Forwarded from Пакет Безопасности
Дорогая, я на тренировку
Как-то на одном из докладов я упоминал про то, что всем ИБшникам известны сервисы, где можно потренировать свои практические навыки в этичном хакинге и в обеспечении безопасности. А полезные ссылки так и не приложил. Настало время исправляться, поэтому ловите список тренировочных площадок и ресурсов, где можно оттачивать свои скиллы.
– Две суперзвезды на арене практического тестирования на проникновение – Hack The Box и TryHackMe
– Красивы тренажер для эксплуатации всего самого популярного, включая рейтинги OWASP – Kontra
– Сборник различных CTF-ов в одном месте – CTFtime + отечественный аналог – Codeby.games
– Для любителей Линукс-дистрибутивов – OverTheWire Bandit и Linux Journey
– Для любителей реверс-инжиниринга – Crackmes one и pwnable tw
Ну всё, запасаемся кофе и идёмразвлекаться тренироваться.
#Полезное
Твой Пакет Безопасности
Как-то на одном из докладов я упоминал про то, что всем ИБшникам известны сервисы, где можно потренировать свои практические навыки в этичном хакинге и в обеспечении безопасности. А полезные ссылки так и не приложил. Настало время исправляться, поэтому ловите список тренировочных площадок и ресурсов, где можно оттачивать свои скиллы.
– Две суперзвезды на арене практического тестирования на проникновение – Hack The Box и TryHackMe
– Красивы тренажер для эксплуатации всего самого популярного, включая рейтинги OWASP – Kontra
– Сборник различных CTF-ов в одном месте – CTFtime + отечественный аналог – Codeby.games
– Для любителей Линукс-дистрибутивов – OverTheWire Bandit и Linux Journey
– Для любителей реверс-инжиниринга – Crackmes one и pwnable tw
Ну всё, запасаемся кофе и идём
#Полезное
Твой Пакет Безопасности
👍2
Мы про NIST NICE уже писали 2 или 3 раза. Но от ещё одного обзора хуже не будет.
Forwarded from Кибербез образование
Фреймворк для развития знаний и навыков в области кибербезопасности (NICE Framework)
NICE Framework, представляет собой американский ресурс, помогающий работодателям развивать кадры в области кибербеза. Он устанавливает единый словарь, описывающий знания и навыки в области ИБ. Фреймворк применяется в гос., частном и академическом секторах США🤔
Адаптированный перевод фреймворка в виде матрицы компетенций от🟥 можно найти по ссылке.
NICE Framework состоит из следующих компонентов:
📎 Категории (7) – группа высокого уровня общих функций кибербезопасности.
📎 Специализированные области (33) – отдельные области работы в области кибербезопасности (например, см. Systems Administration).
📎 Рабочие роли (52) — наиболее подробные группы работ по кибербезопасности, состоящие из конкретных знаний, навыков и способностей, необходимых для выполнения задач в рамках рабочей роли (например, см. Systems Administration).
🔥 И это еще не все 😳 На основе NICE Framework американцы построили карьерный путь в кибербезе. Весь кибербез они разделили на пять сообществ (на рисунке): IT, Cybersecurity, Cyber Effects, Intel (Cyber) и Cross Functional. В интерактивном режиме можно выбрать одно из сообществ и увидеть, как связаны Специализированные области, чтобы построить свой карьерный трек 🤔
Отдельный сервис позволяет, как на схеме метро, указать начальную и конечную точки карьеры, а программа сама покажет знания и навыки, которые потребуются для перехода. В этот момент пользователю, конечно, предлагается пройти различные курсы и повысить свою квалификацию👀
Из интересных особенностей отметил наличие Специализированной области Knowledge Management. У нас мало внимания уделяется управлению знаниями в ИБ, таких специалистов очень сложно найти на рынке (об этом можно отдельный пост написать)😔
В качестве недостатка NICE Framework - отсутствие AI/ML, как сквозного направления в кибербезе. Это объясняется тем, что документ принят в 2017 и обновлялся последний раз в 2020 году😱
#nice_framework #модель_компетенций
NICE Framework, представляет собой американский ресурс, помогающий работодателям развивать кадры в области кибербеза. Он устанавливает единый словарь, описывающий знания и навыки в области ИБ. Фреймворк применяется в гос., частном и академическом секторах США
Адаптированный перевод фреймворка в виде матрицы компетенций от
NICE Framework состоит из следующих компонентов:
📎 Категории (7) – группа высокого уровня общих функций кибербезопасности.
📎 Специализированные области (33) – отдельные области работы в области кибербезопасности (например, см. Systems Administration).
