Forwarded from k8s (in)security (Дмитрий Евдокимов)
Мы выложили запись недавнего вебинара "Соответствует ли ваш Kubernetes-кластер лучшим практикам?" продолжительность почти 1 час 30 мин! Для тех кто пропустил, содержание следующее:
- Стандарты безопасности для контейнерных сред - поговорили что вообще есть от
- Очевидные и не очень вещи в
- Возможности
- Взгляд Luntry - рассмотрели нашу реализацию с автоматизацией в
Многим такой формат вебинара очень зашел (немного слайдов, изучение документов, рассмотрение исходного кода на
P.S. Слайды будут добавлены в разделе "Исследования" сегодня в течении дня.
- Стандарты безопасности для контейнерных сред - поговорили что вообще есть от
CIS, NAS/CISA, DoD, PCI, NIST, ФСТЭК- Очевидные и не очень вещи в
CIS Kubernetes Benchmark - окунулись в него и прошлись по оригинальному документу- Возможности
Open Source решений - рассмотрели реализации kube-bench, trivy-operator, StackRox, NeuVector- Взгляд Luntry - рассмотрели нашу реализацию с автоматизацией в
99%Многим такой формат вебинара очень зашел (немного слайдов, изучение документов, рассмотрение исходного кода на
GitHub, живая демонстрация, интерактив (его можно добавить еще больше)) и честно я сам от такого кайфанул, так как нет никаких ограничений) Так что будем продолжать делать подобное! Все равно ни одна конференция не даст возможности столько времени раскрывать тему, постоянно прыгать от одного документа/страницы к другой и т.д. Уже придумали порядка 5 тем в таком же формате!P.S. Слайды будут добавлены в разделе "Исследования" сегодня в течении дня.
YouTube
Вебинар «Соответствует ли ваш Kubernetes кластер лучшим практикам?»
#kubernetessecurity #k8ssecurity #luntry
«Соответствует ли ваш Kubernetes кластер лучшим практикам?» Дмитрий Евдокимов, Luntry
В рамках вебинара мы поделимся опытом и знаниями команды Luntry о таких compliance-моментах, как:
• Стандарты безопасности для…
«Соответствует ли ваш Kubernetes кластер лучшим практикам?» Дмитрий Евдокимов, Luntry
В рамках вебинара мы поделимся опытом и знаниями команды Luntry о таких compliance-моментах, как:
• Стандарты безопасности для…
👍4👎1
Forwarded from DigitalRussia (D-Russia.ru)
Участники рынка кибербезопасности объявили о создании комплексной программы поддержки российских ИБ-стартапов #компании
👍1
"NIST’s National Cybersecurity Center of Excellence (NCCoE) worked closely with the industry and tech community to develop the final NIST Special Publications (SP):
1800-28, Data Confidentiality: Identifying and Protecting Assets Against Data Breaches (Vol A-C)
1800-29, Data Confidentiality: Detect, Respond to, and Recover from Data Breaches (Vol A-C)"
https://www.nccoe.nist.gov/data-confidentiality-identifying-and-protecting-assets-against-data-breaches
1800-28, Data Confidentiality: Identifying and Protecting Assets Against Data Breaches (Vol A-C)
1800-29, Data Confidentiality: Detect, Respond to, and Recover from Data Breaches (Vol A-C)"
https://www.nccoe.nist.gov/data-confidentiality-identifying-and-protecting-assets-against-data-breaches
NCCoE
Data Confidentiality: Identifying and Protecting Assets Against Data Breaches | NCCoE
Project AbstractAn organization’s data is one of its most valuable assets and must be protected from unauthorized access and disclosure. Large and small data breaches can impact the ability of an organization to survive as operational and financial data,…
Вышла финальная вторая версия американского фреймворка по ИБ NIST CSF 2.0.
