Forwarded from Листок бюрократической защиты информации
⚙ ГОСТы по разработке безопасного ПО
Утверждены национальные стандарты:
— ГОСТ Р 71206-2024 «Защита информации. Разработка безопасного программного обеспечения. Безопасный компилятор языков С/С++. Общие требования».
— ГОСТ Р 71207-2024 «Защита информации. Разработка безопасного программного обеспечения. Статический анализ программного обеспечения. Общие требования».
Утверждены национальные стандарты:
— ГОСТ Р 71206-2024 «Защита информации. Разработка безопасного программного обеспечения. Безопасный компилятор языков С/С++. Общие требования».
— ГОСТ Р 71207-2024 «Защита информации. Разработка безопасного программного обеспечения. Статический анализ программного обеспечения. Общие требования».
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Кибербез образование
Аналитический отчет "Об образовании специалистов по информационной безопасности в Российской Федерации"
Центр компетенций "Кибербезопасность" НТИ Энерджинет опубликовал аналитический отчет про кадры в ИБ🤔
Краткие выводы👇
📎 "Почти в 1,5 раза выросло число людей, готовых участвовать в разработке и совершенствовании профессиональных стандартов в области информационной безопасности (с 40% в 2021 году до 57% в 2023 году)".
📎 "Почти в два раза возросла удовлетворенность работодателей подготовкой выпускников вузов (с 15% в 2021 году до 27% в 2023 году)".
📎 "Помимо этого, если в 2021 году основной интерес в качестве направления для повышения профессионального мастерства вызывали курсы по техническим мерам защиты, то в 2023 году спрос на технические, организационные меры и требования законодательства распределен практически поровну (31,8%, 23,3% и 27,1% соответственно)".
📎 "Также изменился приоритет в методологической базе. Он стал ориентирован на российские базы знаний и практик. Это отражает активные изменения подходов в обучении в связи с импортозамещением. Растет спрос на имеющиеся российские методологии, технические решения и практики их применения".
📎 "Опрошенные стабильно, почти в равных долях, считают, что узкоспециализированные кадры нужны и не нужны (примерно по 50%)".
📎 "При это остается высоким число тех, кто считает, что необходима отраслевая специфика в ИБ (75% в 2021 году и 89% в 2023 году)".
Источник
#аналитика
Центр компетенций "Кибербезопасность" НТИ Энерджинет опубликовал аналитический отчет про кадры в ИБ
Краткие выводы
📎 "Почти в 1,5 раза выросло число людей, готовых участвовать в разработке и совершенствовании профессиональных стандартов в области информационной безопасности (с 40% в 2021 году до 57% в 2023 году)".
📎 "Почти в два раза возросла удовлетворенность работодателей подготовкой выпускников вузов (с 15% в 2021 году до 27% в 2023 году)".
📎 "Помимо этого, если в 2021 году основной интерес в качестве направления для повышения профессионального мастерства вызывали курсы по техническим мерам защиты, то в 2023 году спрос на технические, организационные меры и требования законодательства распределен практически поровну (31,8%, 23,3% и 27,1% соответственно)".
📎 "Также изменился приоритет в методологической базе. Он стал ориентирован на российские базы знаний и практик. Это отражает активные изменения подходов в обучении в связи с импортозамещением. Растет спрос на имеющиеся российские методологии, технические решения и практики их применения".
📎 "Опрошенные стабильно, почти в равных долях, считают, что узкоспециализированные кадры нужны и не нужны (примерно по 50%)".
📎 "При это остается высоким число тех, кто считает, что необходима отраслевая специфика в ИБ (75% в 2021 году и 89% в 2023 году)".
Источник
#аналитика
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Пост Лукацкого
Новый год в мировой ИБ достаточно активно начался с обсуждения в разных странах и на разных уровнях, что ИБ должна быть результативной 😵 (outcome-based). Американцы, англичане, австралийцы... Но сама по себе тема не то, чтобы нова, - она давно витала в воздухе, так как несмотря на все усилия, число и ущерб от инцидентов не сокращаются 📈 . А значит надо уходить от традиционных подходов в сторону чего-то нового. И результативный кибербез кажется чем-то, что может помочь изменить ситуацию.
Сингапурцы🇸🇬 пошли дальше многих и не просто постулируют мысль, что безопасность должна приводить к измеримому выхлопу, но и дают рекомендации по заключению соответствующих контрактов 📑. Они говорят, хватит жить по госушным правилам, когда вы оплачиваете человеко-часы (headcount-based contracts). И подход "от задач" (task-based contracts) тоже уже уходит в прошлое. Четко описывайте результат 🎯, которого вы ждете от ИБ (outcome-based contracts), и пусть она вам его обеспечивает.
