Запись семинара NIST по защите данных и приватности с субтитрами.
https://www.nccoe.nist.gov/get-involved/attend-events/cybersecurity-connections-event-and-networking-lunch-data-security-and/post-event-materials
https://www.nccoe.nist.gov/get-involved/attend-events/cybersecurity-connections-event-and-networking-lunch-data-security-and/post-event-materials
NCCoE
Cybersecurity Connections Event and Networking Lunch: Data Security and Privacy | NCCoE
В США стоимость ущерба от мошенничества с криптовалютами за год превысила ущерб от фишинга (BEC -business email compromise ).
https://www.scmagazine.com/news/fbi-cybercrime-cost-americans-over-12-5b-in-2023
https://www.scmagazine.com/news/fbi-cybercrime-cost-americans-over-12-5b-in-2023
SC Media
FBI: Cybercrime cost Americans over $12.5B in 2023
Reported losses suffered by U.S. victims of ransomware attacks jumped 74% last year, according to the agency’s latest IC3 annual report.
"PCI SSC is planning a revision to the currently published version of the Secure Software Standard v1.2.1 and its supporting Program documentation. The PCI Secure Software Standard is one of two standards in the PCI Software Security Framework (SSF)"
https://blog.pcisecuritystandards.org/request-for-comments-pci-secure-software-standard-v1-2-1
https://blog.pcisecuritystandards.org/request-for-comments-pci-secure-software-standard-v1-2-1
blog.pcisecuritystandards.org
Request for Comments: PCI Secure Software Standard v1.2.1
From 11 March to 11 April, eligible PCI SSC stakeholders are invited to review and provide feedback on the currently published version of the PCI Secure Software Standard during a 30-day request for comments (RFC) period.
Forwarded from DevSecOps Talks
Поиск секретов… в видео!
Всем привет!
Нет, это не совсем обычный пост про yet another Secret Finding решение, работающее с исходными кодами.
В этот раз все немного интереснее – поиск секретов в видеоматериалах! Например, кто-то записывал вебинар или инструкцию об использовании продукта и случайно «засветил» важную информацию. Как ее быстро найти?
Примерно для таких случаев команда GitLab разработала собственное решение(которое выложила в open source) , анализирующая видео с YouTube!
Работает по следующему принципу:
🍭 Разбитие видео на frames
🍭 Использованием Optical Character Recognition (OCR) для каждого frame
🍭 Анализ полученного текста с использованием известных Secret Patterns
Больше деталей, например, о том какие технологии используются «внутри», какова архитектура, как и почему команда GitLab их выбрала, какие из них дают лучший frame rate analysis – обо всем этом можно узнать в статье. Интересно и необычно, рекомендуем!
P.S. Кроме того в статье можно найти информацию об особенностях распознавании секретов в видеоматериалах (пусть и «расшифрованных») в сравнении с анализом исходных кодов
Всем привет!
Нет, это не совсем обычный пост про yet another Secret Finding решение, работающее с исходными кодами.
В этот раз все немного интереснее – поиск секретов в видеоматериалах! Например, кто-то записывал вебинар или инструкцию об использовании продукта и случайно «засветил» важную информацию. Как ее быстро найти?
Примерно для таких случаев команда GitLab разработала собственное решение
Работает по следующему принципу:
🍭 Разбитие видео на frames
🍭 Использованием Optical Character Recognition (OCR) для каждого frame
🍭 Анализ полученного текста с использованием известных Secret Patterns
Больше деталей, например, о том какие технологии используются «внутри», какова архитектура, как и почему команда GitLab их выбрала, какие из них дают лучший frame rate analysis – обо всем этом можно узнать в статье. Интересно и необычно, рекомендуем!
P.S. Кроме того в статье можно найти информацию об особенностях распознавании секретов в видеоматериалах (пусть и «расшифрованных») в сравнении с анализом исходных кодов
Forwarded from SecAtor
Исследователи из Лаборатории Касперского представили аналитику по итогам 2023 года в отношении спама и фишинга.
Статистические показатели не радуют: 45,60% писем по всему миру и 46,59% писем в Рунете были спамом, причем 31,45% всех спамовых писем были отправлены из России.
По телеметрии показатели также растут: решения ЛК заблокировали 135 980 457 вредоносных почтовых вложений и 709 590 011 попыток перехода по фишинговым ссылкам, включая более 62 тысяч в Telegram.
