Forwarded from Пост Лукацкого
Интересный портал https://dfiq.org/. Является базой знаний по расследованию инцидентов. Активно пополняется. На первой картинке интересный и живой пример - сотрудник компании подозревается в краже конфиденциальной информации. Какие признаки того, что сотрудник может скрывать свою деятельность? А какие индикаторы говорят о том, что утечка может произойти в будущем? Среди других рассматриваемых кейсов - подозрительные DNS-запросы, расширение плацдарма в инфраструктуре (Lateral Movement), компрометация облачной среды, сотрудник использует конфиденциальные данные совего бывшего работодателя на новом месте (ну какой же это инцидент - типичная история 😂 ), скрытие активности на скомпрометированном узле...
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from DevSecOps Talks
WAF Testing Dataset
Всем привет!
Защита приложений не заканчивается в момент разработки и/или тестирования. Защита ПО в режиме runtime – штука крайне важная и про нее забывать не следует. А Web Application Firewall (WAF) – одна из наиболее часто используемых технологий для защиты web-приложений.
При выборе решений практически всегда встает вопрос – какое из них лучше и какое нужно выбрать? Вариантов решения задачи множество – от «аналитических таблиц», до проведения пилотных проектов.
Но что может быть лучше, чем проверить WAF «нагрузив его, как следует»? Ничего! Но есть нюанс: где взять те самые данные для проведения «нагрузочного тестирования»?
Ответом может стать проект «Web Application Firewall (WAF) Comparison Project» от open-appsec (CheckPoint).
Внутри можно найти 973,964 различных http-запросов, сгруппированных по 12 категориям. Дополнительно в набор входит 73,924 вредоносные нагрузки (malicious payload), в которых представлены: SQL Injection, XSS, XXE, Path Traversal, Command execution, Log4Shell и Shellshock.
А если не хочется тестировать самому, но любопытны результаты – то есть вот такая статья, в которой сравнили Microsoft Azure WAFv2, AWS WAF, F5 Nginx App Protect WAF и CloudGuard AppSec. Результаты, аналитика, таблицы и много-много-много данных.
Всем привет!
Защита приложений не заканчивается в момент разработки и/или тестирования. Защита ПО в режиме runtime – штука крайне важная и про нее забывать не следует. А Web Application Firewall (WAF) – одна из наиболее часто используемых технологий для защиты web-приложений.
При выборе решений практически всегда встает вопрос – какое из них лучше и какое нужно выбрать? Вариантов решения задачи множество – от «аналитических таблиц», до проведения пилотных проектов.
Но что может быть лучше, чем проверить WAF «нагрузив его, как следует»? Ничего! Но есть нюанс: где взять те самые данные для проведения «нагрузочного тестирования»?
Ответом может стать проект «Web Application Firewall (WAF) Comparison Project» от open-appsec (CheckPoint).
Внутри можно найти 973,964 различных http-запросов, сгруппированных по 12 категориям. Дополнительно в набор входит 73,924 вредоносные нагрузки (malicious payload), в которых представлены: SQL Injection, XSS, XXE, Path Traversal, Command execution, Log4Shell и Shellshock.
А если не хочется тестировать самому, но любопытны результаты – то есть вот такая статья, в которой сравнили Microsoft Azure WAFv2, AWS WAF, F5 Nginx App Protect WAF и CloudGuard AppSec. Результаты, аналитика, таблицы и много-много-много данных.
GitHub
GitHub - openappsec/waf-comparison-project: Testing datasets and tools to compare WAF efficacy
Testing datasets and tools to compare WAF efficacy - openappsec/waf-comparison-project
Forwarded from k8s (in)security (Дмитрий Евдокимов)
CNCF опубликовало текст документа "Security Zero Trust using Cloud Native Platforms". Очень достойный документ, который в очередной раз заставляется задуматься о пользе постоянных сканирований, использования сигнатур и т.д. В итоге понять какие действительно меры рабочие в текущих реалиях.P.S. Всем хороших выходных!