В своем руководстве представители этого, второго по безопасности города на Земле после Токио, дают различные примеры того, как считать стоимость таких контрактов, что указывать в разделе "стоимость услуг", как вести переговоры с поставщиками. Достаточно интересный и даже неожиданный взгляд на привычную многим историю с заключением договоров🤝
Сингапурцы
В своем руководстве представители этого, второго по безопасности города на Земле после Токио, дают различные примеры того, как считать стоимость таких контрактов, что указывать в разделе "стоимость услуг", как вести переговоры с поставщиками. Достаточно интересный и даже неожиданный взгляд на привычную многим историю с заключением договоров
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
https://medium.com/anton-on-security/google-cybersecurity-action-team-threat-horizons-report-9-is-out-a1741432bd64
https://services.google.com/fh/files/misc/threat_horizons_report_h12024.pdf
https://services.google.com/fh/files/misc/threat_horizons_report_h12024.pdf
Medium
Google Cybersecurity Action Team Threat Horizons Report #9 Is Out!
This is my completely informal, uncertified, unreviewed and otherwise completely unofficial blog inspired by my reading of our seventh…
Forwarded from Порвали два трояна
ИБ и высшее образование: невозможное комбо? 😕
Итоги исследования, проведённого нашими коллегами, показали, что более половины опрошенных ИБ-специалистов по всему миру не имеют формального послешкольного образования. При этом постранному совпадению примерно половина специалистов считает, что в их стране нет качественного высшего образования в сфере ИБ, а больше трети вообще оценивает полезность высшего образования как низкую и очень низкую.
Эти итоги не очень удивляют, учитывая что область очень быстро развивается и академическому образованию сложно поспеть, особенно когда речь идёт о практических навыках. Тем не менее, многие отмечают, что фундаментальное образование позволяет проще и быстрее получать эти самые практические навыки, а также считают, что придать высшему образованию большую актуальность вполне возможно. Три основных улучшения, которые вполне реально воплотить — больше привлекать к преподаванию специалистов-практиков, давать студентам качественную производственную практику в реальных условиях, а также обеспечить ВУЗы современными технологическими платформами ИБ.
Более подробно исследование можно изучить в нашем блоге.
@П2Т
Итоги исследования, проведённого нашими коллегами, показали, что более половины опрошенных ИБ-специалистов по всему миру не имеют формального послешкольного образования. При этом по
Эти итоги не очень удивляют, учитывая что область очень быстро развивается и академическому образованию сложно поспеть, особенно когда речь идёт о практических навыках. Тем не менее, многие отмечают, что фундаментальное образование позволяет проще и быстрее получать эти самые практические навыки, а также считают, что придать высшему образованию большую актуальность вполне возможно. Три основных улучшения, которые вполне реально воплотить — больше привлекать к преподаванию специалистов-практиков, давать студентам качественную производственную практику в реальных условиях, а также обеспечить ВУЗы современными технологическими платформами ИБ.
Более подробно исследование можно изучить в нашем блоге.
@П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1
Forwarded from Порвали два трояна
Сегодня в рубрике #Азбука_ИБ разберём довольно распространённую ситуацию — вам приходит просьба подтвердить вход в сервис (вводом одноразового кода OTP, нажатием ОК или ещё как-то), когда вы в этот сервис не входите. Иногда этот запрос — следствие простой ошибки другого пользователя, а иногда — этап в атаке на ваш аккаунт.
Пошаговая инструкция и разбор разных методов 2FA — в нашем блоге.
А для тех, кто не любит читать статьи, сделаем микроспойлер: самое главное —
@П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
Блог Касперского
Одноразовые пароли и 2FA-коды — что делать, если получаешь их, когда не запрашивал
Неожиданное сообщение с одноразовым кодом для входа может означать попытку взлома вашего аккаунта. Вот пошаговая инструкция, что делать в этом случае.
https://www.kommersant.ru/doc/6507962
"Совет федерации, который готовит законопроект о страховании киберрисков для компаний, обрабатывающих персональные данные, хочет сузить его действие только на риски утечек. Компаниям-операторам предложат либо создавать обязательный денежный фонд для компенсации вреда гражданам, чьи данные были украдены, либо страховать этот риск. Участники страхового рынка приветствуют инициативу, но, как и операторы данных, призывают конкретизировать формулировки проекта."
"Совет федерации, который готовит законопроект о страховании киберрисков для компаний, обрабатывающих персональные данные, хочет сузить его действие только на риски утечек. Компаниям-операторам предложат либо создавать обязательный денежный фонд для компенсации вреда гражданам, чьи данные были украдены, либо страховать этот риск. Участники страхового рынка приветствуют инициативу, но, как и операторы данных, призывают конкретизировать формулировки проекта."