Киберпреступники чаще всего таргетировали фишинг на геймеров под видом рассылки выгодных предложений, приглашений к тестированию новых версий игр и участию в сделках с внутриигровыми ценностями.
Традиционно задействовалась схема со льготами и компенсациями, особенно по части налогов. Для этого дизайн сайтов, предлагающих компенсации, в деталях соответствовал реальным ресурсам налоговых органов США, Великобритании, Сингапура, Франции и других стран.
Скамеры в 2023 году заманивали жертв не только деньгами. Так, была придумана довольно оригинальная схема, где пользователей приглашали поучаствовать в лотерее, чтобы выиграть визу для иммиграции в другую страну ради работы или учебы.
Помимо выплат и лотерей, в 2023 году мошенники распространяли предложения быстрого заработка: задания, опросы и тп.
Но самым прибыльным для киберподполья в 2023 году являлся фишинг, направленный на кражу учетных данных криптокошельков. Для этого хакеры имитировали новый проект CryptoGPT (с мая 2023 года — LayerAI), а также криптовалютную биржу CommEX.
Криптовалюту в качестве приманки использовали и скам-ресурсы, заманивая предложениями заработка через «чудесный» скрипт.
Примечательно, что в 2023 году киберпреступники также расширили свой арсенал приманок. Например, попался сайт, имитирующий электронную книгу о пенсионной реформе, для ознакомления с которой нужно было зарегистрироваться и оформить бесплатную подписку, привязав к аккаунту банковскую карту.
Значительная доля фишинговых атак в 2023 году приходилась на социальные сети и мессенджеры. В русскоязычном сегменте стала популярной тема голосования за участников онлайн-конкурсов, благодаря которой злоумышленники получали доступ к аккаунту WhatsApp жертвы.
Учитывая рост популярности Telegram 2023 году злоумышленники придумали тонну приманок для пользователей мессенджера. Не обошлось без ИИ и QR, которые, можно сказать, стали одними из главных трендов в сфере фишинга и сама.
Не обошлось в 2023 году и без писем от вымогателей. Например, в декабре фиксировалась рассылка, в которой злоумышленники угрожали разослать близким получателя видео интимного характера, якобы снятое в результате взлома устройства.
Для распространения вредоносных файлов мошенники в 2023 году продолжили маскировать свои рассылки под письма от государственных органов.
На самом деле, отчет получился достаточно объемный и содержательный, всего не перескажешь, особенно массу примеров и инфографики. Так что настоятельно рекомендуем.
Статистические показатели не радуют: 45,60% писем по всему миру и 46,59% писем в Рунете были спамом, причем 31,45% всех спамовых писем были отправлены из России.
По телеметрии показатели также растут: решения ЛК заблокировали 135 980 457 вредоносных почтовых вложений и 709 590 011 попыток перехода по фишинговым ссылкам, включая более 62 тысяч в Telegram.
Киберпреступники чаще всего таргетировали фишинг на геймеров под видом рассылки выгодных предложений, приглашений к тестированию новых версий игр и участию в сделках с внутриигровыми ценностями.
Традиционно задействовалась схема со льготами и компенсациями, особенно по части налогов. Для этого дизайн сайтов, предлагающих компенсации, в деталях соответствовал реальным ресурсам налоговых органов США, Великобритании, Сингапура, Франции и других стран.
Скамеры в 2023 году заманивали жертв не только деньгами. Так, была придумана довольно оригинальная схема, где пользователей приглашали поучаствовать в лотерее, чтобы выиграть визу для иммиграции в другую страну ради работы или учебы.
Помимо выплат и лотерей, в 2023 году мошенники распространяли предложения быстрого заработка: задания, опросы и тп.
Но самым прибыльным для киберподполья в 2023 году являлся фишинг, направленный на кражу учетных данных криптокошельков. Для этого хакеры имитировали новый проект CryptoGPT (с мая 2023 года — LayerAI), а также криптовалютную биржу CommEX.
Криптовалюту в качестве приманки использовали и скам-ресурсы, заманивая предложениями заработка через «чудесный» скрипт.
Примечательно, что в 2023 году киберпреступники также расширили свой арсенал приманок. Например, попался сайт, имитирующий электронную книгу о пенсионной реформе, для ознакомления с которой нужно было зарегистрироваться и оформить бесплатную подписку, привязав к аккаунту банковскую карту.
