Forwarded from Листок бюрократической защиты информации
📣 Порядок сертификации процессов безопасной разработки ПО СрЗИ
Официально опубликован приказ ФСТЭК России от 01.12.2023 № 240 «Об утверждении Порядка проведения сертификации процессов безопасной разработки программного обеспечения средств защиты информации».
Порядок вступает в силу с 01.06.2024.
Официально опубликован приказ ФСТЭК России от 01.12.2023 № 240 «Об утверждении Порядка проведения сертификации процессов безопасной разработки программного обеспечения средств защиты информации».
Порядок вступает в силу с 01.06.2024.
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from DevSecOps Talks
Semgrep Academy!
Всем привет!
Многие производители решений нет-нет, да и сделают собственные программы обучения. Мы уже писали про такие примеры от SNYK, Chainguard, Isovalent, Aqua Security и других.
Semgrep не является исключением! С его учебными курсами можно ознакомиться в Академии.
На текущий момент доступен небольшой набор:
🍭 Application Security Foundations Level 1
🍭 Application Security Foundations Level 2
🍭 Application Security Foundations Level 3
🍭 Principles of Functional Programming
В среднем на курс приходится около 3,5 часов видео записей. С программами можно ознакомиться, перейдя по ссылке Академии, никакая регистрация не требуется. И, что самое приятное – Enroll for free!
Всем привет!
Многие производители решений нет-нет, да и сделают собственные программы обучения. Мы уже писали про такие примеры от SNYK, Chainguard, Isovalent, Aqua Security и других.
Semgrep не является исключением! С его учебными курсами можно ознакомиться в Академии.
На текущий момент доступен небольшой набор:
🍭 Application Security Foundations Level 1
🍭 Application Security Foundations Level 2
🍭 Application Security Foundations Level 3
🍭 Principles of Functional Programming
В среднем на курс приходится около 3,5 часов видео записей. С программами можно ознакомиться, перейдя по ссылке Академии, никакая регистрация не требуется. И, что самое приятное – Enroll for free!
👍2
Forwarded from Егор Погорелко
Коллеги, всем доброго дня!
22 апреля в МГТУ им. Н.Э. Баумана💛 состоится четвертый тематический день "Интерпретаторы" уникального цикла лекций "Школа фундаментальных технологий разработки безопасного ПО".
Программа дня:
🔵 с 14:00 до 16:00 Александр Дроздов, инженер по РБПО и информационной безопасности «Axiom JDK» выступит с лекций "Java VM - внутренний мир виртуальной машины, проблемы JIT компиляции и сборки мусора, организация процесса безопасной разработки ПО"
🔵 с 16:00 до 16:30 кофе-брейк
🔵 с 16:30 до 18:30 Никита Соболев, независимый open-source разработчик выступят с лекций "Python - история создания, основные идеи и механизмы"
Всего же "Школа фундаментальных технологий РБПО" объединяет 12 лекций (по две в день), зарегистрироваться и ознакомиться с полной программой и спикерами курса можно на сайте и в телеграм-боте✈️ .
🗓 Когда? 22.04 (понедельник) с 14:00 до 18:30
📍 Где? Читальный зал МГТУ им. Н.Э. Баумана (Главный учебный корпус, ауд. 345), 2-я Бауманская улица, 5с3
‼️ Регистрация для участия необходима!
22 апреля в МГТУ им. Н.Э. Баумана
Программа дня:
Всего же "Школа фундаментальных технологий РБПО" объединяет 12 лекций (по две в день), зарегистрироваться и ознакомиться с полной программой и спикерами курса можно на сайте и в телеграм-боте
🗓 Когда? 22.04 (понедельник) с 14:00 до 18:30
📍 Где? Читальный зал МГТУ им. Н.Э. Баумана (Главный учебный корпус, ауд. 345), 2-я Бауманская улица, 5с3
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1
Forwarded from Порвали два трояна
Cisco опубликовала свой
Можно спорить о том, какой вес исследователи назначили каждой из категорий, но общие результаты налицо — 60% компаний относятся к категории formative, то есть защитные решения из соответствующей категории в них не внедрены полноценно, а еще 11% только задумываются о внедрении 😒.
В наименьшей степени внедрены средства управления identity (18% прогрессивных и зрелых внедрений) и средства защиты облачных нагрузок (19%).
Впрочем, больше инструментов защиты не обязательно дают лучшую защиту. В 67% компаний используется более 10 решений для обеспечения ИБ, а 80% признают, что изобилие инструментов снижает эффективность их команды.