Коммерсантъ
Данным подбирают компенсацию
Операторы смогут выбрать между страховкой и денежным фондом
https://csrc.nist.gov/pubs/sp/800/204/d/final
Integrating Software Supply Chain Security in DevSecOps CI/CD Pipelines | NIST Publishes SP 800-204D
Today, NIST is releasing Special Publication (SP) 800-204D
Integrating Software Supply Chain Security in DevSecOps CI/CD Pipelines | NIST Publishes SP 800-204D
Today, NIST is releasing Special Publication (SP) 800-204D
CSRC | NIST
NIST Special Publication (SP) 800-204D, Strategies for the Integration of Software Supply Chain Security in DevSecOps CI/CD Pipelines
The predominant application architecture for cloud-native applications consists of multiple microservices, accompanied in some instances by a centralized application infrastructure, such as a service mesh, that provides all application services. This class…
Forwarded from Егор Погорелко
Коллеги, с радостью хочу проинформировать о том, что с начала марта по конец мая на базе МГТУ им. Н.Э. Баумана при активном участии кафедры ИУ10 «Защита информации» для студентов и гостей Университета пройдет масштабнейший цикл из 12 лекций по названию и охвату слушателей, но семинаров по сути под общим названием "Школа фундаментальных технологий РБПО"!💛
Доклады будут попарно объединены в тематические дни, посвященные:
◀️ Фундаментальным технологиям системного ПО и взгляду на них через призму безопасной разработки (блок 1);
◀️ Практической безопасности ПО и информационных систем (блок 2).
Доклады будут носить техническо- публицистический характер, рассчитанный на широкий круг увлеченных слушателей, а вести их будут инженеры-евангелисты, признанные знатоки своих направлений, сотрудники компаний - активных участников нашего сообщества: «Базальт СПО»😀 , «Лаборатория Касперского»😍 , «Postgres Professional»💻 , «Ред Софт»😁 , «YADRO», «Базис», «Axiom JDK», «Профископ»( «CodeScoring»)❤️ , «Luntry»💻 и независимый open-source разработчик Никита Соболев💻 .
Отдельно хочется отметить, что цикл проводится при непосредственной поддержке ректора МГТУ им. Н.Э. Баумана, а эффектным завершением первого блока станут личные выступления уважаемых спикеров:
◀️ Заместителя директора ФСТЭК России Виталия Сергеевича Лютикова
◀️ Академика РАН, директора ИСП РАН👨💻 Арутюна Ишхановича Аветисяна!
👥 Приглашаем к участию вас и ваших друзей и коллег, а также заинтересованных студентов из столичных и региональных вузов! Подробности можно найти на сайте мероприятия и в телеграм-боте✈️ .
🗓️ Точные даты тематических дней будут анонсироваться позднее, однако регистрация уже открыта!
За идею мероприятия и личный весомый вклад в коммуникацию участников благодарим неутомимого труженика и евангелиста безопасной разработки @DmitryJustDmitry!
Который также может прокомментировать и раскрыть, что это за зверь и почему стоит прийти:)
Доклады будут попарно объединены в тематические дни, посвященные:
Доклады будут носить техническо- публицистический характер, рассчитанный на широкий круг увлеченных слушателей, а вести их будут инженеры-евангелисты, признанные знатоки своих направлений, сотрудники компаний - активных участников нашего сообщества: «Базальт СПО»
Отдельно хочется отметить, что цикл проводится при непосредственной поддержке ректора МГТУ им. Н.Э. Баумана, а эффектным завершением первого блока станут личные выступления уважаемых спикеров:
За идею мероприятия и личный весомый вклад в коммуникацию участников благодарим неутомимого труженика и евангелиста безопасной разработки @DmitryJustDmitry!
Который также может прокомментировать и раскрыть, что это за зверь и почему стоит прийти:)
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4
https://repos.openssf.org/principles-for-package-repository-security
"The Securing Software Repositories Working Group (WG) of the OpenSSF has identified a taxonomy of package repositories and a set of principles for their security capabilities. This is intended to offer a set of best practices that package repositories should strive to adhere to....
We define 4 levels of security maturity:
Level 0 is defined as having very little security maturity.
Level 1 is defined as having basic security maturity, which includes supporting basic security features like multi-factor authentication (MFA) and allowing security researchers to report vulnerabilities. All package management ecosystems should be working towards at least this level.
