - техническая конференция по БЕзопасности КОНтейнеров и контейнерных сред
Дата и место: 7 июня 2023 года в Москве
Целевая аудитория: Архитекторы, Инфраструктурные и платформенные команды,
DevOps/DevSecOps, ИБ департаменты.В программе 10 докладов, покрывающих практически все области безопасности контейнеров. Все доклады отбирал лично - так что за качество ручаюсь ;)
Постепенно опубликуем весь список + также могут появиться дополнительные активности.
Если вам понравится БЕКОН, то продолжим его готовить дальше вместе и с аппетитом применять полученные знания в работе!
P.S. Обратите внимание что зал небольшой - билетов совсем не много!
P.S.S. С автором названия связались и все подарки будут переданы лично =)
Forwarded from k8s (in)security (Дмитрий Евдокимов)
В след за Kubernetes threat matrix компания
Похожую матрицу делали исследователи в работе "Attacking and Securing CI/CD Pipeline", так что если вам тема интересна - рекомендуем освежить в голове и эту работу 2021 года.
Microsoft выпустила DevOps threat matrix.Похожую матрицу делали исследователи в работе "Attacking and Securing CI/CD Pipeline", так что если вам тема интересна - рекомендуем освежить в голове и эту работу 2021 года.
👍1
Forwarded from Аналитический центр RPPA
Банк России опубликовал стандарт обеспечения безопасности финансовых сервисов с использованием технологии цифровых отпечатков устройств. Он устанавливает для банков единые правила формирования, хранения и применения уникальных цифровых отпечатков устройств — набора параметров, позволяющих однозначно идентифицировать устройство пользователя, с помощью которого совершаются банковские и другие финансовые операции, пояснили в ЦБ. За счет стандартизации алгоритма сбора цифровых отпечатков устройств финансовые институты смогут эффективнее противодействовать операциям без согласия клиентов, считает регулятор. Вместе с тем стандарт носит рекомендательный характер.
Полный текст стандарта тут.
Напомним, что для МФО уже действует стандарт, предотвращающий мошенничество при удаленном обслуживании, где одна из рекомендаций — верификация принадлежности устройства.
Полный текст стандарта тут.
Напомним, что для МФО уже действует стандарт, предотвращающий мошенничество при удаленном обслуживании, где одна из рекомендаций — верификация принадлежности устройства.
Коммерсантъ
Банкиры сдадут цифровые отпечатки
Новые стандарты безопасности финансовых сервисов вызвали вопросы экспертного сообщества
👍1
Forwarded from Управление Уязвимостями и прочее
Релиз карты отечественных вендоров Средств Управления Уязвимостями (СУУ). Это результаты проекта, который стартовал 15 января. Драфты я выкладывал по мере готовности.
Карта доступна в двух видах:
- малая, только с логотипами
- полная, с описаниями категорий и характеристиками
Полная читабельна только в непожатом виде, см. ниже.
Я старался согласовывать с представителями вендоров присутствие на карте и характеристики. Получилось это сделать где-то с 80%. Если вы представитель вендора представленного на карте и у вас есть вопросы по этому поводу - пишите в личку @leonov_av, всё решим.
Ну и тем, кто будет сегодня на CISO-FORUM, заходите на мою презентацию карты в 12:30. 😉
@avleonovrus #VMmap
Карта доступна в двух видах:
- малая, только с логотипами
- полная, с описаниями категорий и характеристиками
Полная читабельна только в непожатом виде, см. ниже.
Я старался согласовывать с представителями вендоров присутствие на карте и характеристики. Получилось это сделать где-то с 80%. Если вы представитель вендора представленного на карте и у вас есть вопросы по этому поводу - пишите в личку @leonov_av, всё решим.
Ну и тем, кто будет сегодня на CISO-FORUM, заходите на мою презентацию карты в 12:30. 😉
@avleonovrus #VMmap
1. Спикеры отмечают важность коммуникаций с бизнесом и полезность встраивания метрик бизнеса в процессы ИБ.
2. Важный элемент пользоваться имеющимися комитетами и органами управления для разделения и делегирования ответственности.
3. Алексей Лукацкий напомнил про судебные дела 2 CISO в США , твиттера и убера .
4. Указали на возможный способ снижения риска по судебным делам DLP - сбор заявлений работников на контроль коммуникаций на вредоносное ПО.
5. Отмечают важность дополнения пентестов и аудитов внешними и внутренними програмами багбаунти.
6. Поделились практикой добавления в команду пентеста руководителя внутреннего SOC для попытки обхода средств контроля.
7.вызвал дискуссию вопрос стоит ли начинать с багбаунти построение ИБ. нашли плюсы в обоих походах.
8. Крайне важно сделать безопасность частью продукта и вовлечь разработчиков в процессы безопасной разработки.