Рекомендуется к ознакомлению как один из самых прогрессивных.
https://www.nist.gov/blogs/cybersecurity-insights/travel-update-nist-csf-20-herealong-many-helpful-resources
Рекомендуется к ознакомлению как один из самых прогрессивных.
https://www.nist.gov/blogs/cybersecurity-insights/travel-update-nist-csf-20-herealong-many-helpful-resources
NIST
Travel Update! The NIST CSF 2.0 is HERE…Along with Many Helpful Resources…
NIST CSF 2.0 QUICK LINKS | Explore our Full Suite of Resources
👍2
https://www.techrepublic.com/article/crowdstrike-2024-global-threat-report/
CrowdStrike 2024 Global Threat Report: 6 Key Takeaways
Highlights from CrowdStrike’s 2024 report:
Identity-based and social engineering attacks still take center stage.
Cloud-environment intrusions have increased by 75% from 2022 to 2023.
Third-party relationships exploitation makes it easier for attackers to hit hundreds of targets.
CrowdStrike added 34 new threat actors in 2023.
Attackers are compromising networks at a faster rate.
Attackers are targeting periphery networks.
CrowdStrike 2024 Global Threat Report: 6 Key Takeaways
Highlights from CrowdStrike’s 2024 report:
Identity-based and social engineering attacks still take center stage.
Cloud-environment intrusions have increased by 75% from 2022 to 2023.
Third-party relationships exploitation makes it easier for attackers to hit hundreds of targets.
CrowdStrike added 34 new threat actors in 2023.
Attackers are compromising networks at a faster rate.
Attackers are targeting periphery networks.
TechRepublic
CrowdStrike 2024 Global Threat Report: 6 Key Takeaways
Identity-based and social engineering attacks still take center stage, according to the CrowdStrike 2024 Global Threat Report.
👍1
NIST has published the final version of Internal Report (IR) 8472, Non-Fungible Token Security.
https://csrc.nist.gov/pubs/ir/8472/final
https://csrc.nist.gov/pubs/ir/8472/final
CSRC | NIST
NIST Internal or Interagency Report (NISTIR) 8472, Non-Fungible Token Security
Non-fungible token (NFT) technology provides a mechanism to enable real assets (both virtual and physical) to be sold and exchanged on a blockchain. While NFTs are most often used for autographing digital assets (associating one’s name with a digital object)…
Запись семинара NIST по защите данных и приватности с субтитрами.
https://www.nccoe.nist.gov/get-involved/attend-events/cybersecurity-connections-event-and-networking-lunch-data-security-and/post-event-materials
https://www.nccoe.nist.gov/get-involved/attend-events/cybersecurity-connections-event-and-networking-lunch-data-security-and/post-event-materials
NCCoE
Cybersecurity Connections Event and Networking Lunch: Data Security and Privacy | NCCoE
В США стоимость ущерба от мошенничества с криптовалютами за год превысила ущерб от фишинга (BEC -business email compromise ).
https://www.scmagazine.com/news/fbi-cybercrime-cost-americans-over-12-5b-in-2023
https://www.scmagazine.com/news/fbi-cybercrime-cost-americans-over-12-5b-in-2023
SC Media
FBI: Cybercrime cost Americans over $12.5B in 2023
Reported losses suffered by U.S. victims of ransomware attacks jumped 74% last year, according to the agency’s latest IC3 annual report.
"PCI SSC is planning a revision to the currently published version of the Secure Software Standard v1.2.1 and its supporting Program documentation. The PCI Secure Software Standard is one of two standards in the PCI Software Security Framework (SSF)"
https://blog.pcisecuritystandards.org/request-for-comments-pci-secure-software-standard-v1-2-1
https://blog.pcisecuritystandards.org/request-for-comments-pci-secure-software-standard-v1-2-1
blog.pcisecuritystandards.org
Request for Comments: PCI Secure Software Standard v1.2.1
From 11 March to 11 April, eligible PCI SSC stakeholders are invited to review and provide feedback on the currently published version of the PCI Secure Software Standard during a 30-day request for comments (RFC) period.
Forwarded from DevSecOps Talks
Поиск секретов… в видео!
Всем привет!
Нет, это не совсем обычный пост про yet another Secret Finding решение, работающее с исходными кодами.
