Forwarded from DevSecOps Talks
DevSecOps Assesment Framework
Всем привет! С началом первой осенней недели вас!
По ссылке доступен репозиторий с открытой частью нашего фреймворка оценки процесса безопасной разработки. По своей сути это набор инструментов, правил и процессов, которые помогают создавать безопасное ПО, а физически - excel-файл с 4 вкладками:
🍏 Модель технологии — это набор технологий, связанных с безопасной разработкой. Они распределены по доменам и уровням зрелости.
🍏 Модель процессы — это набор практик безопасной разработки, которые тоже распределены по доменам и уровням зрелости.
🍏 Пиратская карта — взгляд сверху на два этих набора.
🍏 Тепловая матрица — инструмент визуализации того, насколько каждая из практик выполняется у вас.
Как этим пользоваться? Самое простое — заполнить модель технологии и модель процессы, после чего увидеть результат на тепловой матрице. Можно заполнять таблицы как для компании целиком, чтобы получить "среднюю температуру", так и для каждой команды разработки отдельно для более точного результата.
Мы вышли с этим в open source, поэтому мы будем рады любым вопросам, комментариям и предложениям.
Предлагаем вам поиграть с фреймворком, создать пару-тройку issues и задать нам вопросы :)
Welcome!
Всем привет! С началом первой осенней недели вас!
По ссылке доступен репозиторий с открытой частью нашего фреймворка оценки процесса безопасной разработки. По своей сути это набор инструментов, правил и процессов, которые помогают создавать безопасное ПО, а физически - excel-файл с 4 вкладками:
🍏 Модель технологии — это набор технологий, связанных с безопасной разработкой. Они распределены по доменам и уровням зрелости.
🍏 Модель процессы — это набор практик безопасной разработки, которые тоже распределены по доменам и уровням зрелости.
🍏 Пиратская карта — взгляд сверху на два этих набора.
🍏 Тепловая матрица — инструмент визуализации того, насколько каждая из практик выполняется у вас.
Как этим пользоваться? Самое простое — заполнить модель технологии и модель процессы, после чего увидеть результат на тепловой матрице. Можно заполнять таблицы как для компании целиком, чтобы получить "среднюю температуру", так и для каждой команды разработки отдельно для более точного результата.
Мы вышли с этим в open source, поэтому мы будем рады любым вопросам, комментариям и предложениям.
Предлагаем вам поиграть с фреймворком, создать пару-тройку issues и задать нам вопросы :)
Welcome!
Forwarded from AlexRedSec
Компания Flashpoint опубликовала полугодовой отчет "Sales and Purchases of Vulnerability Exploits" о рынке эксплойтов - что продают, что хотят купить злоумышленники и по какой цене.
На скринах приведены "популярные" уязвимости, эксплойтами для которых активно интересовались в первый и второй кварталы этого года. В целом, в списках довольно ожидаемые "участники" - выделяется, пожалуй (для нашего рынка), только уязвимость для сетевого оборудования вендора Drytek.
Разброс цен - от 600 до 30000💰
На скринах приведены "популярные" уязвимости, эксплойтами для которых активно интересовались в первый и второй кварталы этого года. В целом, в списках довольно ожидаемые "участники" - выделяется, пожалуй (для нашего рынка), только уязвимость для сетевого оборудования вендора Drytek.
Разброс цен - от 600 до 30000💰
👍1
Forwarded from Порвали два трояна
💦 Как и зачем фабрикуют утечки?
Страшный сон любого CISO — увидеть название своей компании на сайте утечек какого-нибудь Lockbit или просто в объявлении «продам базы» на даркнет-форумах. Впрочем, такая ситуация — не повод паниковать. Утечка может оказаться фейком.
В статье на Dark Reading Юлия Новикова, руководитель отдела мониторинга цифровых угроз, приводит две основные причины изготовления фейков: молодые группировки ищут славы и бесплатного пиара, а также одни злоумышленники пытаются обмануть других, продав устаревшую или бесплатно доступную информацию.
Три основных способа изготовления фальшивок:
🟣 скрейпинг, то есть сбор открытой информации из веба. К этой категории относятся многие «утечки баз из соцсетей»;
🟣 манипуляции с устаревшими базами. Реальные, но произошедшие много лет назад утечки регулярно всплывают под видом новых;
🟣 объединение баз. Комбинируя открытые данные и старые утечки можно слепить нечто, похожее на новую утечку, хотя фактически новой информации в ней нет.
Как отличить фальшивую утечку от настоящей? Подробные советы приведены в статье, но две основные рекомендации — не общаться с преступниками и до принятия любых решений тщательно проверить доступные данные, чтобы оценить правдивость утечки.
В целом работа с утечками и мониторинг даркнета являются достаточно специфической работой, сильно отличающейся от повседневных задач ИБ-команды, поэтому их очень эффективно отдать на аутсорсинг узким специалистам.
#советы @П2Т
Страшный сон любого CISO — увидеть название своей компании на сайте утечек какого-нибудь Lockbit или просто в объявлении «продам базы» на даркнет-форумах. Впрочем, такая ситуация — не повод паниковать. Утечка может оказаться фейком.
В статье на Dark Reading Юлия Новикова, руководитель отдела мониторинга цифровых угроз, приводит две основные причины изготовления фейков: молодые группировки ищут славы и бесплатного пиара, а также одни злоумышленники пытаются обмануть других, продав устаревшую или бесплатно доступную информацию.
Три основных способа изготовления фальшивок:
Как отличить фальшивую утечку от настоящей? Подробные советы приведены в статье, но две основные рекомендации — не общаться с преступниками и до принятия любых решений тщательно проверить доступные данные, чтобы оценить правдивость утечки.
В целом работа с утечками и мониторинг даркнета являются достаточно специфической работой, сильно отличающейся от повседневных задач ИБ-команды, поэтому их очень эффективно отдать на аутсорсинг узким специалистам.
#советы @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
Dark Reading
How & Why Cybercriminals Fabricate Data Leaks
A closer look at the nature of fake leaks can provide guidance on how to effectively mitigate associated risks.
👍1
https://github.com/exness/security-bot #devoops
"The Security Bot (SecBot) service introduces an additional collection of checks to the SDLC to identify security issues in corporate assets"
"The Security Bot (SecBot) service introduces an additional collection of checks to the SDLC to identify security issues in corporate assets"
GitHub
GitHub - exness/security-bot
Contribute to exness/security-bot development by creating an account on GitHub.
image_2023-09-06_11-07-15.png
297.5 KB
Подписание коммитов важно для GitOps security #DevOops