https://csrc.nist.gov/pubs/sp/800/204/d/final

Integrating Software Supply Chain Security in DevSecOps CI/CD Pipelines | NIST Publishes SP 800-204D
Today, NIST is releasing Special Publication (SP) 800-204D

https://repos.openssf.org/principles-for-package-repository-security

"The Securing Software Repositories Working Group (WG) of the OpenSSF has identified a taxonomy of package repositories and a set of principles for their security capabilities. This is intended to offer a set of best practices that package repositories should strive to adhere to....

We define 4 levels of security maturity:

Level 0 is defined as having very little security maturity.
Level 1 is defined as having basic security maturity, which includes supporting basic security features like multi-factor authentication (MFA) and allowing security researchers to report vulnerabilities. All package management ecosystems should be working towards at least this level.
Level 2 is defined as having moderate security, which includes actions like requiring MFA for critical packages and warning users of known security vulnerabilities.
Level 3 is defined as having advanced security, which includes actions like requiring MFA for all maintainers and supporting build provenance for packages. This level is more aspirational, especially for smaller package management ecosystems.
These levels are split into four tracks enumerated in the below sections:..."

Открыта регистрация на нашу 5-ю конференцию Дефкон Нижний Новгород. Напоминаем, что она пройдет 24-25 февраля 2024 года во втором корпусе ННГУ по адресу Нижний Новгород, проспект Гагарина, 23к2. Краткая программа представлена ниже, подробнее можно прочитать на сайте https://defcon-nn.ru.

24 февраля, суббота

Главная сцена
09:30 Прибытие участников
10:20 Открытие конференции // Приветственное слово от DC7831
// блок keynotes
10:40 Как работает квантовый компьютер и причём тут Ибэ // Константин Евдокимов, [MIS]Team, Москва
11:20 (Не)безопасная безопасность // Алексей Федулаев, DevSecOps Team Lead в Wildberries, Москва
12:20 Секретный доклад // Борис "dukeBarman", Яндекс, Санкт-Петербург
13:00 Концепт сети Florete: летающий Интернет будущего // Wire Snark, DC7831, НПП "Прима", Нижний Новгород
// блок hardware & tinkering
14:40 СВЧ-антенны в авиационных системах высокоскоростной передачи данных // Даниил Литовский, инженер, и Марина Манахова, ведущий инженер в НПП «Прима», Нижний Новгород
15:00 Sub-GHz дельфина: большой обзор модулей и антенн для Flipper Zero // Роман Ананьев и Антон Дурнов, DC78422, Ульяновск (при содействии FlipperAddons.com)
15:40 RutheniumOS. Забота о себе, или зачем нужна ещё одна приватная ОС на базе AOSP // Александр Вир, независимый исследователь, Москва
// блок intelligence
16:40 Как и зачем знать свой внешний периметр наравне с хакерами? // Илья Коцюба, исследователь/red team/purple team, threat intelligence
17:20 За границей osint // Скалли, независимый исследователь
18:00 Подведение итогов первого дня
19:00 Afteparty

Аудитория 310: воркшопы
// блок security & tinkering
11:00 Воркшоп по Air gap // Алиса, независимый исследователь, Москва
// блок security
14:40 Как сделать контейнеры и работу с ними безопасными // Анатолий "rusdacent", Luntry, Санкт-Петербург
17:20 Актуальные вопросы и проблемы ИБ (закрытый круглый стол) // Константин Евдокимов, [MIS]Team, Москва и Илья Коцюба, исследователь/red team/purple team, threat intelligence

Аудитория 314: CTF
Стенд WifiWall-TestZone // Сергей Иващенко, Виктор Зварыкин и Евгений Артемьев, пентестеры в компании Инфосистемы Джет, Москва

25 февраля, воскресенье

Главная сцена
10:20 Прибытие участников
// блок software
11:00 Опыт разработки оркестратора микросервисов для встроенных систем forc // Денис Королёв, инженер-программист в YADRO, Нижний Новгород и Николай Фадеев, инженер-программист в НПП "Прима", Нижний Новгород
11:20 Никто не боится D-Bus // Альберто Мардеган, ведущий разработчик в компании "Открытая мобильная платформа", Санкт-Петербург
12:00 Опыт разработки библиотеки представления и кодирования структурированных данных libucode // Вячеслав Капля, инженер-программист в НПП "Прима", Нижний Новгород
// блок security
12:40 Уязвимые API: приёмы и эксплуатация // Павел Степанов, независимый исследователь, Тула
14:20 Развитие фриланса в ИБ: вклад Bug Bounty платформ // Алексей Гришин, CPO CICADA8 команды инноваций МТС, Москва и Андрей Левкин, руководитель продукта BI.ZONE Bug Bounty, Москва
// блок management
15:00 Вредные советы для руководителя, или Как завалить любой ИТ-проект // Егор Харченко, Лаборатория Касперского
15:40 Как масштабировать команду без тимлидов: опыт плоской организации в миниатюре // Wire Snark, DC7831, НПП "Прима", Нижний Новгород
16:00 Закрытие конференции