Level 2 is defined as having moderate security, which includes actions like requiring MFA for critical packages and warning users of known security vulnerabilities.
Level 3 is defined as having advanced security, which includes actions like requiring MFA for all maintainers and supporting build provenance for packages. This level is more aspirational, especially for smaller package management ecosystems.
These levels are split into four tracks enumerated in the below sections:..."
"The Securing Software Repositories Working Group (WG) of the OpenSSF has identified a taxonomy of package repositories and a set of principles for their security capabilities. This is intended to offer a set of best practices that package repositories should strive to adhere to....
We define 4 levels of security maturity:
Level 0 is defined as having very little security maturity.
Level 1 is defined as having basic security maturity, which includes supporting basic security features like multi-factor authentication (MFA) and allowing security researchers to report vulnerabilities. All package management ecosystems should be working towards at least this level.
Level 2 is defined as having moderate security, which includes actions like requiring MFA for critical packages and warning users of known security vulnerabilities.
Level 3 is defined as having advanced security, which includes actions like requiring MFA for all maintainers and supporting build provenance for packages. This level is more aspirational, especially for smaller package management ecosystems.
These levels are split into four tracks enumerated in the below sections:..."
wg-securing-software-repos
Principles for Package Repository Security
OpenSSF Working Group on Securing Software Repositories
Forwarded from DC7831 Info Channel (Wire Snark)
Открыта регистрация на нашу 5-ю конференцию Дефкон Нижний Новгород. Напоминаем, что она пройдет 24-25 февраля 2024 года во втором корпусе ННГУ по адресу Нижний Новгород, проспект Гагарина, 23к2. Краткая программа представлена ниже, подробнее можно прочитать на сайте https://defcon-nn.ru.
24 февраля, суббота
Главная сцена
09:30 Прибытие участников
10:20 Открытие конференции // Приветственное слово от DC7831
10:40 Как работает квантовый компьютер и причём тут Ибэ // Константин Евдокимов, [MIS]Team, Москва
11:20 (Не)безопасная безопасность // Алексей Федулаев, DevSecOps Team Lead в Wildberries, Москва
12:20 Секретный доклад // Борис "dukeBarman", Яндекс, Санкт-Петербург
13:00 Концепт сети Florete: летающий Интернет будущего // Wire Snark, DC7831, НПП "Прима", Нижний Новгород
14:40 СВЧ-антенны в авиационных системах высокоскоростной передачи данных // Даниил Литовский, инженер, и Марина Манахова, ведущий инженер в НПП «Прима», Нижний Новгород
15:00 Sub-GHz дельфина: большой обзор модулей и антенн для Flipper Zero // Роман Ананьев и Антон Дурнов, DC78422, Ульяновск (при содействии FlipperAddons.com)
15:40 RutheniumOS. Забота о себе, или зачем нужна ещё одна приватная ОС на базе AOSP // Александр Вир, независимый исследователь, Москва
16:40 Как и зачем знать свой внешний периметр наравне с хакерами? // Илья Коцюба, исследователь/red team/purple team, threat intelligence
17:20 За границей osint // Скалли, независимый исследователь
18:00 Подведение итогов первого дня
19:00 Afteparty
Аудитория 310: воркшопы
11:00 Воркшоп по Air gap // Алиса, независимый исследователь, Москва
14:40 Как сделать контейнеры и работу с ними безопасными // Анатолий "rusdacent", Luntry, Санкт-Петербург
17:20 Актуальные вопросы и проблемы ИБ (закрытый круглый стол) // Константин Евдокимов, [MIS]Team, Москва и Илья Коцюба, исследователь/red team/purple team, threat intelligence
Аудитория 314: CTF
Стенд WifiWall-TestZone // Сергей Иващенко, Виктор Зварыкин и Евгений Артемьев, пентестеры в компании Инфосистемы Джет, Москва
25 февраля, воскресенье
Главная сцена
10:20 Прибытие участников
11:00 Опыт разработки оркестратора микросервисов для встроенных систем forc // Денис Королёв, инженер-программист в YADRO, Нижний Новгород и Николай Фадеев, инженер-программист в НПП "Прима", Нижний Новгород
11:20 Никто не боится D-Bus // Альберто Мардеган, ведущий разработчик в компании "Открытая мобильная платформа", Санкт-Петербург
