Forwarded from Пакет Безопасности
Да, будет тяжело
Внимание, пост не просто душный, а очень душный. Думаю, что многие из вас знают о существовании или даже знакомы с такими платформами, как Hack The Box, TryHackMe и их сородичами. Так вот, всё это добро заточено под атакующую сторону и можем помочь тем же пентестерам на начальных этапах развития.
Да и вообще в сфере (к сожалению) устоялось мнение, что атакующая сторона – это про практику, а сторона защиты – грустные теоретики. В жизни это вообще не так, особенно, если учесть, что блютимовцы впахивают не только во время инцидентов, но и между ними, чтобы их число (инцидентов, а не безопасников) в будущем ощутимо сократилось.
Так вот, оказывается, есть практические лабораторные и для стороны защиты. И тут тоже есть две флагманских площадки – cyberdefenders и defbox. Ну и остальные тоже стоит упомянуть – раз, два и три. Так что заходите, пробуйте свои силы и развивайтесь на здоровье.
А вообще нужно помнить, что это противостояние красных и синих и двигает кибербезопасность вперед, заставляет развиваться обе стороны и преодолевать себя с каждым разом.
В этот раз я не сильно напрягался, чтобы писать понятным языком, поэтому, если у вас есть какие-то вопросы по терминам, концепциям и тому, что я тут упоминал – можем разобрать в комментариях.
#Полезное
Твой Пакет Безопасности
Внимание, пост не просто душный, а очень душный. Думаю, что многие из вас знают о существовании или даже знакомы с такими платформами, как Hack The Box, TryHackMe и их сородичами. Так вот, всё это добро заточено под атакующую сторону и можем помочь тем же пентестерам на начальных этапах развития.
Да и вообще в сфере (к сожалению) устоялось мнение, что атакующая сторона – это про практику, а сторона защиты – грустные теоретики. В жизни это вообще не так, особенно, если учесть, что блютимовцы впахивают не только во время инцидентов, но и между ними, чтобы их число (инцидентов, а не безопасников) в будущем ощутимо сократилось.
Так вот, оказывается, есть практические лабораторные и для стороны защиты. И тут тоже есть две флагманских площадки – cyberdefenders и defbox. Ну и остальные тоже стоит упомянуть – раз, два и три. Так что заходите, пробуйте свои силы и развивайтесь на здоровье.
А вообще нужно помнить, что это противостояние красных и синих и двигает кибербезопасность вперед, заставляет развиваться обе стороны и преодолевать себя с каждым разом.
В этот раз я не сильно напрягался, чтобы писать понятным языком, поэтому, если у вас есть какие-то вопросы по терминам, концепциям и тому, что я тут упоминал – можем разобрать в комментариях.
#Полезное
Твой Пакет Безопасности
👍3
https://www.googlecloudcommunity.com/gc/Community-Blog/Migrate-Off-That-Old-SIEM-Already/ba-p/705149
"If you are like us, you may be surprised that, in 2024, traditional security information and event management (SIEM) systems are still the backbone of most security operations centers (SOC). SIEMs are used for collecting and analyzing security data from across your organization to help you identify and respond to threats quickly and effectively. But if you're still using an outdated SIEM, you're putting your organization at risk."
"If you are like us, you may be surprised that, in 2024, traditional security information and event management (SIEM) systems are still the backbone of most security operations centers (SOC). SIEMs are used for collecting and analyzing security data from across your organization to help you identify and respond to threats quickly and effectively. But if you're still using an outdated SIEM, you're putting your organization at risk."
Forwarded from AlexRedSec
Специалисты Google поделились первыми результатами использования искусственного интеллекта для устранения уязвимостей программного кода.
Использование ИИ заключается во встраивании моделей LLM (large language model) в конвейер разработки для автоматического создания фиксов, выявленных ранее уязвимостей.
Несмотря на текущие ограничения как в исправляемых типах уязвимостей, так и используемых языках программирования, специалисты считают результаты многообещающими и продолжают работы по развитию продукта.
Использование ИИ заключается во встраивании моделей LLM (large language model) в конвейер разработки для автоматического создания фиксов, выявленных ранее уязвимостей.
Несмотря на текущие ограничения как в исправляемых типах уязвимостей, так и используемых языках программирования, специалисты считают результаты многообещающими и продолжают работы по развитию продукта.
Forwarded from Листок бюрократической защиты информации
⚙ ГОСТы по разработке безопасного ПО
Утверждены национальные стандарты:
— ГОСТ Р 71206-2024 «Защита информации. Разработка безопасного программного обеспечения. Безопасный компилятор языков С/С++. Общие требования».
— ГОСТ Р 71207-2024 «Защита информации. Разработка безопасного программного обеспечения. Статический анализ программного обеспечения. Общие требования».
Утверждены национальные стандарты:
— ГОСТ Р 71206-2024 «Защита информации. Разработка безопасного программного обеспечения. Безопасный компилятор языков С/С++. Общие требования».