Аудитория 310: CTF
Стенд WifiWall-TestZone // Сергей Иващенко, Виктор Зварыкин и Евгений Артемьев, пентестеры в компании Инфосистемы Джет, Москва

https://csrc.nist.gov/pubs/sp/800/66/r2/final
"Today, NIST published the final version of Special Publication (SP) 800-66r2 (Revision 2), Implementing the Health Insurance Portability and Accountability Act (HIPAA) Security Rule: A Cybersecurity Resource Guide. This publication, revised in collaboration with the U.S. Department of Health and Human Services (HHS) Office for Civil Rights, provides guidance for regulated entities (i.e., HIPAA-covered entities and business associates) on assessing and managing risks to electronic Protected Health Information (ePHI), identifies typical activities that a regulated entity might consider implementing as part of an information security program, and presents guidance that regulated entities can utilize in whole or in part to help improve their cybersecurity posture and assist with achieving compliance with the HIPAA Security Rule."

То, что казалось когда-то далеким будущим, теперь стало настоящим, а разводняк с дипфейками уже не ноу-хау.

Новый троян для iOS и Android GoldPickaxe реализует социнженерию, чтобы обмануть жертв, заставляя их сканировать свои лица и документы, удостоверяющие личность для создания дипфейков, и проведения несанкционированного доступа к банковским счетам.

Малварь является всего лишь частью пакета вредоносных ПО, разработанных китайской группой GoldFactory и, как утверждают исследователи из Group-IB, пока эти атаки нацелены в основном на Азиатско-Тихоокеанский регион.

Вместе с тем, методы могут быть эффективными по всему миру, что вызывает опасение, когда их начнут использовать другие штаммы вредоносных ПО.

Распространение Gold Pickaxe началось в октябре 2023 года и продолжается до сих пор.

Жертвы подвергаются атакам через фишинговые или смс-сообщения в приложении LINE, имитирующее государственные органы или популярные услуги и сервисы.

Троян настолько хитрый, что после установки на мобильном устройстве маскируется под госприложение и работает полуавтономно, манипулируя функциями в фоновом режиме, захватывает лицо жертвы, перехватывает входящие SMS, запрашивает документы удостоверяющие личность.

При этом проксирует сетевой трафик через зараженное устройство с использованием MicroSocks, для взаимодействия с С2 использует Websocket и HTTP.

Как сообщают эксперты, Android-версия трояна более напичканная и имеет широкий функционал вредоносных воздействий, чем в iOS, из-за высоких требований безопасности Apple.

Однако, GoldFactory активно развиваются и предполагается, что новые версии вредоносного ПО могут быть выпущены в уже ближайшем будущем.

Мы выложили запись недавнего вебинара "Соответствует ли ваш Kubernetes-кластер лучшим практикам?" продолжительность почти 1 час 30 мин! Для тех кто пропустил, содержание следующее:
- Стандарты безопасности для контейнерных сред - поговорили что вообще есть от CIS, NAS/CISA, DoD, PCI, NIST, ФСТЭК
- Очевидные и не очень вещи в CIS Kubernetes Benchmark - окунулись в него и прошлись по оригинальному документу
- Возможности Open Source решений - рассмотрели реализации kube-bench, trivy-operator, StackRox, NeuVector
- Взгляд Luntry - рассмотрели нашу реализацию с автоматизацией в 99%

Многим такой формат вебинара очень зашел (немного слайдов, изучение документов, рассмотрение исходного кода на GitHub, живая демонстрация, интерактив (его можно добавить еще больше)) и честно я сам от такого кайфанул, так как нет никаких ограничений) Так что будем продолжать делать подобное! Все равно ни одна конференция не даст возможности столько времени раскрывать тему, постоянно прыгать от одного документа/страницы к другой и т.д. Уже придумали порядка 5 тем в таком же формате!

P.S. Слайды будут добавлены в разделе "Исследования" сегодня в течении дня.

Участники рынка кибербезопасности объявили о создании комплексной программы поддержки российских ИБ-стартапов #компании

"NIST’s National Cybersecurity Center of Excellence (NCCoE) worked closely with the industry and tech community to develop the final NIST Special Publications (SP):

1800-28, Data Confidentiality: Identifying and Protecting Assets Against Data Breaches (Vol A-C)
1800-29, Data Confidentiality: Detect, Respond to, and Recover from Data Breaches (Vol A-C)"

https://www.nccoe.nist.gov/data-confidentiality-identifying-and-protecting-assets-against-data-breaches

Вышла финальная вторая версия американского фреймворка по ИБ NIST CSF 2.0.

Рекомендуется к ознакомлению как один из самых прогрессивных.

https://www.nist.gov/blogs/cybersecurity-insights/travel-update-nist-csf-20-herealong-many-helpful-resources

https://www.techrepublic.com/article/crowdstrike-2024-global-threat-report/

CrowdStrike 2024 Global Threat Report: 6 Key Takeaways

Highlights from CrowdStrike’s 2024 report:
Identity-based and social engineering attacks still take center stage.
Cloud-environment intrusions have increased by 75% from 2022 to 2023.
Third-party relationships exploitation makes it easier for attackers to hit hundreds of targets.
CrowdStrike added 34 new threat actors in 2023.
Attackers are compromising networks at a faster rate.
Attackers are targeting periphery networks.