Forwarded from Управление Уязвимостями и прочее
Доклад Рустэма Хайретдинова про багбаунти. Доклад был секретный про внутреннюю кухню багбаунти-сервисов. Видео для него не будет. Были интересные подробности. 👍 Из того, что можно было сфоткать это 3 слайды со сравнением пентеста и багбаунти. Что в итоге выбрать? "И то, и другое, и можно без хлеба" (с)
@avleonovrus #CISOForum #BugBounty #Pentest
@avleonovrus #CISOForum #BugBounty #Pentest
👍2👎2
https://fedscoop.com/cisa-and-partners-issue-secure-by-design-principles-for-software-manufacturers/
FedScoop
CISA and partners issue secure-by-design principles for software manufacturers
The guidance is intended to speed up cultural shifts within the technology industry needed to achieve a safe future online.
Forwarded from k8s (in)security (r0binak)
Вышла третья статья [1,2] из серии
- Что такое и зачем нужны
- Как минизмизировать их для контейнеров
- Как узнать какие
В заключение, отмечается, что использование всех возможностей
P.S. – ещё одна статья от этого же автора про использование capabilities со стороны атакующего.
Container security fundamentals, на этот раз автор затронул тему Capabilities. Из статьи вы узнаете:- Что такое и зачем нужны
capabilities- Как минизмизировать их для контейнеров
- Как узнать какие
capabilities есть в контейнереВ заключение, отмечается, что использование всех возможностей
capabilities не всегда необходимо, и что на некоторых системах capabilities, которые раньше требовались для выполнения определенных задач, могут быть убраны или не нужны.P.S. – ещё одна статья от этого же автора про использование capabilities со стороны атакующего.
Обновляемый список ресурсов по форензике iOS https://github.com/RealityNet/iOS-Forensics-References
GitHub
GitHub - RealityNet/iOS-Forensics-References: A curated list of iOS Forensics References, organized by folder with specific references…
A curated list of iOS Forensics References, organized by folder with specific references (links to blog post, research paper, articles, and so on) for each interesting file - RealityNet/iOS-Forensi...
Forwarded from AlexRedSec
Вот такие метрики, с помощью которых бизнес оценивает эффективность работы программы кибербезопасности в организации, зафиксировал Splunk по итогам опроса респондентов в своём свежем исследовании "The State of Security 2023".
Forwarded from Makrushin (Denis)
Напоминание для тех, кто охотится за уязвимостями: не ограничивайся обнаруженным скоупом. Продолжай искать новые ресурсы, которые прямо или косвенно связаны с целью.
В качестве примера возьмем бизнес-процесс, который построен с использованием технологии блокчейн. В дополнение к стандартным веб-приложениям, которые включены в скоуп, можно добавить новые цели для поиска проблем:
1. блокчейн инфраструктура: все, что помогает этой технологии в работе (потребуется анализ защищенности нод и хранилищ);
2. смарт-контракт (для аудита пригодится список уязвимостей смарт-контрактов);
3. аппаратный кошелек и мобильные приложения (тут поможет OWASP Mobile Top 10).
В качестве примера возьмем бизнес-процесс, который построен с использованием технологии блокчейн. В дополнение к стандартным веб-приложениям, которые включены в скоуп, можно добавить новые цели для поиска проблем:
1. блокчейн инфраструктура: все, что помогает этой технологии в работе (потребуется анализ защищенности нод и хранилищ);
2. смарт-контракт (для аудита пригодится список уязвимостей смарт-контрактов);
3. аппаратный кошелек и мобильные приложения (тут поможет OWASP Mobile Top 10).
GitHub
List of Security Vulnerabilities
Smart contracts which are formally verified. Contribute to runtimeverification/verified-smart-contracts development by creating an account on GitHub.
👍1
27 апреля в 11:00, вебинар «Как перестать бояться BCP, DRP и ЦБ РФ».
Эксперты компании «Инфосистемы Джет» представят кейсы по разработке и реализации планов обеспечения непрерывности бизнеса (BCP), обсудят требования Банка России к операционной надёжности (включая основные требования новых стандартов ГОСТ Р 57580.3-2022, ГОСТ Р 57580.4-2022), а также разберут особенности разработки DR-планов и проектирования отказоустойчивой ИТ-инфраструктуры.
В программе:
🔹Непрерывность бизнеса: теория (совсем немного) и практика.
🔹Операционная надёжность: что с требованиями.
🔹Инфраструктура в общем и DRP в частности
Участие бесплатное, регистрация по ссылке
Эксперты компании «Инфосистемы Джет» представят кейсы по разработке и реализации планов обеспечения непрерывности бизнеса (BCP), обсудят требования Банка России к операционной надёжности (включая основные требования новых стандартов ГОСТ Р 57580.3-2022, ГОСТ Р 57580.4-2022), а также разберут особенности разработки DR-планов и проектирования отказоустойчивой ИТ-инфраструктуры.
В программе:
🔹Непрерывность бизнеса: теория (совсем немного) и практика.
🔹Операционная надёжность: что с требованиями.
🔹Инфраструктура в общем и DRP в частности
Участие бесплатное, регистрация по ссылке
NEW Identity and Access Management Roadmap
NIST Cybersecurity Framework 2.0 Concept Paper: Potential Significant Updates to the Cybersecurity Framework - NIST IAM Roadmap_FINAL_For Publicaiton_04212023.pdf
https://www.nist.gov/system/files/documents/2023/04/21/NIST%20IAM%20Roadmap_FINAL_For%20Publicaiton_04212023.pdf
NIST Cybersecurity Framework 2.0 Concept Paper: Potential Significant Updates to the Cybersecurity Framework - NIST IAM Roadmap_FINAL_For Publicaiton_04212023.pdf
https://www.nist.gov/system/files/documents/2023/04/21/NIST%20IAM%20Roadmap_FINAL_For%20Publicaiton_04212023.pdf