NEW BOT Телеграм, страница

Forwarded from Управление Уязвимостями и прочее

Доклад Рустэма Хайретдинова про багбаунти. Доклад был секретный про внутреннюю кухню багбаунти-сервисов. Видео для него не будет. Были интересные подробности. 👍 Из того, что можно было сфоткать это 3 слайды со сравнением пентеста и багбаунти. Что в итоге выбрать? "И то, и другое, и можно без хлеба" (с)

@avleonovrus #CISOForum #BugBounty #Pentest

👍2👎2

317 views17:21

ISACARuSec

https://fedscoop.com/cisa-and-partners-issue-secure-by-design-principles-for-software-manufacturers/

FedScoop

CISA and partners issue secure-by-design principles for software manufacturers

The guidance is intended to speed up cultural shifts within the technology industry needed to achieve a safe future online.

507 views16:09

ISACARuSec

https://medium.com/anton-on-security/google-cybersecurity-action-team-threat-horizons-report-6-is-out-88bf6e360383

Medium

Google Cybersecurity Action Team Threat Horizons Report #6 Is Out!

This is my completely informal, uncertified, unreviewed and otherwise completely unofficial blog inspired by my reading of our sixth Threat…

550 views15:05

ISACARuSec

Forwarded from k8s (in)security (r0binak)

Вышла третья статья [1,2] из серии Container security fundamentals, на этот раз автор затронул тему Capabilities. Из статьи вы узнаете:

- Что такое и зачем нужны capabilities
- Как минизмизировать их для контейнеров
- Как узнать какие capabilities есть в контейнере

В заключение, отмечается, что использование всех возможностей capabilities не всегда необходимо, и что на некоторых системах capabilities, которые раньше требовались для выполнения определенных задач, могут быть убраны или не нужны.

P.S. – ещё одна статья от этого же автора про использование capabilities со стороны атакующего.

330 views05:27

ISACARuSec

Search engine for top conference presentations popular among engineers:

https://hackdojo.io/articles

518 viewsedited 05:31

ISACARuSec

https://www.scmagazine.com/news/insider-threat/hhs-updates-cybersecurity-best-practices

SC Media

HHS updates cybersecurity best practices, shares free workforce training

The updates to the HHS Health Industry Cybersecurity Practices (HICP) focuses on the most relevant, cost-effective ways to bolster cybersecurity with patient safety in mind.

452 views06:19

ISACARuSec

Обновляемый список ресурсов по форензике iOS https://github.com/RealityNet/iOS-Forensics-References

GitHub

GitHub - RealityNet/iOS-Forensics-References: A curated list of iOS Forensics References, organized by folder with specific references…

A curated list of iOS Forensics References, organized by folder with specific references (links to blog post, research paper, articles, and so on) for each interesting file - RealityNet/iOS-Forensi...

1.04K viewsedited 06:23

ISACARuSec

Forwarded from AlexRedSec

Вот такие метрики, с помощью которых бизнес оценивает эффективность работы программы кибербезопасности в организации, зафиксировал Splunk по итогам опроса респондентов в своём свежем исследовании "The State of Security 2023".

328 views06:42

ISACARuSec

https://csrc.nist.gov/publications/detail/sp/800-207a/draft

CSRC | NIST

NIST Special Publication (SP) 800-207A (Draft), A Zero Trust Architecture Model for Access Control in Cloud-Native Applications…

One of the basic tenets of zero trust is to remove the implicit trust in users, services, and devices based only on their network location, affiliation, and ownership. NIST Special Publication 800-207 has laid out a comprehensive set of zero trust principles…

488 views08:49

ISACARuSec

Forwarded from Makrushin (Denis)

Напоминание для тех, кто охотится за уязвимостями: не ограничивайся обнаруженным скоупом. Продолжай искать новые ресурсы, которые прямо или косвенно связаны с целью.

В качестве примера возьмем бизнес-процесс, который построен с использованием технологии блокчейн. В дополнение к стандартным веб-приложениям, которые включены в скоуп, можно добавить новые цели для поиска проблем:

1. блокчейн инфраструктура: все, что помогает этой технологии в работе (потребуется анализ защищенности нод и хранилищ);
2. смарт-контракт (для аудита пригодится список уязвимостей смарт-контрактов);
3. аппаратный кошелек и мобильные приложения (тут поможет OWASP Mobile Top 10).

GitHub

List of Security Vulnerabilities

Smart contracts which are formally verified. Contribute to runtimeverification/verified-smart-contracts development by creating an account on GitHub.

👍1

325 views12:02

ISACARuSec

27 апреля в 11:00, вебинар «Как перестать бояться BCP, DRP и ЦБ РФ».

Эксперты компании «Инфосистемы Джет» представят кейсы по разработке и реализации планов обеспечения непрерывности бизнеса (BCP), обсудят требования Банка России к операционной надёжности (включая основные требования новых стандартов ГОСТ Р 57580.3-2022, ГОСТ Р 57580.4-2022), а также разберут особенности разработки DR-планов и проектирования отказоустойчивой ИТ-инфраструктуры.