Значительная доля фишинговых атак в 2023 году приходилась на социальные сети и мессенджеры. В русскоязычном сегменте стала популярной тема голосования за участников онлайн-конкурсов, благодаря которой злоумышленники получали доступ к аккаунту WhatsApp жертвы.
Учитывая рост популярности Telegram 2023 году злоумышленники придумали тонну приманок для пользователей мессенджера. Не обошлось без ИИ и QR, которые, можно сказать, стали одними из главных трендов в сфере фишинга и сама.
Не обошлось в 2023 году и без писем от вымогателей. Например, в декабре фиксировалась рассылка, в которой злоумышленники угрожали разослать близким получателя видео интимного характера, якобы снятое в результате взлома устройства.
Для распространения вредоносных файлов мошенники в 2023 году продолжили маскировать свои рассылки под письма от государственных органов.
На самом деле, отчет получился достаточно объемный и содержательный, всего не перескажешь, особенно массу примеров и инфографики. Так что настоятельно рекомендуем.
Securelist
Отчет «Лаборатории Касперского» по спаму и фишингу за 2023 год
Отчет содержит статистику по спаму и фишингу за 2023 год, а также описывает основные тренды: искусственный интеллект, фишинг в мессенджерах, многоязычные BEC-атаки и др.
Linux foundation выпустила open source антифрод под одной из самых мягких лицензий - apache 2.0.
https://www.linuxfoundation.org/press/linux-foundation-launches-tazama-for-real-time-fraud-management?
https://www.linuxfoundation.org/press/linux-foundation-launches-tazama-for-real-time-fraud-management?
www.linuxfoundation.org
Linux Foundation Launches Tazama: A Revolutionary Open Source Solution for Real-Time Fraud Management
Tazama is the first open source platform for financial monitoring and fraud detection.
Forwarded from Privacy Advocates
🌐Международной организацией по стандартизации (International Organization for Standardization) был опубликован стандарт 29100:2024 «Информационная технология. Методы и средства обеспечения безопасности. Концепция защиты персональных данных» (Information technology - Security techniques - Privacy framework). В стандарте сформулированы принципы и меры по защите неприкосновенности частной жизни.
🔸В России адаптирована как ГОСТ Р ИСО/МЭК 29100-2021 «Информационная технология. Методы и средства обеспечения безопасности. Основы обеспечения приватности» предыдущая версия этого стандарта от 2018г.
🔸В России адаптирована как ГОСТ Р ИСО/МЭК 29100-2021 «Информационная технология. Методы и средства обеспечения безопасности. Основы обеспечения приватности» предыдущая версия этого стандарта от 2018г.
ISO
ISO/IEC 29100:2024
Information technology — Security techniques — Privacy framework
👍1
https://www.infosecurity-magazine.com/news/nsa-top-10-cloud-security/
"The top 10 cloud security mitigation strategies are:
1.Uphold the Cloud Shared Responsibility Model
2.Use Secure Cloud Identity and Access Management Practices.
3.Use Secure Cloud Key Management Practices.
4.Implement Network Segmentation and Encryption in Cloud Environments.
5.Secure Data in the Cloud.
6.Defending Continuous Integration/Continuous Delivery (CI/CD) Environments.
7.Enforce Secure Automated Deployment Practices through Infrastructure as Code.
8.Account for Complexities Introduced by Hybrid Cloud and Multi-Cloud Environments.
9.Mitigate Risks from Managed Service Providers in Cloud Environments.
10.Manage Cloud Logs for Effective Threat Hunting.
Each strategy comes with an additional cybersecurity information sheet detailing how to implement it."
"The top 10 cloud security mitigation strategies are:
1.Uphold the Cloud Shared Responsibility Model
2.Use Secure Cloud Identity and Access Management Practices.
3.Use Secure Cloud Key Management Practices.
4.Implement Network Segmentation and Encryption in Cloud Environments.
5.Secure Data in the Cloud.
6.Defending Continuous Integration/Continuous Delivery (CI/CD) Environments.
7.Enforce Secure Automated Deployment Practices through Infrastructure as Code.
8.Account for Complexities Introduced by Hybrid Cloud and Multi-Cloud Environments.
9.Mitigate Risks from Managed Service Providers in Cloud Environments.