Forwarded from Пост Лукацкого
FAIR Institute, известный своим стандартом количественной оценки рисков FAIR и разных методик и стандартов на его основе, выпустил новый стандарт - FAIR Materiality Assessment Model (FAIR-MAM), задача которого, в стиле MITRE ATT&CK, описать различные формы потерь/ущерба от инцидентов ИБ (параметр "Loss Magnitude" в стандарте FAIR).💰Все потери делятся на 10 крупных блоков (прерывание бизнеса, мошенничество, ущерб репутации и т.п.), а так как это открытая модель, то она может быть адаптирована под любую организацию, которая еще не дозрела до недопустимых событий, но при этом ее уже не устраивает светофор при оценке рисков и хочется некой количественной оценки.
Forwarded from Пост Лукацкого
А потом, из FAIR-MAM могут получаться вот такие отчеты с финансовой оценкой ущерба
Forwarded from AlexRedSec
Между делом Cyentia Institute выпустил уже девятое исследование на тему приоритезации устранения уязвимостей и, в целом, по сложным вопросам управления уязвимостями.
В последнем отчете понравилось сравнение различных стратегий устранения уязвимостей по критериям покрытия и эффективности как в случае использования по отдельности, так и в случаях комбинирования методов (и источников информации).
Все выпуски отчетов серии "Prioritization to Prediction" можно почитать тут.
В последнем отчете понравилось сравнение различных стратегий устранения уязвимостей по критериям покрытия и эффективности как в случае использования по отдельности, так и в случаях комбинирования методов (и источников информации).
Все выпуски отчетов серии "Prioritization to Prediction" можно почитать тут.
Forwarded from AlexRedSec
Вдогонку тому, что половину бюджета CISO тратят на инструменты класса IAM, не менее интересная информация о ТОП-10 инструментов, на которые ежегодно тратятся CISO.
Как видно, IAM действительно популярен последние два года, а вот endpoint-решениями видимо все уже закупились🙂
p.s. Информация из отчета "Cybersecurity Perspectives 2023".
Как видно, IAM действительно популярен последние два года, а вот endpoint-решениями видимо все уже закупились
p.s. Информация из отчета "Cybersecurity Perspectives 2023".
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Yandex Cloud
В нашем блоге на Хабре Руслан Качмазов, стажер-инженер Yandex Cloud Security, вместе с выпускниками Школы информационной безопасности Яндекса 2023 года рассказывает о методах защиты с опорой на методологию SLSA.
В статье мы говорим о возможностях и ограничениях инструментов проекта Sigstore, которые снижают риск таких атак, и рассказываем о том, как эти возможности можно использовать в Yandex Cloud.
❗️ Материал полезен для команд разработки, которые хотят обезопасить себя от атак на цепочки поставок при работе с проектами, имеющими множество внешних зависимостей.
Читайте подробнее по ссылке.
#yacloud_articles
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3
Forwarded from BESSEC
J.Wolff Cyberinsurance Policy.pdf
11.5 MB
#book на отпуск
Cyberinsurance Policy — исследование о рынке киберстрахования. В книге рассмотрено, как зародилась эта отрасль, в чем отличия по сравнению с привычными областями. Роль государственных регуляторов в развитии киберстрахования — не только на примере США, но и некоторых других стран.
Говорят, что хорошее чтиво про ИБ с точки зрения бизнеса. Почитаем, потом на Россию еще посмотрим))
#riskassessment #cyberrisk
Cyberinsurance Policy — исследование о рынке киберстрахования. В книге рассмотрено, как зародилась эта отрасль, в чем отличия по сравнению с привычными областями. Роль государственных регуляторов в развитии киберстрахования — не только на примере США, но и некоторых других стран.
Говорят, что хорошее чтиво про ИБ с точки зрения бизнеса. Почитаем, потом на Россию еще посмотрим))
#riskassessment #cyberrisk
Forwarded from BESSEC
0_All_Checklists_RU.pdf
738.3 KB
#bestpractices
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3