В этот раз все немного интереснее – поиск секретов в видеоматериалах! Например, кто-то записывал вебинар или инструкцию об использовании продукта и случайно «засветил» важную информацию. Как ее быстро найти?
Примерно для таких случаев команда GitLab разработала собственное решение(которое выложила в open source) , анализирующая видео с YouTube!
Работает по следующему принципу:
🍭 Разбитие видео на frames
🍭 Использованием Optical Character Recognition (OCR) для каждого frame
🍭 Анализ полученного текста с использованием известных Secret Patterns
Больше деталей, например, о том какие технологии используются «внутри», какова архитектура, как и почему команда GitLab их выбрала, какие из них дают лучший frame rate analysis – обо всем этом можно узнать в статье. Интересно и необычно, рекомендуем!
P.S. Кроме того в статье можно найти информацию об особенностях распознавании секретов в видеоматериалах (пусть и «расшифрованных») в сравнении с анализом исходных кодов
Всем привет!
Нет, это не совсем обычный пост про yet another Secret Finding решение, работающее с исходными кодами.
В этот раз все немного интереснее – поиск секретов в видеоматериалах! Например, кто-то записывал вебинар или инструкцию об использовании продукта и случайно «засветил» важную информацию. Как ее быстро найти?
Примерно для таких случаев команда GitLab разработала собственное решение
Работает по следующему принципу:
🍭 Разбитие видео на frames
🍭 Использованием Optical Character Recognition (OCR) для каждого frame
🍭 Анализ полученного текста с использованием известных Secret Patterns
Больше деталей, например, о том какие технологии используются «внутри», какова архитектура, как и почему команда GitLab их выбрала, какие из них дают лучший frame rate analysis – обо всем этом можно узнать в статье. Интересно и необычно, рекомендуем!
P.S. Кроме того в статье можно найти информацию об особенностях распознавании секретов в видеоматериалах (пусть и «расшифрованных») в сравнении с анализом исходных кодов
Forwarded from SecAtor
Исследователи из Лаборатории Касперского представили аналитику по итогам 2023 года в отношении спама и фишинга.
Статистические показатели не радуют: 45,60% писем по всему миру и 46,59% писем в Рунете были спамом, причем 31,45% всех спамовых писем были отправлены из России.
По телеметрии показатели также растут: решения ЛК заблокировали 135 980 457 вредоносных почтовых вложений и 709 590 011 попыток перехода по фишинговым ссылкам, включая более 62 тысяч в Telegram.
Киберпреступники чаще всего таргетировали фишинг на геймеров под видом рассылки выгодных предложений, приглашений к тестированию новых версий игр и участию в сделках с внутриигровыми ценностями.
Традиционно задействовалась схема со льготами и компенсациями, особенно по части налогов. Для этого дизайн сайтов, предлагающих компенсации, в деталях соответствовал реальным ресурсам налоговых органов США, Великобритании, Сингапура, Франции и других стран.
Скамеры в 2023 году заманивали жертв не только деньгами. Так, была придумана довольно оригинальная схема, где пользователей приглашали поучаствовать в лотерее, чтобы выиграть визу для иммиграции в другую страну ради работы или учебы.
Помимо выплат и лотерей, в 2023 году мошенники распространяли предложения быстрого заработка: задания, опросы и тп.
Но самым прибыльным для киберподполья в 2023 году являлся фишинг, направленный на кражу учетных данных криптокошельков. Для этого хакеры имитировали новый проект CryptoGPT (с мая 2023 года — LayerAI), а также криптовалютную биржу CommEX.
Криптовалюту в качестве приманки использовали и скам-ресурсы, заманивая предложениями заработка через «чудесный» скрипт.
Примечательно, что в 2023 году киберпреступники также расширили свой арсенал приманок. Например, попался сайт, имитирующий электронную книгу о пенсионной реформе, для ознакомления с которой нужно было зарегистрироваться и оформить бесплатную подписку, привязав к аккаунту банковскую карту.