10.Manage Cloud Logs for Effective Threat Hunting.
Each strategy comes with an additional cybersecurity information sheet detailing how to implement it."
Infosecurity Magazine
NSA Launches Top 10 Cloud Security Mitigation Strategies
The advisory is associated with ten companion cybersecurity information sheets detailing how to implement each strategy
Forwarded from Управление Уязвимостями и прочее
Повелитель CVEшек: кризис NVD. На сайте NVD сейчас висит баннер:
"NIST в настоящее время работает над созданием консорциума для решения проблем программы NVD и разработки улучшенных инструментов и методов. Во время этого перехода вы увидите временные задержки в анализе. Приносим извинения за неудобства и просим вас проявить терпение, пока мы работаем над улучшением программы NVD."
Фактически это привело к тому, что NVD полностью прекратили обогащать данные по CVE (CVSS, CWE, CPE). И в мировом около-VM-ном комьюнити нарастают панические настроения. Все привыкли использовать общедоступный контент NVD и относились к его обновлению как к чему-то разумеющемуся. Оказалось, что всё может прекратиться и разбираться откуда брать технические данные для каждой уязвимости придётся самим. 🤷♂️ Самоорганизовываться, как детишкам в "Повелителе мух" Голдинга. 🙂🐚🐷🪰
Я пока верю, что это временные трудности, которые решатся реорганизацией NVD. Но если нет, то занятно будет посмотреть к чему это приведёт. 🌝
@avleonovrus #NVD
"NIST в настоящее время работает над созданием консорциума для решения проблем программы NVD и разработки улучшенных инструментов и методов. Во время этого перехода вы увидите временные задержки в анализе. Приносим извинения за неудобства и просим вас проявить терпение, пока мы работаем над улучшением программы NVD."
Фактически это привело к тому, что NVD полностью прекратили обогащать данные по CVE (CVSS, CWE, CPE). И в мировом около-VM-ном комьюнити нарастают панические настроения. Все привыкли использовать общедоступный контент NVD и относились к его обновлению как к чему-то разумеющемуся. Оказалось, что всё может прекратиться и разбираться откуда брать технические данные для каждой уязвимости придётся самим. 🤷♂️ Самоорганизовываться, как детишкам в "Повелителе мух" Голдинга. 🙂🐚🐷🪰
Я пока верю, что это временные трудности, которые решатся реорганизацией NVD. Но если нет, то занятно будет посмотреть к чему это приведёт. 🌝
@avleonovrus #NVD
Forwarded from SecAtor
Изучив рейтинг OWASP Top Ten, исследователи из Лаборатории Касперского решили поделиться своими соображениями по поводу распределения наиболее значимых уязвимостей через призму наработанного опыта, представив собственный рейтинг.
Для этого собрали данные из выборки проектов по анализу защищенности веб-приложений за 2021–2023 гг.
География анализируемых приложений - преимущественно Россия, Китай и страны Ближнего Востока.
Подавляющее большинство проектов (83%) было выполнено методом черного и серого ящиков, что позволило выявлять четыре из пяти (с доступом к исходному коду) наиболее распространенных типов уязвимостей.
Несмотря на то, что метод белого ящика позволяет найти больше уязвимостей в приложении, анализ методом черного и серого ящиков помогает посмотреть на приложение с точки зрения злоумышленника и выявить наиболее приоритетные для устранения уязвимости.
Теперь, подробнее по результатам.
Почти 70% всех проанализированных приложений содержали уязвимости, связанные с недостатками контроля доступа. Почти половина всех обнаруженных уязвимостей была среднего уровня риска, еще 37% — высокого.
На втором месте - раскрытие чувствительной информации, но данная категория в отличие от первой содержит больше уязвимостей низкого уровня риска.
Популярность облачной и микросервисной архитектуры постоянно растет, что, в свою очередь, увеличивает поверхность для атак типа SSRF. Более половины приложений (57%) содержали уязвимость, которая позволяла злоумышленнику взаимодействовать с внутренними сервисами в обход логики приложения.
За 2021–2023 годы наибольшее количество проблем высокого уровня риска относились к SQL-уязвимостям, но только только 43% всех изученных веб-приложений содержали уязвимость данного типа, которые могут привести к получению конфиденциальных данных или RCE.
XSS-уязвимости, несмотря на статистику в 61%, оказались на 5 месте, поскольку в большинстве случаев данная уязвимость имела средний уровень риска.
