Есть там и раздел про безопасность.
"More developers are using automation to secure dependencies. In 2023, open source developers merged 60% more automated Dependabot pull requests for vulnerable packages than in 2022—which underscores the shared community’s dedication to open source and security. Developers across open source communities are fixing more vulnerable packages and addressing more vulnerabilities in their code thanks to free tools on GitHub, such as Dependabot, code scanning, and secret scanning."
"More developers are using automation to secure dependencies. In 2023, open source developers merged 60% more automated Dependabot pull requests for vulnerable packages than in 2022—which underscores the shared community’s dedication to open source and security. Developers across open source communities are fixing more vulnerable packages and addressing more vulnerabilities in their code thanks to free tools on GitHub, such as Dependabot, code scanning, and secret scanning."
Forwarded from RPPA PRO: Privacy • AI • Cybersecurity • IP
#podcast #НеДляГалочки
Утечки или ночной кошмар DPO. Откуда берутся, в чем причины. Разбираем кейсы с этичным хакером😄
ОСТОРОЖНО! В этом выпуске много практических кейсов, конкретных рекомендаций и историй из жизни хакера.
💡 Apple, Яндекс
🎤 Ведущие выпуска:
🔵 Кристина Боровикова, со-основатель RPPA, Kept Privacy Team Lead
🔵 Елизавета Дмитриева, data privacy engineer в российском инхаусе
🆕 Помогали справиться с кошмаром:
🔵 Александр Герасимов — этичный хакер, эксперт в области тестирования на проникновение и анализа защищенности. Директор по информационной безопасности и сооснователь Awillix.
🔵 Елизавета Никулина — директор по маркетингу и PR в Awillix
Обсудили:
⬇️ Векторы атак
⬇️ Жизненный цикл утечек данных
⬇️ Последствия утечек для человека
⬇️ Реагирование на инциденты, а том числе PR-позиция компании
⬇️ Немного коснулись базовой инфобезной терминологии
Утечки или ночной кошмар DPO. Откуда берутся, в чем причины. Разбираем кейсы с этичным хакером
ОСТОРОЖНО! В этом выпуске много практических кейсов, конкретных рекомендаций и историй из жизни хакера.
Обсудили:
Please open Telegram to view this post
VIEW IN TELEGRAM
Apple Podcasts
Утечки или ночной кошмар DPO. Откуда берутся, в чем причины. Разбираем кейсы с этичным хакером
Podcast Episode · Не для галочки - подкаст о приватности · 09/11/2023 · 1h 19m
Forwarded from AlexRedSec
Tidal Cyber совместно с Cyentia Institute проанализировали 22 общедоступных источника о тактиках и техниках, используемых злоумышленниками в кибератаках, и выпустили исследование "Multi-Source Analysis of Top MITRE ATT&CK Techniques"🧐
В исследовании много статистической информации о TTP's по различным критериям - частоте упоминания в отчетах, частоте использования злоумышленниками на основе данных из тех же отчетов, топы техник, нюансы и проблемы составления такой отчетности.
Из ключевых выводов:
➡️ О трети техник и 85% подтехник не сообщалось ни в одном из исследуемых источников.
➡️ В отчетах поставщиков mssp-услуг и в отчетах с разбором реальных кибератак, как правило, сообщают чаще и больше о различных техниках злоумышленников.
➡️ Техники T1078 и T1190 являются наиболее "популярными" для получения первоначального доступа.
➡️ В целом, наиболее часто используемыми техниками являются T1087, T1059 и T1033.
➡️ Среди мер митигации лидируют M1040, M1038, M1028.
В исследовании много статистической информации о TTP's по различным критериям - частоте упоминания в отчетах, частоте использования злоумышленниками на основе данных из тех же отчетов, топы техник, нюансы и проблемы составления такой отчетности.
Из ключевых выводов:
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Порвали два трояна
Переход крупных ИТ-инфраструктур на архитектуру с нулевым доверием (zero trust) сопряжён не только с существенными инвестициями денег и сил, но и решением сотен технических и организационных проблем. Неожиданно детально свой процесс поэтапного перехода на zero trust описали в интернет-гиганте Baidu (китайский, гугло-русский, гугло-английский). У них проблема усугубляется гигантскими масштабами как офисной, так и основной сети, поэтому на первый план вышли вопросы высокой доступности и отказоустойчивости. Даже при том, что для начала зиротраст воплотили только на L7 и только в офисе, шлюзы должны справляться с запросами десятков тысяч одновременно подключённых сотрудников.
Существенные усилия были приложены к оптимизации пользовательского опыта, потому что неожиданные запросы и неполадки при подключении к системам, помноженные на число сотрудников, способны парализовать любой сервис-деск. Ну и наконец, проектной команде пришлось решать довольно интересную проблему — в сети функционируют многочисленные устаревшие бизнес-системы, у которых нет явного владельца.
Со всеми этими вводными, неудивительно, что компания разработала большинство компонентов самостоятельно, базируясь на популярных open source компонентах OpenResty, Redis и т.п. В тексте упомянуты также «коммерческие решения», но без какой-либо конкретики.
В целом, весьма поучительное чтение. Правда, машинные переводы оставляют желать лучшего, а важные для понимания иллюстрации потребуется переводить отдельно. Мы предупредили
@П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Пост Лукацкого
Два года назад MITRE была выпущена бета-версия онтологии ИБ D3FEND, которая позволяет смаппить защитные техники в техники нападения. И вот на днях, после двух лет тестирования и доработок, увидела свет финальная версия 1.0.
Все защитные меры разбиты на блоки и самый большой из них посвящен обнаружению (Detect). К другим блокам относятся усиление, изоляция, обман, восстановление, реагирование.
#soctech
Все защитные меры разбиты на блоки и самый большой из них посвящен обнаружению (Detect). К другим блокам относятся усиление, изоляция, обман, восстановление, реагирование.
#soctech
d3fend.mitre.org
D3FEND: Getting to 1.0
Thanks to steady and valuable input from the community on the beta version of D3FEND, we are now ready advance to the next step: creating a stable, extensible, and integration-friendly version of D3FEND: D3FEND 1.0.
Один примеров риска когда вы используете домен управляемый не национальным регистратором.
https://www.rbc.ru/technology_and_media/14/11/2023/6552fa4c9a79476284690b92
https://www.rbc.ru/technology_and_media/14/11/2023/6552fa4c9a79476284690b92
РБК
Швейцарская компания запретила авиации в России использовать домен .aero
Домен .aero, который администрирует швейцарская компания SITA, используют российские авиаперевозчики («Победа», «Азимут») и аэропорты (Шереметьево, Сочи). Им придется переехать на другие доменные
Forwarded from SecAtor
Несмотря на определенную долю скептизима к различным интеллектуальным премудростям, не можем не отметить достаточно неплохую попытку обобщить все доступные ИИ-инструменты в области инфосека.
В своем репозитории на github исследователь fr0gger представил различные сервисы на базе GPT, которые могут быть использованы как в защите, так и в наступательных целях.
Всего более 70 различных наименований. Есть достаточно интересные позиции.
В своем репозитории на github исследователь fr0gger представил различные сервисы на базе GPT, которые могут быть использованы как в защите, так и в наступательных целях.
Всего более 70 различных наименований. Есть достаточно интересные позиции.
GitHub
GitHub - fr0gger/Awesome-GPT-Agents: A curated list of GPT agents for cybersecurity
A curated list of GPT agents for cybersecurity. Contribute to fr0gger/Awesome-GPT-Agents development by creating an account on GitHub.
Forwarded from Пакет Безопасности
Безопасная солянка
Да-да, пост будет про кибербез, поэтому вдыхаем. На этой неделе я не стал собирать какую-то подборку полезных материалов по одной теме и решил вывалить в один пост просто всё, что накопилось.
Во-первых, вышло обновление рейтинга OWASP Mobile Top 10 за 2023 год. Это родственник обычного OWASP Top 10, который заточен именно под мобилки. Пояилось несколько новых пунктов, но какого-то открытия не случилось.
Во-вторых, я тут наткнулся на еще одно детище от OWASP (да, у него есть не только топы) – Code Review Guide. Штука интересная и будет хорошим подспорьем в DevSec со своими чеклистами и шаблонами, но есть один нюанс – этот гайд уже достаточно древний (2017 год), поэтому сильно на него уповать не стоит (но база там хорошая).
В-третьих, событий в мире ИБ происходит не так много, а интересных и того меньше. Поэтому по ним тоже немного пройдемся. Само собой, многие слышали про SOC-форум (с которым мы так и не запартнерились), который уже идёт. В этом году он стал чуть более примечательным, так как там уже второй раз подряд выступает МТС RED. И если год назад это был мини-стартап, который только начал свой путь в индустрии, то сегодня это полноценный игрок рынка со своими продуктами и решениями. Радует и то, что ребята продолжают расширяться внутри – судя по моим данным, их уже более 250 человек. Ну а про их планы на вхождение в ТОП-5 отечественного киберрынка, думаю, многие уже слышали.
В-четвертых, со мной тут поделились подкастом, о котором я раньше не слышал, поэтому делюсь теперь с вами. Подкаст посвящен приватности, кибербезопасности и всему, что с этим связано. Лично мне зашло, так что вэлкам – послушать можно тут или тут.
P.S. Скоро расскажу вам про еще одно ИБшное событие, в котором сам буду принимать участие.
Ну всё, пост закончен, выдыхаем.
#Полезное
Твой Пакет Безопасности
Да-да, пост будет про кибербез, поэтому вдыхаем. На этой неделе я не стал собирать какую-то подборку полезных материалов по одной теме и решил вывалить в один пост просто всё, что накопилось.
Во-первых, вышло обновление рейтинга OWASP Mobile Top 10 за 2023 год. Это родственник обычного OWASP Top 10, который заточен именно под мобилки. Пояилось несколько новых пунктов, но какого-то открытия не случилось.
Во-вторых, я тут наткнулся на еще одно детище от OWASP (да, у него есть не только топы) – Code Review Guide. Штука интересная и будет хорошим подспорьем в DevSec со своими чеклистами и шаблонами, но есть один нюанс – этот гайд уже достаточно древний (2017 год), поэтому сильно на него уповать не стоит (но база там хорошая).
В-третьих, событий в мире ИБ происходит не так много, а интересных и того меньше. Поэтому по ним тоже немного пройдемся. Само собой, многие слышали про SOC-форум (с которым мы так и не запартнерились), который уже идёт. В этом году он стал чуть более примечательным, так как там уже второй раз подряд выступает МТС RED. И если год назад это был мини-стартап, который только начал свой путь в индустрии, то сегодня это полноценный игрок рынка со своими продуктами и решениями. Радует и то, что ребята продолжают расширяться внутри – судя по моим данным, их уже более 250 человек. Ну а про их планы на вхождение в ТОП-5 отечественного киберрынка, думаю, многие уже слышали.
В-четвертых, со мной тут поделились подкастом, о котором я раньше не слышал, поэтому делюсь теперь с вами. Подкаст посвящен приватности, кибербезопасности и всему, что с этим связано. Лично мне зашло, так что вэлкам – послушать можно тут или тут.
P.S. Скоро расскажу вам про еще одно ИБшное событие, в котором сам буду принимать участие.
Ну всё, пост закончен, выдыхаем.
#Полезное
Твой Пакет Безопасности
Forwarded from Порвали два трояна
Начинаем подводить итоги 2023 года с анализа целевых атак и прогнозов, на чём сосредоточатся APT в будущем году. Все предсказания (а заодно анализ, как сбылись прошлогодние) собраны в этом посте, а здесь приведём самые интересные тезисы:
Другие прогнозы, в том числе о злонамеренном использовании AI/ML, динамике хакинга по найму, эксплойтах для мобильных и носимых устройств и роли геополитических конфликтов читайте на Securelist.
#APT #прогноз @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4
Forwarded from Авангард Медиа | Про ИБ и не только
Media is too big
VIEW IN TELEGRAM
SOC Tech — это подлинный дух инноваций, помноженный на привычный культурный контекст. Это новая, нетривиальная форма мероприятия и давно знакомые, почти родные лица. Наконец, это шанс для пришедших первыми познакомиться с ИБ-решениями, о которых остальные говорят пока только шёпотом и во сне.
Хотите узнать, как поставить передовые технологии и эффективные методики на службу вашего центра мониторинга ИБ, и хорошо провести время в компании звёзд отрасли? Приходите в «Кибердом» за день до зимы — будем обживаться вместе!
«Технологии SOC» | 30 ноября | «Кибердом» (Москва, улица 2-я Звенигородская, 12, с. 18)
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from k8s (in)security (Дмитрий Евдокимов)
Мало кто знает, но в документации
Отличная библиотека для вдохновения и оценки собственного набора политик. При желании тоже самое можно перенести и на
Google Cloud есть прям замечательная (и очень большая) библиотека правил для OPA Gatekeeper - их там порядка 90! При этом они идут с примерами как удовлетворяющих их ресурсов, так и нет (считай тесты). Отличная библиотека для вдохновения и оценки собственного набора политик. При желании тоже самое можно перенести и на
Kyverno.В США вышли рекомендации от CISA по использованию SBOM (перечня используемых компонент ПО в продукте), ниже обсужаются проблемы при таком масштабном применении SBOM.
https://www.govinfosecurity.com/cisas-new-sbom-guidance-faces-implementation-challenges-a-23579
https://www.govinfosecurity.com/cisas-new-sbom-guidance-faces-implementation-challenges-a-23579
Govinfosecurity
CISA's New SBOM Guidance Faces Implementation Challenges
The U.S. Cybersecurity and Infrastructure Security Agency published guidance that offers best practices in developing consumption processes for software bills of