Руководство по "теневой" ит-инфраструктуре от Британского ФСТЭКа (то чего нет в документах вашей организации но работает)
https://www.ncsc.gov.uk/guidance/shadow-it
https://www.ncsc.gov.uk/guidance/shadow-it
www.ncsc.gov.uk
Shadow IT
Managing 'unknown assets' that are used within an organisation.
Пошаговое руководство от CIS как сделать дорожную карту
https://learn.cisecurity.org/plan-cybersecurity-roadmap-guide
https://learn.cisecurity.org/plan-cybersecurity-roadmap-guide
learn.cisecurity.org
Cybersecurity Roadmap Guide
CIS SecureSuite Membership offers tools and resources to construct a comprehensive cybersecurity roadmap. Perfect for organizations, consultants, and product vendors, it provides assistance in fortifying systems, integrating best practices, and advancing
https://csrc.nist.gov/Projects/Cybersecurity-Framework/Filters#/csf/filters
"Today, NIST is officially unveiling our new Cybersecurity Framework (CSF) 2.0 Reference Tool. This resource allows users to explore the Draft CSF 2.0 Core (Functions, Categories, Subcategories, Implementation Examples) and offers human and machine-readable versions of the draft Core (in both JSON and Excel formats). Currently, the tool allows users to view and export portions of the Core using key search terms. This tool will ultimately enable users to create their own version of the CSF 2.0 Core with selected Informative References and will provide a simple and streamlined way for users to explore different aspects of the CSF Core. "
"Today, NIST is officially unveiling our new Cybersecurity Framework (CSF) 2.0 Reference Tool. This resource allows users to explore the Draft CSF 2.0 Core (Functions, Categories, Subcategories, Implementation Examples) and offers human and machine-readable versions of the draft Core (in both JSON and Excel formats). Currently, the tool allows users to view and export portions of the Core using key search terms. This tool will ultimately enable users to create their own version of the CSF 2.0 Core with selected Informative References and will provide a simple and streamlined way for users to explore different aspects of the CSF Core. "
Forwarded from Пост Лукацкого
Интересный портал https://dfiq.org/. Является базой знаний по расследованию инцидентов. Активно пополняется. На первой картинке интересный и живой пример - сотрудник компании подозревается в краже конфиденциальной информации. Какие признаки того, что сотрудник может скрывать свою деятельность? А какие индикаторы говорят о том, что утечка может произойти в будущем? Среди других рассматриваемых кейсов - подозрительные DNS-запросы, расширение плацдарма в инфраструктуре (Lateral Movement), компрометация облачной среды, сотрудник использует конфиденциальные данные совего бывшего работодателя на новом месте (ну какой же это инцидент - типичная история 😂 ), скрытие активности на скомпрометированном узле...
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from DevSecOps Talks
WAF Testing Dataset
Всем привет!
Защита приложений не заканчивается в момент разработки и/или тестирования. Защита ПО в режиме runtime – штука крайне важная и про нее забывать не следует. А Web Application Firewall (WAF) – одна из наиболее часто используемых технологий для защиты web-приложений.
При выборе решений практически всегда встает вопрос – какое из них лучше и какое нужно выбрать? Вариантов решения задачи множество – от «аналитических таблиц», до проведения пилотных проектов.
Но что может быть лучше, чем проверить WAF «нагрузив его, как следует»? Ничего! Но есть нюанс: где взять те самые данные для проведения «нагрузочного тестирования»?
Ответом может стать проект «Web Application Firewall (WAF) Comparison Project» от open-appsec (CheckPoint).
Внутри можно найти 973,964 различных http-запросов, сгруппированных по 12 категориям. Дополнительно в набор входит 73,924 вредоносные нагрузки (malicious payload), в которых представлены: SQL Injection, XSS, XXE, Path Traversal, Command execution, Log4Shell и Shellshock.
А если не хочется тестировать самому, но любопытны результаты – то есть вот такая статья, в которой сравнили Microsoft Azure WAFv2, AWS WAF, F5 Nginx App Protect WAF и CloudGuard AppSec. Результаты, аналитика, таблицы и много-много-много данных.
Всем привет!
Защита приложений не заканчивается в момент разработки и/или тестирования. Защита ПО в режиме runtime – штука крайне важная и про нее забывать не следует. А Web Application Firewall (WAF) – одна из наиболее часто используемых технологий для защиты web-приложений.
При выборе решений практически всегда встает вопрос – какое из них лучше и какое нужно выбрать? Вариантов решения задачи множество – от «аналитических таблиц», до проведения пилотных проектов.
Но что может быть лучше, чем проверить WAF «нагрузив его, как следует»? Ничего! Но есть нюанс: где взять те самые данные для проведения «нагрузочного тестирования»?
Ответом может стать проект «Web Application Firewall (WAF) Comparison Project» от open-appsec (CheckPoint).
Внутри можно найти 973,964 различных http-запросов, сгруппированных по 12 категориям. Дополнительно в набор входит 73,924 вредоносные нагрузки (malicious payload), в которых представлены: SQL Injection, XSS, XXE, Path Traversal, Command execution, Log4Shell и Shellshock.
А если не хочется тестировать самому, но любопытны результаты – то есть вот такая статья, в которой сравнили Microsoft Azure WAFv2, AWS WAF, F5 Nginx App Protect WAF и CloudGuard AppSec. Результаты, аналитика, таблицы и много-много-много данных.
GitHub
GitHub - openappsec/waf-comparison-project: Testing datasets and tools to compare WAF efficacy
Testing datasets and tools to compare WAF efficacy - openappsec/waf-comparison-project
Forwarded from k8s (in)security (Дмитрий Евдокимов)
CNCF опубликовало текст документа "Security Zero Trust using Cloud Native Platforms". Очень достойный документ, который в очередной раз заставляется задуматься о пользе постоянных сканирований, использования сигнатур и т.д. В итоге понять какие действительно меры рабочие в текущих реалиях.P.S. Всем хороших выходных!