Forwarded from AlexRedSec
В свежевышедшем исследовании "The Future of Application Security 2024" компании Checkmarx поднимался интересный вопрос о том, почему ИБ допускает публикацию в прод уязвимых приложений🤔
Респонденты, среди которых были как аппсеки, так и разработчики, отвечали довольно предсказуемо:
🖕 Сроки горят, бизнес давит
🦥 Уязвимость некритична/будет исправлена в следующей версии.
На этом фоне среди ответов директоров по ИБ выделяются пропитанные страхом и надеждой:
🙏 Надеялся, что уязвимость не проэксплуатируют
😎 Уязвимость не эксплуатабельна.
Это я к чему... Нет предела совершенству, а также приоритезации устранения уязвимостей и процедуре принятия рисков — лишь бы CISO спал спокойно😁
Респонденты, среди которых были как аппсеки, так и разработчики, отвечали довольно предсказуемо:
На этом фоне среди ответов директоров по ИБ выделяются пропитанные страхом и надеждой:
Это я к чему... Нет предела совершенству, а также приоритезации устранения уязвимостей и процедуре принятия рисков — лишь бы CISO спал спокойно
Please open Telegram to view this post
VIEW IN TELEGRAM
👍2
После следующего инцидента ИБ теперь можно говорить "Гартнер разрешил" 😉
https://www.theregister.com/2024/03/18/gartner_infosec_failure_advice/
https://www.theregister.com/2024/03/18/gartner_infosec_failure_advice/
The Register
Infosec teams must be allowed to fail, argues Gartner
But failing to recover from incidents is unforgivable because 'adrenalin does not scale'
https://blog.pcisecuritystandards.org/items-noted-for-improvement-infi-worksheet-discontinued
"After detailed discussions with community stakeholders, PCI SSC is discontinuing the Items Noted for Improvement (INFI) Worksheet, which was introduced with PCI DSS v4.0. "
"After detailed discussions with community stakeholders, PCI SSC is discontinuing the Items Noted for Improvement (INFI) Worksheet, which was introduced with PCI DSS v4.0. "
Интересное интервью про то как появилась одна из самых крупных компаний в РФ по ИБ .
Forwarded from Positive Technologies
Все их можно найти в статье на сайте нашего медиа, но некоторыми мы поделимся здесь.
Хорошее вышло интервью, мы прочитали его с большим удовольствием — и вы читайте по ссылке.
#PositiveResearch
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4
Forwarded from Листок бюрократической защиты информации
Представлен стандарт Банка России СТО БР БФБО-1.8-2024 «Безопасность финансовых (банковских) операций. Обеспечение безопасности финансовых сервисов при проведении дистанционной идентификации и аутентификации. Состав мер защиты информации».
Документ носит рекомендательный характер и вступит в силу 01.07.2024.
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Солдатов в Телеграм
На днях отвечал на вопросы типа "какие индустрии атаковали больше в 2023" и в очередной раз столкнулся с недостаточным пониманием разницы между "частотой атаки" и объемом. Чтобы ответить на вопрос: "кого атаковали больше" можно его трансформировать в: "у кого инциденты случались чаще". Количество инцидентов зависит от объема мониторинга, поэтому для оценки "частоты инцидента" когда-то была предложена метрика "удельное количество инцидентов" или "ожидаемое количество инцидентов с единицы объема". Об этой метрике и ее отличии от объема мониторинга или количества выявленных инцидентов моя новая заметка
Дзен | Статьи
Аналитические отчеты: объем и количество инцидентов
Статья автора «REPLY-TO-ALL Information Security Blog» в Дзене ✍: В предыдущей статье я рассказывал, что невозможно сравнивать результаты аналитических отчетов об угрозах\инцидентах от разных...
Forwarded from Makrushin
Morris II: первый компьютерный червь, который распространяется с помощью GenAI
Или все же это громкий заголовок исследования, в котором авторы используют уязвимости генеративного ИИ для вредоносных действий? Давайте разберемся.
Исследователи сформировали запросы, которые провоцируют ML-модель генерировать на выходе то, что атакующий подает на вход. В результате этой манипуляции получается спровоцировать модель воспроизвести запрос атакующего и выполнить вредоносное действие. И это вредоносное действие может быть направлено на другие компоненты, которые работают в одной экосистеме с этой моделью.
То, что эта атака проходит без вмешательства пользователя - еще не значит, что модель начнет отправлять запросы за пределы своей экосистемы другим подобным ML-моделям. Авторы сравнили свой концепт с червем, но я бы сравнил это с уязвимостью SSRF: можно манипулировать компонентами экосистемы, в которой находится уязвимая модель.
Поэтому данное исследование помимо интересного метода атаки на продукты, использующие GenAI, имеет заголовок, за которым прячется концепт, но не опасность червя Morris.
Или все же это громкий заголовок исследования, в котором авторы используют уязвимости генеративного ИИ для вредоносных действий? Давайте разберемся.
Исследователи сформировали запросы, которые провоцируют ML-модель генерировать на выходе то, что атакующий подает на вход. В результате этой манипуляции получается спровоцировать модель воспроизвести запрос атакующего и выполнить вредоносное действие. И это вредоносное действие может быть направлено на другие компоненты, которые работают в одной экосистеме с этой моделью.