12:00 Опыт разработки библиотеки представления и кодирования структурированных данных libucode // Вячеслав Капля, инженер-программист в НПП "Прима", Нижний Новгород
12:40 Уязвимые API: приёмы и эксплуатация // Павел Степанов, независимый исследователь, Тула
14:20 Развитие фриланса в ИБ: вклад Bug Bounty платформ // Алексей Гришин, CPO CICADA8 команды инноваций МТС, Москва и Андрей Левкин, руководитель продукта BI.ZONE Bug Bounty, Москва
15:00 Вредные советы для руководителя, или Как завалить любой ИТ-проект // Егор Харченко, Лаборатория Касперского
15:40 Как масштабировать команду без тимлидов: опыт плоской организации в миниатюре // Wire Snark, DC7831, НПП "Прима", Нижний Новгород
16:00 Закрытие конференции
Аудитория 310: CTF
Стенд WifiWall-TestZone // Сергей Иващенко, Виктор Зварыкин и Евгений Артемьев, пентестеры в компании Инфосистемы Джет, Москва
24 февраля, суббота
Главная сцена
09:30 Прибытие участников
10:20 Открытие конференции // Приветственное слово от DC7831
// блок keynotes10:40 Как работает квантовый компьютер и причём тут Ибэ // Константин Евдокимов, [MIS]Team, Москва
11:20 (Не)безопасная безопасность // Алексей Федулаев, DevSecOps Team Lead в Wildberries, Москва
12:20 Секретный доклад // Борис "dukeBarman", Яндекс, Санкт-Петербург
13:00 Концепт сети Florete: летающий Интернет будущего // Wire Snark, DC7831, НПП "Прима", Нижний Новгород
// блок hardware & tinkering 14:40 СВЧ-антенны в авиационных системах высокоскоростной передачи данных // Даниил Литовский, инженер, и Марина Манахова, ведущий инженер в НПП «Прима», Нижний Новгород
15:00 Sub-GHz дельфина: большой обзор модулей и антенн для Flipper Zero // Роман Ананьев и Антон Дурнов, DC78422, Ульяновск (при содействии FlipperAddons.com)
15:40 RutheniumOS. Забота о себе, или зачем нужна ещё одна приватная ОС на базе AOSP // Александр Вир, независимый исследователь, Москва
// блок intelligence16:40 Как и зачем знать свой внешний периметр наравне с хакерами? // Илья Коцюба, исследователь/red team/purple team, threat intelligence
17:20 За границей osint // Скалли, независимый исследователь
18:00 Подведение итогов первого дня
19:00 Afteparty
Аудитория 310: воркшопы
// блок security & tinkering11:00 Воркшоп по Air gap // Алиса, независимый исследователь, Москва
// блок security 14:40 Как сделать контейнеры и работу с ними безопасными // Анатолий "rusdacent", Luntry, Санкт-Петербург
17:20 Актуальные вопросы и проблемы ИБ (закрытый круглый стол) // Константин Евдокимов, [MIS]Team, Москва и Илья Коцюба, исследователь/red team/purple team, threat intelligence
Аудитория 314: CTF
Стенд WifiWall-TestZone // Сергей Иващенко, Виктор Зварыкин и Евгений Артемьев, пентестеры в компании Инфосистемы Джет, Москва
25 февраля, воскресенье
Главная сцена
10:20 Прибытие участников
// блок software11:00 Опыт разработки оркестратора микросервисов для встроенных систем forc // Денис Королёв, инженер-программист в YADRO, Нижний Новгород и Николай Фадеев, инженер-программист в НПП "Прима", Нижний Новгород
11:20 Никто не боится D-Bus // Альберто Мардеган, ведущий разработчик в компании "Открытая мобильная платформа", Санкт-Петербург
12:00 Опыт разработки библиотеки представления и кодирования структурированных данных libucode // Вячеслав Капля, инженер-программист в НПП "Прима", Нижний Новгород
// блок security 12:40 Уязвимые API: приёмы и эксплуатация // Павел Степанов, независимый исследователь, Тула
14:20 Развитие фриланса в ИБ: вклад Bug Bounty платформ // Алексей Гришин, CPO CICADA8 команды инноваций МТС, Москва и Андрей Левкин, руководитель продукта BI.ZONE Bug Bounty, Москва
// блок management15:00 Вредные советы для руководителя, или Как завалить любой ИТ-проект // Егор Харченко, Лаборатория Касперского
15:40 Как масштабировать команду без тимлидов: опыт плоской организации в миниатюре // Wire Snark, DC7831, НПП "Прима", Нижний Новгород
16:00 Закрытие конференции
Аудитория 310: CTF
Стенд WifiWall-TestZone // Сергей Иващенко, Виктор Зварыкин и Евгений Артемьев, пентестеры в компании Инфосистемы Джет, Москва
Google Docs
Регистрация на конференцию DEFCON Нижний Новгород
- если вам понадобится розетка, просим по возможности захватить свой удлинитель/сетевой фильтр