Шестую строчку заняли уязвимости, связанные с недостатками аутентификации, из них 47% среднего уровня риска, но были и серьезные, позволявшие получить доступ к веб-приложению от имени клиента заказчика.
Чуть меньше половины приложений имело небезопасные настройки конфигурации, начиная от включенного режима отладки и до не включенной аутентификации.
Более трети всех приложений позволяли проводить атаки, направленные на подбор учетных данных.
На 9 месте с 22% - это слабые пароли, а 10-ая, но не менее важная категория распространенных уязвимостей — использование компонентов с известными ошибками.
Более подробно ознакомиться с каждой категорией и примерами можно в отчете, где помимо самих уязвимостей представлены также и конкретные рекомендации по каждой из них.
Для этого собрали данные из выборки проектов по анализу защищенности веб-приложений за 2021–2023 гг.
География анализируемых приложений - преимущественно Россия, Китай и страны Ближнего Востока.
Подавляющее большинство проектов (83%) было выполнено методом черного и серого ящиков, что позволило выявлять четыре из пяти (с доступом к исходному коду) наиболее распространенных типов уязвимостей.
Несмотря на то, что метод белого ящика позволяет найти больше уязвимостей в приложении, анализ методом черного и серого ящиков помогает посмотреть на приложение с точки зрения злоумышленника и выявить наиболее приоритетные для устранения уязвимости.
Теперь, подробнее по результатам.
Почти 70% всех проанализированных приложений содержали уязвимости, связанные с недостатками контроля доступа. Почти половина всех обнаруженных уязвимостей была среднего уровня риска, еще 37% — высокого.
На втором месте - раскрытие чувствительной информации, но данная категория в отличие от первой содержит больше уязвимостей низкого уровня риска.
Популярность облачной и микросервисной архитектуры постоянно растет, что, в свою очередь, увеличивает поверхность для атак типа SSRF. Более половины приложений (57%) содержали уязвимость, которая позволяла злоумышленнику взаимодействовать с внутренними сервисами в обход логики приложения.
За 2021–2023 годы наибольшее количество проблем высокого уровня риска относились к SQL-уязвимостям, но только только 43% всех изученных веб-приложений содержали уязвимость данного типа, которые могут привести к получению конфиденциальных данных или RCE.
XSS-уязвимости, несмотря на статистику в 61%, оказались на 5 месте, поскольку в большинстве случаев данная уязвимость имела средний уровень риска.
Шестую строчку заняли уязвимости, связанные с недостатками аутентификации, из них 47% среднего уровня риска, но были и серьезные, позволявшие получить доступ к веб-приложению от имени клиента заказчика.
Чуть меньше половины приложений имело небезопасные настройки конфигурации, начиная от включенного режима отладки и до не включенной аутентификации.
Более трети всех приложений позволяли проводить атаки, направленные на подбор учетных данных.
На 9 месте с 22% - это слабые пароли, а 10-ая, но не менее важная категория распространенных уязвимостей — использование компонентов с известными ошибками.
Более подробно ознакомиться с каждой категорией и примерами можно в отчете, где помимо самих уязвимостей представлены также и конкретные рекомендации по каждой из них.
securelist.ru
ТОР10 уязвимостей в веб-приложениях в 2021–2023 годах
ТОР10 уязвимостей в веб-приложениях в 2021–2023 годах Чтобы помочь компаниям ориентироваться в мире уязвимостей веб-приложений и способах защиты от них, онлайн сообщество Open Web Application Security Project (OWASP) создало рейтинг OWASP Top Ten. Мы следим…
Forwarded from Порвали два трояна
🌐 Во имя безопасности: выяснили, зачем российские компании внедряют SD-WAN
Около половины российских компаний с филиальной сетью планируют использовать технологию SD-WAN для повышения уровня безопасности. Среди других топ-мотиваторов внедрения — более активный переход на облачные сервисы, упрощённое управление филиальной сетью и эффективное использование ресурсов компании. Причем решение от «Лаборатории Касперского» — в числе наиболее часто внедряемых.
Более подробно об опыте российских компаний области программно-определяемых сетей можно прочитать в совместном исследовании «Лаборатории Касперского» и информационно-аналитического агентства TelecomDaily.