— ГОСТ Р 71207-2024 «Защита информации. Разработка безопасного программного обеспечения. Статический анализ программного обеспечения. Общие требования».
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Кибербез образование
Аналитический отчет "Об образовании специалистов по информационной безопасности в Российской Федерации"
Центр компетенций "Кибербезопасность" НТИ Энерджинет опубликовал аналитический отчет про кадры в ИБ🤔
Краткие выводы👇
📎 "Почти в 1,5 раза выросло число людей, готовых участвовать в разработке и совершенствовании профессиональных стандартов в области информационной безопасности (с 40% в 2021 году до 57% в 2023 году)".
📎 "Почти в два раза возросла удовлетворенность работодателей подготовкой выпускников вузов (с 15% в 2021 году до 27% в 2023 году)".
📎 "Помимо этого, если в 2021 году основной интерес в качестве направления для повышения профессионального мастерства вызывали курсы по техническим мерам защиты, то в 2023 году спрос на технические, организационные меры и требования законодательства распределен практически поровну (31,8%, 23,3% и 27,1% соответственно)".
📎 "Также изменился приоритет в методологической базе. Он стал ориентирован на российские базы знаний и практик. Это отражает активные изменения подходов в обучении в связи с импортозамещением. Растет спрос на имеющиеся российские методологии, технические решения и практики их применения".
📎 "Опрошенные стабильно, почти в равных долях, считают, что узкоспециализированные кадры нужны и не нужны (примерно по 50%)".
📎 "При это остается высоким число тех, кто считает, что необходима отраслевая специфика в ИБ (75% в 2021 году и 89% в 2023 году)".
Источник
#аналитика
Центр компетенций "Кибербезопасность" НТИ Энерджинет опубликовал аналитический отчет про кадры в ИБ
Краткие выводы
📎 "Почти в 1,5 раза выросло число людей, готовых участвовать в разработке и совершенствовании профессиональных стандартов в области информационной безопасности (с 40% в 2021 году до 57% в 2023 году)".
📎 "Почти в два раза возросла удовлетворенность работодателей подготовкой выпускников вузов (с 15% в 2021 году до 27% в 2023 году)".
📎 "Помимо этого, если в 2021 году основной интерес в качестве направления для повышения профессионального мастерства вызывали курсы по техническим мерам защиты, то в 2023 году спрос на технические, организационные меры и требования законодательства распределен практически поровну (31,8%, 23,3% и 27,1% соответственно)".
📎 "Также изменился приоритет в методологической базе. Он стал ориентирован на российские базы знаний и практик. Это отражает активные изменения подходов в обучении в связи с импортозамещением. Растет спрос на имеющиеся российские методологии, технические решения и практики их применения".
📎 "Опрошенные стабильно, почти в равных долях, считают, что узкоспециализированные кадры нужны и не нужны (примерно по 50%)".
📎 "При это остается высоким число тех, кто считает, что необходима отраслевая специфика в ИБ (75% в 2021 году и 89% в 2023 году)".
Источник
#аналитика
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Пост Лукацкого
Новый год в мировой ИБ достаточно активно начался с обсуждения в разных странах и на разных уровнях, что ИБ должна быть результативной 😵 (outcome-based). Американцы, англичане, австралийцы... Но сама по себе тема не то, чтобы нова, - она давно витала в воздухе, так как несмотря на все усилия, число и ущерб от инцидентов не сокращаются 📈 . А значит надо уходить от традиционных подходов в сторону чего-то нового. И результативный кибербез кажется чем-то, что может помочь изменить ситуацию.
Сингапурцы🇸🇬 пошли дальше многих и не просто постулируют мысль, что безопасность должна приводить к измеримому выхлопу, но и дают рекомендации по заключению соответствующих контрактов 📑. Они говорят, хватит жить по госушным правилам, когда вы оплачиваете человеко-часы (headcount-based contracts). И подход "от задач" (task-based contracts) тоже уже уходит в прошлое. Четко описывайте результат 🎯, которого вы ждете от ИБ (outcome-based contracts), и пусть она вам его обеспечивает.
В своем руководстве представители этого, второго по безопасности города на Земле после Токио, дают различные примеры того, как считать стоимость таких контрактов, что указывать в разделе "стоимость услуг", как вести переговоры с поставщиками. Достаточно интересный и даже неожиданный взгляд на привычную многим историю с заключением договоров🤝
Сингапурцы
В своем руководстве представители этого, второго по безопасности города на Земле после Токио, дают различные примеры того, как считать стоимость таких контрактов, что указывать в разделе "стоимость услуг", как вести переговоры с поставщиками. Достаточно интересный и даже неожиданный взгляд на привычную многим историю с заключением договоров
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
https://medium.com/anton-on-security/google-cybersecurity-action-team-threat-horizons-report-9-is-out-a1741432bd64
https://services.google.com/fh/files/misc/threat_horizons_report_h12024.pdf
https://services.google.com/fh/files/misc/threat_horizons_report_h12024.pdf
Medium
Google Cybersecurity Action Team Threat Horizons Report #9 Is Out!