То, что эта атака проходит без вмешательства пользователя - еще не значит, что модель начнет отправлять запросы за пределы своей экосистемы другим подобным ML-моделям. Авторы сравнили свой концепт с червем, но я бы сравнил это с уязвимостью SSRF: можно манипулировать компонентами экосистемы, в которой находится уязвимая модель.
Поэтому данное исследование помимо интересного метода атаки на продукты, использующие GenAI, имеет заголовок, за которым прячется концепт, но не опасность червя Morris.
Forwarded from Пост Лукацкого
Google выпустил модель угроз для постквантовой криптографии. Когда А.П.Баранов на РусКрипто использовал фразу «фантазийная криптография», я подумал, что он, в контексте высказанной им мысли, просто использовал слово «фантазия» как синоним «непонятно как работает». А теперь я уже и не уверен 🤔 У Google в модели угроз термин «фантазийная криптография» (fancy cryptography) тоже используется 🔐
Please open Telegram to view this post
VIEW IN TELEGRAM
Google
Blog: Google's Threat model for Post-Quantum Cryptography
Read on to understand how Google currently evaluates the threat landscape related to post-quantum cryptography, and what implications this has for migrating from classical cryptographic algorithms to PQC.
Forwarded from Пост Лукацкого
Полезный проект - What2Log, который описывает минимальный, идеальный и экстремальный состав событий ИБ для регистрации в Linux Ubuntu и Windows (7 и 10), а также позволяет выбрать нужные и сгенерить готовый скрипт, который позволит вам включить нужные события 💡
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Пост Лукацкого
В Сиднее 🌏 на прошлой неделе закончился Gartner Security & Risk Management Summit, на котором консалтинговая компания, ушедшая из России, дала ряд прогнозов 🔮 по ИБ, которые, если отбросить конкретные цифры, вполне применимы и у нас. Так что стоит взглянуть на то, куда Gartner рекомендует смотреть всему миру и то, что можно включить в свою стратегию развития 🗺
Бизнес без опасности - Блог, выступления, статьи, лекции, книги и немного юмора про кибербезопасность от Алексея Лукацкого
10 прогнозов Gartner про кибербезопасность на горизонте до 2028-го года
На днях в Сиднее компания Gartner, которую многие уже начинают забывать, провела в австралийском Сиднее свой очередной Security & Risk Management Summit. Я в прогнозы Gartner давно не верю (уж очень часто они не сбывались), но есть среди озвученных предположений…
👍1
Forwarded from DevSecOps Talks
Secure Coding Practices
Всем привет!
По ссылке доступен внушительный материал, посвященный лучшим практикам по безопасной разработке.
«Воды» практически нет, все по делу: код с уязвимостью, описание уязвимости; код без уязвимости, описание решения.
Рассматриваются такие темы, как:
🍭 Broken access control
🍭 Injection
🍭 Insecure Design
🍭 Security Misconfiguration
🍭 Identification/Authentication Failures и не только
Подборка содержит примеры для языков: .NET, PHP, Golang, Python, Java, Android Java, Swift. Для каких-то языков материалов больше, для каких-то чуть меньше. Но самое главное – много примеров, пояснений и, конечно же, кода!
Всем привет!
По ссылке доступен внушительный материал, посвященный лучшим практикам по безопасной разработке.
«Воды» практически нет, все по делу: код с уязвимостью, описание уязвимости; код без уязвимости, описание решения.
Рассматриваются такие темы, как:
🍭 Broken access control
🍭 Injection
🍭 Insecure Design
🍭 Security Misconfiguration
🍭 Identification/Authentication Failures и не только
Подборка содержит примеры для языков: .NET, PHP, Golang, Python, Java, Android Java, Swift. Для каких-то языков материалов больше, для каких-то чуть меньше. Но самое главное – много примеров, пояснений и, конечно же, кода!
Devsecopsguides
Secure Coding Cheatsheets
In today's interconnected digital landscape, security is paramount for developers across various platforms and programming languages.
👍2
Forwarded from k8s (in)security (Дмитрий Евдокимов)
Наши хорошие товарищи Антон Жаболенко и Алексей Федулаев в рамках
Данная презентация посвящена
HighLoad++ 2023 выступали с любопытным докладом под названием "Как собрать контейнер и не вооружить хакера". И сейчас стала доступна видеозапись выступления и статья на Хабре по мотивам доклада.Данная презентация посвящена
Living off the Land (LotL) атакам. По сути, это атаки с использованием легитимных программ, которые уже присутствуют в целевой системе куда попал атакующий. В данном случае это в образах контейнеров. В статье есть множество разных трюков/приемов о которых должен знать любой представитель красной команды) Ну а оппоненты из синей команды должны знать способы как это либо предотвратить, либо своевременно обнаружить ;)Хабр
Как собрать контейнер и не вооружить хакера
Известно, что с контейнерами бывает огромное количество разнообразных проблем, в том числе, связанных с информационной безопасностью. Как их избежать и не дать взломщику лазеек в ваш сервис —...
👍1