В программе:

🔹Непрерывность бизнеса: теория (совсем немного) и практика.
🔹Операционная надёжность: что с требованиями.
🔹Инфраструктура в общем и DRP в частности

Участие бесплатное, регистрация по ссылке

564 views12:10

ISACARuSec

https://blog.pcisecuritystandards.org/watch-questions-with-the-council-what-to-know-about-pci-dss-v4-0-training

blog.pcisecuritystandards.org

Watch Questions with the Council: What to Know About PCI DSS v4.0 Training

Watch “Questions with the Council” where Senior Manager, Tom White, answers questions about PCI DSS v4.0 training.

459 views12:21

ISACARuSec

NEW Identity and Access Management Roadmap

NIST Cybersecurity Framework 2.0 Concept Paper: Potential Significant Updates to the Cybersecurity Framework - NIST IAM Roadmap_FINAL_For Publicaiton_04212023.pdf
https://www.nist.gov/system/files/documents/2023/04/21/NIST%20IAM%20Roadmap_FINAL_For%20Publicaiton_04212023.pdf

496 viewsedited 07:26

ISACARuSec

Forwarded from k8s (in)security (Дмитрий Евдокимов)

Стал доступен "Kubernetes 1.24 Security Audit"!

Прошлый подобный отчет для Kubernetes датируется 2019 годом и был для версии 1.13.

Основные результаты нового отчета:
- A number of concerns with the administrative experience as it relates to restricting user or network permissions. These may result in administrator confusion or a lack of clarity around the permissions available to a specific component.
- Flaws in inter-component authentication which allow a suitably positioned malicious user to escalate permissions to cluster-admin.
- Weaknesses in logging and auditing which could be abused by an attacker post-compromise to aid in maintaining persistence or stealth once in control of a cluster.
- Flaws in user input sanitisation which allow a restricted form of authentication bypass by modifying the request made to the etcd datastore.

Очень круто, что к K8s есть такое пристальное внимание со стороны ИБ.

247 views06:06

ISACARuSec

https://medium.com/anton-on-security/reading-mandiant-m-trends-2023-f315c62c8a8b

"SURPRISING

“Mandiant experts note a decrease in the percentage of global intrusions involving ransomware between 2021 and 2022. In 2022, 18% of intrusions involved ransomware compared to 23% in 2021” [A.C. — wow, ransomware is finally declining! Good news?!]

“Organizations were notified of breaches by external entities in 63% of incidents compared to 47% in M-Trends 2022, which brings the global detection rates closer to what defenders experienced in 2014”

“Mandiant observed threat actors leverage data available in underground cybercrime markets, clever social engineering schemes, and even bribes to carry out intrusions and account takeovers. Furthermore, these adversaries demonstrated a willingness to get personal with their targets, bullying and threatening many of them.”

Medium

Reading Mandiant M-Trends 2023

The famous Mandiant 2023 M-Trends (NOT G-Trends, mind you…) report is out, and here are some of the things that I found to be surprising…

385 viewsedited 06:24

ISACARuSec

https://thenewstack.io/private-saas-is-coming-are-you-ready/

The New Stack

Private SaaS Is Coming: Are You Ready?

With Private SaaS, organizations are uniquely able to meet and exceed complex security requirements, while still enjoying the efficiencies and innovation of SaaS deployments.

351 views06:32

ISACARuSec

https://github.com/sametsazak/mergen

GitHub

GitHub - sametsazak/mergen: Mergen is an open-source, native macOS application for auditing and checking the security of your MacOS.

Mergen is an open-source, native macOS application for auditing and checking the security of your MacOS. - sametsazak/mergen

449 views06:36

ISACARuSec

https://www.techrepublic.com/article/api-akamai-acquires-neosec/

TechRepublic

API security becoming C-level cybersecurity concern

Akamai gains API visibility capabilities, a security challenge for organizations, many of which have hundreds or thousands of applications.

410 views07:12

ISACARuSec

https://about.gitlab.com/developer-survey/

about.gitlab.com

GitLab Global DevSecOps Report

See what we learned from surveying 3,266 DevSecOps professionals across the world and various industries.

854 views10:18

ISACARuSec

https://www.nist.gov/system/files/documents/2023/04/24/NIST%20Cybersecurity%20Framework%202.0%20Core%20Discussion%20Draft%204-2023%20final.pdf

"NIST is updating the Cybersecurity Framework (CSF) which is widely used to help organizations better understand, manage, reduce, and communicate cybersecurity risks. This recently released CSF 2.0 Core discussion draft identifies the potential Functions, Categories, and Subcategories (also called cybersecurity outcomes) of the NIST CSF 2.0 Core."

492 viewsedited 19:30

ISACARuSec

Forwarded from Makrushin (Denis)

Инструменты безопасности для разработчика смарт-контрактов.

Если упомянули анализ защищенности блокчейн-технологий, то перечислим утилиты, которые разработчик должен включить в SDLC:

* Smartcheck
* Octopus
* Mythril

Они помогут найти очевидные уязвимости еще до того, как смарт-контракт окажется в распоряжении пентестера или злоумышленника. Потому что пентестеры используют эти же инструменты.

295 views08:37

About

Blog

Apps

Platform