This is my completely informal, uncertified, unreviewed and otherwise completely unofficial blog inspired by my reading of our seventh…
Forwarded from Порвали два трояна
ИБ и высшее образование: невозможное комбо? 😕
Итоги исследования, проведённого нашими коллегами, показали, что более половины опрошенных ИБ-специалистов по всему миру не имеют формального послешкольного образования. При этом постранному совпадению примерно половина специалистов считает, что в их стране нет качественного высшего образования в сфере ИБ, а больше трети вообще оценивает полезность высшего образования как низкую и очень низкую.
Эти итоги не очень удивляют, учитывая что область очень быстро развивается и академическому образованию сложно поспеть, особенно когда речь идёт о практических навыках. Тем не менее, многие отмечают, что фундаментальное образование позволяет проще и быстрее получать эти самые практические навыки, а также считают, что придать высшему образованию большую актуальность вполне возможно. Три основных улучшения, которые вполне реально воплотить — больше привлекать к преподаванию специалистов-практиков, давать студентам качественную производственную практику в реальных условиях, а также обеспечить ВУЗы современными технологическими платформами ИБ.
Более подробно исследование можно изучить в нашем блоге.
@П2Т
Итоги исследования, проведённого нашими коллегами, показали, что более половины опрошенных ИБ-специалистов по всему миру не имеют формального послешкольного образования. При этом по
Эти итоги не очень удивляют, учитывая что область очень быстро развивается и академическому образованию сложно поспеть, особенно когда речь идёт о практических навыках. Тем не менее, многие отмечают, что фундаментальное образование позволяет проще и быстрее получать эти самые практические навыки, а также считают, что придать высшему образованию большую актуальность вполне возможно. Три основных улучшения, которые вполне реально воплотить — больше привлекать к преподаванию специалистов-практиков, давать студентам качественную производственную практику в реальных условиях, а также обеспечить ВУЗы современными технологическими платформами ИБ.
Более подробно исследование можно изучить в нашем блоге.
@П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1
Forwarded from Порвали два трояна
Сегодня в рубрике #Азбука_ИБ разберём довольно распространённую ситуацию — вам приходит просьба подтвердить вход в сервис (вводом одноразового кода OTP, нажатием ОК или ещё как-то), когда вы в этот сервис не входите. Иногда этот запрос — следствие простой ошибки другого пользователя, а иногда — этап в атаке на ваш аккаунт.
Пошаговая инструкция и разбор разных методов 2FA — в нашем блоге.
А для тех, кто не любит читать статьи, сделаем микроспойлер: самое главное —
@П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
Блог Касперского
Одноразовые пароли и 2FA-коды — что делать, если получаешь их, когда не запрашивал
Неожиданное сообщение с одноразовым кодом для входа может означать попытку взлома вашего аккаунта. Вот пошаговая инструкция, что делать в этом случае.
https://www.kommersant.ru/doc/6507962
"Совет федерации, который готовит законопроект о страховании киберрисков для компаний, обрабатывающих персональные данные, хочет сузить его действие только на риски утечек. Компаниям-операторам предложат либо создавать обязательный денежный фонд для компенсации вреда гражданам, чьи данные были украдены, либо страховать этот риск. Участники страхового рынка приветствуют инициативу, но, как и операторы данных, призывают конкретизировать формулировки проекта."
"Совет федерации, который готовит законопроект о страховании киберрисков для компаний, обрабатывающих персональные данные, хочет сузить его действие только на риски утечек. Компаниям-операторам предложат либо создавать обязательный денежный фонд для компенсации вреда гражданам, чьи данные были украдены, либо страховать этот риск. Участники страхового рынка приветствуют инициативу, но, как и операторы данных, призывают конкретизировать формулировки проекта."
Коммерсантъ
Данным подбирают компенсацию
Операторы смогут выбрать между страховкой и денежным фондом
https://csrc.nist.gov/pubs/sp/800/204/d/final
Integrating Software Supply Chain Security in DevSecOps CI/CD Pipelines | NIST Publishes SP 800-204D
Today, NIST is releasing Special Publication (SP) 800-204D
Integrating Software Supply Chain Security in DevSecOps CI/CD Pipelines | NIST Publishes SP 800-204D
Today, NIST is releasing Special Publication (SP) 800-204D
CSRC | NIST
NIST Special Publication (SP) 800-204D, Strategies for the Integration of Software Supply Chain Security in DevSecOps CI/CD Pipelines
The predominant application architecture for cloud-native applications consists of multiple microservices, accompanied in some instances by a centralized application infrastructure, such as a service mesh, that provides all application services. This class…