9. Отметили неактуальность периметровых и "колпаковых" подходов. Необходимо строить эфемерные, имутабельные, распределенные системы. (выступление на конференции RSA представителя Citi). Пример Kubernetes - патчить образа, а не всю систему в целом. Zero trust другой пример такого подхода.
10. Во время ковида Ciso стали пить вина на 20 процентов больше 😉
#cf23
2. Важный элемент пользоваться имеющимися комитетами и органами управления для разделения и делегирования ответственности.
3. Алексей Лукацкий напомнил про судебные дела 2 CISO в США , твиттера и убера .
4. Указали на возможный способ снижения риска по судебным делам DLP - сбор заявлений работников на контроль коммуникаций на вредоносное ПО.
5. Отмечают важность дополнения пентестов и аудитов внешними и внутренними програмами багбаунти.
6. Поделились практикой добавления в команду пентеста руководителя внутреннего SOC для попытки обхода средств контроля.
7.вызвал дискуссию вопрос стоит ли начинать с багбаунти построение ИБ. нашли плюсы в обоих походах.
8. Крайне важно сделать безопасность частью продукта и вовлечь разработчиков в процессы безопасной разработки.
9. Отметили неактуальность периметровых и "колпаковых" подходов. Необходимо строить эфемерные, имутабельные, распределенные системы. (выступление на конференции RSA представителя Citi). Пример Kubernetes - патчить образа, а не всю систему в целом. Zero trust другой пример такого подхода.
10. Во время ковида Ciso стали пить вина на 20 процентов больше 😉
#cf23
👍3
Минцифры отметило риск утечки информации через сервисы virustotal.
Обратили внимание на Российскую инициативу аналогичную - Мультисканер.
https://virustest.gov.ru/
#cf23
Обратили внимание на Российскую инициативу аналогичную - Мультисканер.
https://virustest.gov.ru/
#cf23
👍1
На секции по ФЗ-152 обсудили проблему отнесения различных ситуаций к утечке.
В том числе угрозы публикации утекших данных и опубликованных в анонимных каналах. Пришли к выводу о необходимости брать за основу положения ФЗ-152 в части определения случаев необходимости увеломления. угроза подкреплённая сканом паспорта скорее всего - утечка.
Отметили риски принятия текущих законопроектов:
1. в части проекта статей УК - будут проблемы с подбором DPO.
2. В части смягчения ответственности оборотных штрафов за счёт прохождения аудитов - прогнозируется всплеск интереса к услугам аудита.
#cf23
В том числе угрозы публикации утекших данных и опубликованных в анонимных каналах. Пришли к выводу о необходимости брать за основу положения ФЗ-152 в части определения случаев необходимости увеломления. угроза подкреплённая сканом паспорта скорее всего - утечка.
Отметили риски принятия текущих законопроектов:
1. в части проекта статей УК - будут проблемы с подбором DPO.
2. В части смягчения ответственности оборотных штрафов за счёт прохождения аудитов - прогнозируется всплеск интереса к услугам аудита.
#cf23
Forwarded from Управление Уязвимостями и прочее
Доклад Айдеко про NGFW. Понравилась подборка отечественных NGFW вендоров. Как "старичков" из правого нижнего "квадранта IBS Platformix", так и "новичков", которые зарезили NGFW недавно или только анонсировали их. Также интересная подборка слабых мест, на которые стоит обратить внимание при выборе NGFW решения.
@avleonovrus #CISOForum #NGFW #ideco
@avleonovrus #CISOForum #NGFW #ideco
👍2
Forwarded from Управление Уязвимостями и прочее
Доклад Ильи Борисова про Архитектуру Безопасности. Очень интересно, очень высокоуровнево и мудрено. Настолько, что я даже адекватно описать впечатления не могу. 🙂
Местами даже несколько медитативно. Например, первая картинка про построение ИБ архитектуры. "Здесь намеренно нет этапа внедрения, потому что НЕ нужно относиться к этому как к PDCA циклу, как к повороту колеса". 😇
Наверное самое близкое ко мне это про декомпозицию требований, их приоритизацию и группировку. Здесь имеются ввиду вообще все требования, но по применимо и к требованиям по безопасной конфигурации систем.
Те, кто занимается разработкой архитектуры ИБ (методологи?), посмотрите видяшечку доклада, когда будет. Вам должно зайти.
@avleonovrus #CISOForum #SecurityArchitecture
Местами даже несколько медитативно. Например, первая картинка про построение ИБ архитектуры. "Здесь намеренно нет этапа внедрения, потому что НЕ нужно относиться к этому как к PDCA циклу, как к повороту колеса". 😇
Наверное самое близкое ко мне это про декомпозицию требований, их приоритизацию и группировку. Здесь имеются ввиду вообще все требования, но по применимо и к требованиям по безопасной конфигурации систем.
Те, кто занимается разработкой архитектуры ИБ (методологи?), посмотрите видяшечку доклада, когда будет. Вам должно зайти.
@avleonovrus #CISOForum #SecurityArchitecture
👍1