📎 Рабочие роли (52) — наиболее подробные группы работ по кибербезопасности, состоящие из конкретных знаний, навыков и способностей, необходимых для выполнения задач в рамках рабочей роли (например, см. Systems Administration).
Отдельный сервис позволяет, как на схеме метро, указать начальную и конечную точки карьеры, а программа сама покажет знания и навыки, которые потребуются для перехода. В этот момент пользователю, конечно, предлагается пройти различные курсы и повысить свою квалификацию
Из интересных особенностей отметил наличие Специализированной области Knowledge Management. У нас мало внимания уделяется управлению знаниями в ИБ, таких специалистов очень сложно найти на рынке (об этом можно отдельный пост написать)
В качестве недостатка NICE Framework - отсутствие AI/ML, как сквозного направления в кибербезе. Это объясняется тем, что документ принят в 2017 и обновлялся последний раз в 2020 году
#nice_framework #модель_компетенций
Please open Telegram to view this post
VIEW IN TELEGRAM
👍2
Forwarded from AlexRedSec
Оказывается в этом году в Zoom придумали собственную систему оценки уязвимостей VISS - The Vulnerability Impact Scoring System.
VISS представляет собой 100-балльную систему оценки, которая рассчитывается на основании 13 метрик, объединенных в три группы. Группы сформированы на основании воздействия на определенный тип платформы, инфраструктурной сущности и типа обрабатываемых данных. При расчете оценки также учитываются применяемые компенсирующие меры.
Авторы подчеркивают, что VISS создана не с целью замены традиционной оценки CVSS, а для совместного использования - чтобы исключить субъективную составляющую при расчете опасности уязвимости по CVSS.
Помимо вышесказанного, авторы также рассказали, что предварительно "обкатали" систему оценки VISS в своей программе багбаунти на площадке H1, что помогло ее доработать и оценить эффективность.
➡️ Документация VISS
➡️ Калькулятор VISS
➡️ Репозиторий VISS
➡️ Zoom о системе VISS
VISS представляет собой 100-балльную систему оценки, которая рассчитывается на основании 13 метрик, объединенных в три группы. Группы сформированы на основании воздействия на определенный тип платформы, инфраструктурной сущности и типа обрабатываемых данных. При расчете оценки также учитываются применяемые компенсирующие меры.
Авторы подчеркивают, что VISS создана не с целью замены традиционной оценки CVSS, а для совместного использования - чтобы исключить субъективную составляющую при расчете опасности уязвимости по CVSS.
Помимо вышесказанного, авторы также рассказали, что предварительно "обкатали" систему оценки VISS в своей программе багбаунти на площадке H1, что помогло ее доработать и оценить эффективность.
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Листок бюрократической защиты информации
Требования ИБ СУБД.pdf
87.7 KB
На сайте ФСТЭК России опубликована выписка из Требований по безопасности информации к СУБД, утверждённых приказом ФСТЭК России от 14.04.2023 № 64.
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from k8s (in)security (Дмитрий Евдокимов)
Сегодня мы хотим поделиться с вами нашими слайдами с доклада «EDR vs Containers: актуальные проблемы» с конференции SOC-Forum 2023. Данное исследование это совместная работа команды Luntry и команды
Данный доклад посвящён теме
Особое внимание уделено сигнатурного способу детектирования. На реальных примерах атак демонстрируется неэффективность данного способа в контейнерных средах. Все это на примерах для правил
P.S. Видео выступления можно найти тут, пока отдельным роликом оно не доступно.
Solar 4RAYS.Данный доклад посвящён теме
container runtime security и старается полностью раскрыть данную тему как со стороны реализации агентов для контроля за этим, заканчивая способами детектирования с их сильными и слабыми сторонами. Особое внимание уделено сигнатурного способу детектирования. На реальных примерах атак демонстрируется неэффективность данного способа в контейнерных средах. Все это на примерах для правил
Falco, НО это применимо и к другим сигнатурным движкам таким как Tracee, Tetragon, которые в свою очередь могут лежать в основе других решений (про них есть другие исследования). Опять же повторимся, что это все именно про сигнатурный способ детектирования, а не конкретные проблемы Falco!P.S. Видео выступления можно найти тут, пока отдельным роликом оно не доступно.
Forwarded from Листок бюрократической защиты информации
Проект ГОСТ Р 56939.pdf
607.5 KB
На сайте ФСТЭК России можно ознакомиться с проектом национального стандарта ГОСТ Р 56939 «Защита информации. Разработка безопасного программного обеспечения. Общие требования».