Около половины российских компаний с филиальной сетью планируют использовать технологию SD-WAN для повышения уровня безопасности. Среди других топ-мотиваторов внедрения — более активный переход на облачные сервисы, упрощённое управление филиальной сетью и эффективное использование ресурсов компании. Причем решение от «Лаборатории Касперского» — в числе наиболее часто внедряемых.
Более подробно об опыте российских компаний области программно-определяемых сетей можно прочитать в совместном исследовании «Лаборатории Касперского» и информационно-аналитического агентства TelecomDaily.
Forwarded from Пост Лукацкого
Очень интересный отчет по результатам расследования взлома английской библиотеки 📚 в октябре прошлого года. Приятный пример открытости компании, пострадавшей от взлома, в результате которого утекло 600 ГБ персональных данных и другой информации. Компания не стала скрывать этот факт, провела расследование 👨💻 и опубликовала его результаты. Можно только приветствовать такую открытость.
Структура отчета описывает все ключевые и интересные для аудитории моменты:
➖ резюме
➖ причины и анализ атаки
➖ оценка ущерба
➖ реагирование и восстановление
➖ технологическая инфраструктура
➖ будущая оценка рисков
➖ извлеченные уроки и рекомендации
Структура отчета описывает все ключевые и интересные для аудитории моменты:
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Пост Лукацкого
Из интересного:
1️⃣ Первые признаки аномальной активности были замечены 25 октября, но блиц-расследование ничего не выявило. Однако, ИТ/ИБ-служба заблокировала активность, провела сканирование сети (ничего не выявлено), мониторило логи (ничего не выявлено), смена пароля.
2️⃣ Спустя 2 дня Интернет-провайдер зафиксировал аномальный всплеск выкачиваемых данных - 440 ГБ. Позже выкачали еще 160 ГБ.
3️⃣ Проникновение произошло скорее всего (до конца не выяснили) через ферму терминальных серверов, используемых внутренними ИТ-админами и внешними, доверенными партнерами. Авторы отчета склоняются к атаке именно через партнеров, которых поймали на фишинг.
4️⃣ MFA на терминальных серверах не было, а антивирусы и МСЭ были, так как "дорого".
5️⃣ Хакеры задействовали легальные инструменты ИТ, сделали резервные копии 22 баз данных и выкачали их (помимо разрозненных файлов с чувствительной информацией).
6️⃣ Калькуляция финансового ущерба продолжается, а вот остальные виды потерь прописаны неплохо (хотя бы и на уровне категорий).
7️⃣ Описаны способы кризисных коммуникаций, которые позволили уведомить всех сотрудников, но при этом не раскрыть деталей расследования инцидента хакерам, которые могли находиться еще в сети.
8️⃣ Подробно расписаны шаги по перестройке всей, ранее плоской legacy инфраструктуры, - сегментация, ролевой доступ, air-gap резервирование, MFA, PAM для удаленного доступа третьих лиц, управление уязвимостями и инцидентами...
9️⃣ Из рекомендаций интересно выглядит совет заранее подготовиться и иметь на готове контакт фирмы, которая может оперативно приехать и помочь с расследованием
Please open Telegram to view this post
VIEW IN TELEGRAM
https://therecord.media/cyber-trust-mark-internet-of-things-devices-fcc-approval
"The Federal Communications Commission approved a voluntary cybersecurity labeling program for wireless consumer Internet of Things (IoT) products.
The program allows manufacturers to put a new “U.S Cyber Trust Mark” on devices that comply with cybersecurity standards developed by the National Institute of Standards and Technology (NIST), including what the White House described last year as “unique and strong default passwords, data protection, software updates, and incident detection capabilities.”
"The Federal Communications Commission approved a voluntary cybersecurity labeling program for wireless consumer Internet of Things (IoT) products.
The program allows manufacturers to put a new “U.S Cyber Trust Mark” on devices that comply with cybersecurity standards developed by the National Institute of Standards and Technology (NIST), including what the White House described last year as “unique and strong default passwords, data protection, software updates, and incident detection capabilities.”
👍1
Forwarded from Пост Лукацкого
Интересный документ выпустило ENISA - про различные практики подтверждения подлинности субъекта при удаленной идентификации 🫦 Начав с обзора сценариев, где это необходимо, они описывают модель угроз для разных сценариев и методов, а затем уже описывают, как это сделать правильно и безопасно 🛡
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM