Forwarded from DevSecOps Talks
DevSecOps Assesment Framework
Всем привет! С началом первой осенней недели вас!
По ссылке доступен репозиторий с открытой частью нашего фреймворка оценки процесса безопасной разработки. По своей сути это набор инструментов, правил и процессов, которые помогают создавать безопасное ПО, а физически - excel-файл с 4 вкладками:
🍏 Модель технологии — это набор технологий, связанных с безопасной разработкой. Они распределены по доменам и уровням зрелости.
🍏 Модель процессы — это набор практик безопасной разработки, которые тоже распределены по доменам и уровням зрелости.
🍏 Пиратская карта — взгляд сверху на два этих набора.
🍏 Тепловая матрица — инструмент визуализации того, насколько каждая из практик выполняется у вас.
Как этим пользоваться? Самое простое — заполнить модель технологии и модель процессы, после чего увидеть результат на тепловой матрице. Можно заполнять таблицы как для компании целиком, чтобы получить "среднюю температуру", так и для каждой команды разработки отдельно для более точного результата.
Мы вышли с этим в open source, поэтому мы будем рады любым вопросам, комментариям и предложениям.
Предлагаем вам поиграть с фреймворком, создать пару-тройку issues и задать нам вопросы :)
Welcome!
Всем привет! С началом первой осенней недели вас!
По ссылке доступен репозиторий с открытой частью нашего фреймворка оценки процесса безопасной разработки. По своей сути это набор инструментов, правил и процессов, которые помогают создавать безопасное ПО, а физически - excel-файл с 4 вкладками:
🍏 Модель технологии — это набор технологий, связанных с безопасной разработкой. Они распределены по доменам и уровням зрелости.
🍏 Модель процессы — это набор практик безопасной разработки, которые тоже распределены по доменам и уровням зрелости.
🍏 Пиратская карта — взгляд сверху на два этих набора.
🍏 Тепловая матрица — инструмент визуализации того, насколько каждая из практик выполняется у вас.
Как этим пользоваться? Самое простое — заполнить модель технологии и модель процессы, после чего увидеть результат на тепловой матрице. Можно заполнять таблицы как для компании целиком, чтобы получить "среднюю температуру", так и для каждой команды разработки отдельно для более точного результата.
Мы вышли с этим в open source, поэтому мы будем рады любым вопросам, комментариям и предложениям.
Предлагаем вам поиграть с фреймворком, создать пару-тройку issues и задать нам вопросы :)
Welcome!
Forwarded from AlexRedSec
Компания Flashpoint опубликовала полугодовой отчет "Sales and Purchases of Vulnerability Exploits" о рынке эксплойтов - что продают, что хотят купить злоумышленники и по какой цене.
На скринах приведены "популярные" уязвимости, эксплойтами для которых активно интересовались в первый и второй кварталы этого года. В целом, в списках довольно ожидаемые "участники" - выделяется, пожалуй (для нашего рынка), только уязвимость для сетевого оборудования вендора Drytek.
Разброс цен - от 600 до 30000💰
На скринах приведены "популярные" уязвимости, эксплойтами для которых активно интересовались в первый и второй кварталы этого года. В целом, в списках довольно ожидаемые "участники" - выделяется, пожалуй (для нашего рынка), только уязвимость для сетевого оборудования вендора Drytek.
Разброс цен - от 600 до 30000💰
👍1
Forwarded from Порвали два трояна
💦 Как и зачем фабрикуют утечки?
Страшный сон любого CISO — увидеть название своей компании на сайте утечек какого-нибудь Lockbit или просто в объявлении «продам базы» на даркнет-форумах. Впрочем, такая ситуация — не повод паниковать. Утечка может оказаться фейком.
В статье на Dark Reading Юлия Новикова, руководитель отдела мониторинга цифровых угроз, приводит две основные причины изготовления фейков: молодые группировки ищут славы и бесплатного пиара, а также одни злоумышленники пытаются обмануть других, продав устаревшую или бесплатно доступную информацию.
Три основных способа изготовления фальшивок:
🟣 скрейпинг, то есть сбор открытой информации из веба. К этой категории относятся многие «утечки баз из соцсетей»;
🟣 манипуляции с устаревшими базами. Реальные, но произошедшие много лет назад утечки регулярно всплывают под видом новых;
🟣 объединение баз. Комбинируя открытые данные и старые утечки можно слепить нечто, похожее на новую утечку, хотя фактически новой информации в ней нет.
Как отличить фальшивую утечку от настоящей? Подробные советы приведены в статье, но две основные рекомендации — не общаться с преступниками и до принятия любых решений тщательно проверить доступные данные, чтобы оценить правдивость утечки.
В целом работа с утечками и мониторинг даркнета являются достаточно специфической работой, сильно отличающейся от повседневных задач ИБ-команды, поэтому их очень эффективно отдать на аутсорсинг узким специалистам.
#советы @П2Т
Страшный сон любого CISO — увидеть название своей компании на сайте утечек какого-нибудь Lockbit или просто в объявлении «продам базы» на даркнет-форумах. Впрочем, такая ситуация — не повод паниковать. Утечка может оказаться фейком.
В статье на Dark Reading Юлия Новикова, руководитель отдела мониторинга цифровых угроз, приводит две основные причины изготовления фейков: молодые группировки ищут славы и бесплатного пиара, а также одни злоумышленники пытаются обмануть других, продав устаревшую или бесплатно доступную информацию.
Три основных способа изготовления фальшивок:
Как отличить фальшивую утечку от настоящей? Подробные советы приведены в статье, но две основные рекомендации — не общаться с преступниками и до принятия любых решений тщательно проверить доступные данные, чтобы оценить правдивость утечки.
В целом работа с утечками и мониторинг даркнета являются достаточно специфической работой, сильно отличающейся от повседневных задач ИБ-команды, поэтому их очень эффективно отдать на аутсорсинг узким специалистам.
#советы @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
Dark Reading
How & Why Cybercriminals Fabricate Data Leaks
A closer look at the nature of fake leaks can provide guidance on how to effectively mitigate associated risks.
👍1