Please open Telegram to view this post
VIEW IN TELEGRAM
https://www.nccoe.nist.gov/crypto-agility-considerations-migrating-post-quantum-cryptographic-algorithms
"The NIST National Cybersecurity Center of Excellence (NCCoE) has released two preliminary draft practice guides for Migration to Post-Quantum Cryptography Project for public comment. The comment period is open now through January 26, 2024.
NIST SP 1800-38B, Quantum Readiness: Cryptographic Discovery, is a preliminary draft offering (1) a functional test plan that exercises the cryptographic discovery tools to determine baseline capabilities; (2) a use case scenario to provide context and scope our demonstration; (3) an examination of the threats addressed in this demonstration; (4) a multifaceted approach to start the discovery process that most organizations can start today; and (5) a high-level architecture based on our use case that integrates contributed discovery tools in our lab.
NIST SP 1800-38C, Quantum Readiness: Testing Draft Standards for Interoperability and Performance, is a preliminary draft offering (1) identification of compatibility issues between quantum ready algorithms, (2) resolution of compatibility issues in a controlled, non-production environment, and (3) reduction of time spent by individual organizations performing similar interoperability testing for their own PQC migration efforts."
"The NIST National Cybersecurity Center of Excellence (NCCoE) has released two preliminary draft practice guides for Migration to Post-Quantum Cryptography Project for public comment. The comment period is open now through January 26, 2024.
NIST SP 1800-38B, Quantum Readiness: Cryptographic Discovery, is a preliminary draft offering (1) a functional test plan that exercises the cryptographic discovery tools to determine baseline capabilities; (2) a use case scenario to provide context and scope our demonstration; (3) an examination of the threats addressed in this demonstration; (4) a multifaceted approach to start the discovery process that most organizations can start today; and (5) a high-level architecture based on our use case that integrates contributed discovery tools in our lab.
NIST SP 1800-38C, Quantum Readiness: Testing Draft Standards for Interoperability and Performance, is a preliminary draft offering (1) identification of compatibility issues between quantum ready algorithms, (2) resolution of compatibility issues in a controlled, non-production environment, and (3) reduction of time spent by individual organizations performing similar interoperability testing for their own PQC migration efforts."
NCCoE
Migration to Post-Quantum Cryptography | NCCoE
Project AbstractThe scope of this project is to demonstrate our lab practices that can reduce how long will it take to deploy a set of tools that are quantum safe. The Migration to Post-Quantum Cryptography project seeks to demonstrate practices that reduce…
Forwarded from Пост Лукацкого
MITRE Engenuity Center for Threat-Informed Defense (Center) анонсировал новый проект SMAP (The Sensor Mappings to ATT&CK Project), который еще больше облегчает специалистам по обнаружению инцидентов ИБ маппинг различных типов событий, регистрируемых различными популярными инструментами, с техниками из MITRE ATT&CK. За счет такого маппинга можно выявлять отдельные события или цепочки событий ИБ.
В настоящий момент в SMAP маппятся следующие инструменты регистрации событий:
1️⃣ Auditd
2️⃣ CloudTrail
3️⃣ OSQuery
4️⃣ Sysmon
5️⃣ WinEvtx
6️⃣ ZEEK (бывшая Bro)
Авторы SMAP считают, что проект поможет ответить на три животрепещущих вопроса, которые волнуют специалистов по ИБ разного уровня:
1️⃣ Какие известные техники могут быть обнаружены моими инструментами (из списка выше)?
2️⃣ Если я добавлю инструмент Х, то как изменятся мои возможности по обнаружению?
3️⃣ Я волнуюсь по поводу выпущенного TI-отчета и хочу убедиться, что в моей сети не было описанных индикаторов.
Добавлю, что в моей прошлой жизни, во время аудитов SOCов и анализа их возможностей, мы делали тоже самое в ручную с помощью ATT&CK Navigator. SMAP ускоряет эту работу, но пока только для описанных типов сенсоров для Windows, Linux, облаков AWS и сетевого трафика.
В настоящий момент в SMAP маппятся следующие инструменты регистрации событий:
Авторы SMAP считают, что проект поможет ответить на три животрепещущих вопроса, которые волнуют специалистов по ИБ разного уровня:
Добавлю, что в моей прошлой жизни, во время аудитов SOCов и анализа их возможностей, мы делали тоже самое в ручную с помощью ATT&CK Navigator. SMAP ускоряет эту работу, но пока только для описанных типов сенсоров для Windows, Linux, облаков AWS и сетевого трафика.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
"Today, the NIST National Cybersecurity Center of Excellence (NCCoE) published Final NIST IR 8432, Cybersecurity of Genomic Data. This report summarizes the current practices, challenges, and proposed solutions for securing genomic data, as identified by genomic data stakeholders from industry, government, and academia"
https://doi.org/10.6028/NIST.IR.8432
https://doi.org/10.6028/NIST.IR.8432
Forwarded from Пост Лукацкого
Я уже не раз обращался к теме написания резюме и в последней статье 2 года назад специально сфокусировался на важной моменте при написании резюме ✍️ а именно на фиксации результатов, которые были достигнуты кандидатом на замещение вакантной должности. Ведь на работу берут за то, что сделал человек, а не за то, что он делал. Вроде разница в одну букву, но она колоссальная. Во втором случае речь о процессе, который в худшем случае вырождается в бег на месте; ну или в бег по кругу. А вот в первом случае вы достигли некой цели и получили результат. Попробовал набросать примеров, которые показывают реальный результат в резюме ИБшника.
Please open Telegram to view this post
VIEW IN TELEGRAM
Бизнес без опасности - Блог, выступления, статьи, лекции, книги и немного юмора про кибербезопасность от Алексея Лукацкого
Что является результатом деятельности ИБшника или вновь о том, как писать резюме
Я уже не раз обращался к теме написания резюме и в последней статье 2 года назад специально сфокусировался на важной моменте при написании резюме, а именно на фиксации результатов, которые были достигнуты кандидатом на замещение вакантной должности. Ведь…
Forwarded from Порвали два трояна
delinea-wp-future-of-workplace-passwords-survery-report.pdf
2 MB
Довольно интересный западный опрос крупных компаний по поводу парольных политик и перехода на беспарольные методы аутентификации.
Разумеется, как и у нас,
При этом правда, 43% компаний хотя бы частично заменили/дополнили пароли биометрией или ключами доступа.
Отдельным препятствием для перехода на passwordless называют соблюдение регуляторных требований. Многие compliance-документы явно описывают требования к надёжности пароля, и доказать соблюдение этих требований, когда паролей вообще нет, довольно проблематично.
Среди непарольных факторов аутентификации опрошенные выше всего оценивают биометрию (58%), за которой с большим отставанием идут разного рода OTP и аппаратные ключи (по 37%).
Глядя на всё это, складывается впечатление, что кражам токенов, фишингу и прочим сложившимся схемам получения преступниками первоначального доступа к инфраструктуре ничего не грозит ещё многие годы.
#статистика @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
https://safecodeconf.ru/
Конференция обещает быть интересной, рекомендуется ближе к дате вернутся и оценить программу.
Конференция обещает быть интересной, рекомендуется ближе к дате вернутся и оценить программу.
SafeCode 2024 Autumn. Конференция по безопасности приложений
SafeCode 2024 Autumn — конференция по безопасности приложений от JUG Ru Group. Обсуждаем инструменты и процессы, анализ уязвимостей и построение защиты, стандарты и политики, а также карьеру в AppSec.
Forwarded from k8s (in)security (Дмитрий Евдокимов)
Наши друзья из
Мы с радостью приняли в этом участие и высказали свое мнение по различным его итогам - в первую очередь, конечно, по моментам связанным с безопасностью)
Приятно чтения и все хороших выходных!
P.S. На следующей неделе начнем подводить итоги года =)
VK Cloud недавно пригласили нас поучаствовать в качестве экспертов по Kubernetes и по безопасности в нем в их исследование "State of Kubernetes"!Мы с радостью приняли в этом участие и высказали свое мнение по различным его итогам - в первую очередь, конечно, по моментам связанным с безопасностью)
Приятно чтения и все хороших выходных!
P.S. На следующей неделе начнем подводить итоги года =)
Forwarded from SecAtor
IBM Security совместно с Ponemon Institute выпустили ежегодный отчет с ключевыми выводами и финансовыми оценками по утечкам данных в 2023 году на основе аналитики по 553 нарушениям в 16 странах и 17 отраслях.
Средняя стоимость утечек данных почти неуклонно растет с 2017 года. В 2017 году средняя стоимость составила «всего» 3,62 миллиона $.
В 2023 году он достиг рекордного максимума в 4,45 млн $. За последние три года средние затраты на взлом увеличились на 15%.
Детализация отраслевой специфики показывает, что самые дорогостоящие нарушения были в здравоохранении (10,93 млн долларов США), финансах (5,9 млн $), фармацевтике (4,82 млн $), энергетике (4,78 млн $) и промышленности (4,73 млн $).
С географической точки зрения самые «дорогие» нарушения произошли в США (9,48 млн $), на Ближнем Востоке (8,07 млн долларов США) и Канаде (5,13 млн $).
Исходя из начальной вектора атаки: фишинг является наиболее распространенным способом взлома организаций, а также вторым по стоимости взломом для организаций (4,76 млн $).
Скомпрометированные учетные данные также широко используются и обходятся довольно дорого (4,62 млн $).
Злоумышленники-инсайдеры являются гораздо менее распространенным вектором атаки. Однако они являются самыми дорогостоящими нарушениями (4,9 млн $).
В свою очередь, только 51% организации намерены увеличивать инвестиции в безопасность после взлома.
Из них 50% будут инвестировать в пентесты, 46% - в обучение сотрудников и 38% - в технологии обнаружения угроз и реагирования на них.
Еще один ключевой выход: использование DevSecOps, развертывание групп реагирования на инциденты, а также внедрение автоматизации и ИИ привело к значительной экономии.
Практикующие ИИ и автоматизацию в своей среде, сэкономили в среднем 1,76 млн $ на каждом взломе по сравнению с теми, кто этого не делает. Они также сэкономили 108 дней в реагировании на нарушения.
1,68 млн $ сэкономлено организациями, использовавшими подход DevSecOps, и 1,49 млн $ - с командой реагирования на инциденты и регулярным тестированием.
39% взломанных данных хранились в различных типах сред: общедоступных, частных, гибридных облаках или даже локальных. Затраты утечки этих данных также были выше на 750 000 $.
Кроме того, время локализации нарушения также было самым высоким для этих данных и достигло 291 дня, что на 15 дней больше, чем средний показатель.
Обнаружение взлома силами служб ИБ и привлечение правоохранителей привело к экономии средств.
Помимо статистики в отчете можно ознакомиться с рекомендациями, средствами смягчения последствий и передовым опытом на этом направлении.
Средняя стоимость утечек данных почти неуклонно растет с 2017 года. В 2017 году средняя стоимость составила «всего» 3,62 миллиона $.
В 2023 году он достиг рекордного максимума в 4,45 млн $. За последние три года средние затраты на взлом увеличились на 15%.
Детализация отраслевой специфики показывает, что самые дорогостоящие нарушения были в здравоохранении (10,93 млн долларов США), финансах (5,9 млн $), фармацевтике (4,82 млн $), энергетике (4,78 млн $) и промышленности (4,73 млн $).
С географической точки зрения самые «дорогие» нарушения произошли в США (9,48 млн $), на Ближнем Востоке (8,07 млн долларов США) и Канаде (5,13 млн $).
Исходя из начальной вектора атаки: фишинг является наиболее распространенным способом взлома организаций, а также вторым по стоимости взломом для организаций (4,76 млн $).
Скомпрометированные учетные данные также широко используются и обходятся довольно дорого (4,62 млн $).
Злоумышленники-инсайдеры являются гораздо менее распространенным вектором атаки. Однако они являются самыми дорогостоящими нарушениями (4,9 млн $).
В свою очередь, только 51% организации намерены увеличивать инвестиции в безопасность после взлома.
Из них 50% будут инвестировать в пентесты, 46% - в обучение сотрудников и 38% - в технологии обнаружения угроз и реагирования на них.
Еще один ключевой выход: использование DevSecOps, развертывание групп реагирования на инциденты, а также внедрение автоматизации и ИИ привело к значительной экономии.
Практикующие ИИ и автоматизацию в своей среде, сэкономили в среднем 1,76 млн $ на каждом взломе по сравнению с теми, кто этого не делает. Они также сэкономили 108 дней в реагировании на нарушения.
1,68 млн $ сэкономлено организациями, использовавшими подход DevSecOps, и 1,49 млн $ - с командой реагирования на инциденты и регулярным тестированием.
39% взломанных данных хранились в различных типах сред: общедоступных, частных, гибридных облаках или даже локальных. Затраты утечки этих данных также были выше на 750 000 $.
Кроме того, время локализации нарушения также было самым высоким для этих данных и достигло 291 дня, что на 15 дней больше, чем средний показатель.
Обнаружение взлома силами служб ИБ и привлечение правоохранителей привело к экономии средств.
Помимо статистики в отчете можно ознакомиться с рекомендациями, средствами смягчения последствий и передовым опытом на этом направлении.
Ibm
Cost of a data breach 2025 | IBM
IBM’s global Cost of a Data Breach Report 2025 provides up-to-date insights into cybersecurity threats and their financial impacts on organizations.