Значительная доля фишинговых атак в 2023 году приходилась на социальные сети и мессенджеры. В русскоязычном сегменте стала популярной тема голосования за участников онлайн-конкурсов, благодаря которой злоумышленники получали доступ к аккаунту WhatsApp жертвы.
Учитывая рост популярности Telegram 2023 году злоумышленники придумали тонну приманок для пользователей мессенджера. Не обошлось без ИИ и QR, которые, можно сказать, стали одними из главных трендов в сфере фишинга и сама.
Не обошлось в 2023 году и без писем от вымогателей. Например, в декабре фиксировалась рассылка, в которой злоумышленники угрожали разослать близким получателя видео интимного характера, якобы снятое в результате взлома устройства.
Для распространения вредоносных файлов мошенники в 2023 году продолжили маскировать свои рассылки под письма от государственных органов.
На самом деле, отчет получился достаточно объемный и содержательный, всего не перескажешь, особенно массу примеров и инфографики. Так что настоятельно рекомендуем.
Статистические показатели не радуют: 45,60% писем по всему миру и 46,59% писем в Рунете были спамом, причем 31,45% всех спамовых писем были отправлены из России.
По телеметрии показатели также растут: решения ЛК заблокировали 135 980 457 вредоносных почтовых вложений и 709 590 011 попыток перехода по фишинговым ссылкам, включая более 62 тысяч в Telegram.
Киберпреступники чаще всего таргетировали фишинг на геймеров под видом рассылки выгодных предложений, приглашений к тестированию новых версий игр и участию в сделках с внутриигровыми ценностями.
Традиционно задействовалась схема со льготами и компенсациями, особенно по части налогов. Для этого дизайн сайтов, предлагающих компенсации, в деталях соответствовал реальным ресурсам налоговых органов США, Великобритании, Сингапура, Франции и других стран.
Скамеры в 2023 году заманивали жертв не только деньгами. Так, была придумана довольно оригинальная схема, где пользователей приглашали поучаствовать в лотерее, чтобы выиграть визу для иммиграции в другую страну ради работы или учебы.
Помимо выплат и лотерей, в 2023 году мошенники распространяли предложения быстрого заработка: задания, опросы и тп.
Но самым прибыльным для киберподполья в 2023 году являлся фишинг, направленный на кражу учетных данных криптокошельков. Для этого хакеры имитировали новый проект CryptoGPT (с мая 2023 года — LayerAI), а также криптовалютную биржу CommEX.
Криптовалюту в качестве приманки использовали и скам-ресурсы, заманивая предложениями заработка через «чудесный» скрипт.
Примечательно, что в 2023 году киберпреступники также расширили свой арсенал приманок. Например, попался сайт, имитирующий электронную книгу о пенсионной реформе, для ознакомления с которой нужно было зарегистрироваться и оформить бесплатную подписку, привязав к аккаунту банковскую карту.
Значительная доля фишинговых атак в 2023 году приходилась на социальные сети и мессенджеры. В русскоязычном сегменте стала популярной тема голосования за участников онлайн-конкурсов, благодаря которой злоумышленники получали доступ к аккаунту WhatsApp жертвы.
Учитывая рост популярности Telegram 2023 году злоумышленники придумали тонну приманок для пользователей мессенджера. Не обошлось без ИИ и QR, которые, можно сказать, стали одними из главных трендов в сфере фишинга и сама.
Не обошлось в 2023 году и без писем от вымогателей. Например, в декабре фиксировалась рассылка, в которой злоумышленники угрожали разослать близким получателя видео интимного характера, якобы снятое в результате взлома устройства.
Для распространения вредоносных файлов мошенники в 2023 году продолжили маскировать свои рассылки под письма от государственных органов.
На самом деле, отчет получился достаточно объемный и содержательный, всего не перескажешь, особенно массу примеров и инфографики. Так что настоятельно рекомендуем.
Securelist
Отчет «Лаборатории Касперского» по спаму и фишингу за 2023 год
Отчет содержит статистику по спаму и фишингу за 2023 год, а также описывает основные тренды: искусственный интеллект, фишинг в мессенджерах, многоязычные BEC-атаки и др.