Выход видится в платформенном подходе и применении комплексных решений одного вендора, а также широком внедрении автоматизации.
Любопытно, но 80% опрошенных фирм считает себя достаточно киберустойчивыми. Исследователи тактично называют это «несоответствием с быстро эволюционирующим ландшафтом киберугроз». Заодно приводят оценку стоимости инцидента — в среднем от $300 тыс., а 12% — более $1 млн.
#советы #статистика @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Солдатов в Телеграм
11 апреля состоялся вебинар по мотивам работы MDR и DFIR в 2023. Слайды к вебинару не повторяли полностью материал из отчета MDR (отчет - общемировой, а в вебинаре я сравнивал РФ\СНГ с Миром, а также 2023 с 2022), поэтому, думаю, запись может быть интересной. Но сейчас не об этом.
Был один интересный вопрос от зрителей о том, наблюдается ли какая-либо сезонность в инцидентах. Мой ответ был, что да, наблюдается, и что начиная с 2024, Бог даст, динамику инцидентов по месяцам мы будем включать в отчет. Примером такой динамики может служить диаграмма во вложении по данным инцидентов MDR в 2023, не вошедшая в отчет. Числа - это удельное количество инцидентов, а цветом показаны сектора экономики. Прошлогоднюю сезонность несложно заметить: летом и зимой атакующие "отдыхают", в марте выходят с зимних "каникул", а с 1 сентября, как положено, - "в школу".
Был один интересный вопрос от зрителей о том, наблюдается ли какая-либо сезонность в инцидентах. Мой ответ был, что да, наблюдается, и что начиная с 2024, Бог даст, динамику инцидентов по месяцам мы будем включать в отчет. Примером такой динамики может служить диаграмма во вложении по данным инцидентов MDR в 2023, не вошедшая в отчет. Числа - это удельное количество инцидентов, а цветом показаны сектора экономики. Прошлогоднюю сезонность несложно заметить: летом и зимой атакующие "отдыхают", в марте выходят с зимних "каникул", а с 1 сентября, как положено, - "в школу".
Forwarded from Hacker News
GPT-4 может эксплуатировать уязвимости, изучив связанные бюллетени безопасности
https://xakep.ru/2024/04/18/llm-vs-cves/
https://xakep.ru/2024/04/18/llm-vs-cves/
XAKEP
GPT-4 может эксплуатировать уязвимости, изучив связанные бюллетени безопасности
Ученые из Иллинойского университета в Урбане-Шампейне (UIUC) пришли к выводу, что большая языковая модель (LLM) GPT-4 компании OpenAI может успешно эксплуатировать реальные уязвимости, если предварительно «прочтет» бюллетень безопасности об этой CVE, в котором…
Forwarded from Нецифровая экономика (Dasha Sapozhkova)
Безопасность данных в компании обеспечивают далеко не только специалисты ИБ. Причиной утечки может быть любой рядовой менеджер, установивший на компьютер вредоносное ПО. Тут важны комплексные инициативы.
На конференции Data Fusion вице-президент и директор департамента информационной безопасности Тинькофф Дмитрий Гадарь рассказал об одном из вариантов решения проблемы. Банк развернул у себя внутри комплексную программу поиска уязвимостей DataGuard на все 90 тысяч человек.
Каждый сотрудник может сообщить о найденной уязвимости или ошибке и получить вознаграждение в виде внутренней валюты Тинька и потратить их во внутреннем магазине на технику, гаджеты и мерч. Пул жалоб, за который можно получить вознаграждение, максимально широкий и связан далеко не только с IT: рискованные бизнес-процессы, проблемы с разграничением доступа к данным, передача избыточных данных.
У компании это уже не первая инициатива подобного рода:
➖ есть привычные для рынка программы bug bounty, в рамках которых Тинькофф выплатил «белым хакерам» более 25 млн рублей.
➖ проходят соревнования Month of Bugs по поиску уязвимостей за вознаграждение, а также чемпионат по спортивному хакингу среди сотрудников CTF.
Понимание каждым сотрудником важности защиты персональных данных и данных организаций — ключевое звено в цепочке информационной безопасности. Такой подход позволяет предотвратить потенциальные угрозы и создает прочную основу для доверия клиентов, укрепляя репутацию компании как надежного хранителя данных.
На конференции Data Fusion вице-президент и директор департамента информационной безопасности Тинькофф Дмитрий Гадарь рассказал об одном из вариантов решения проблемы. Банк развернул у себя внутри комплексную программу поиска уязвимостей DataGuard на все 90 тысяч человек.
Каждый сотрудник может сообщить о найденной уязвимости или ошибке и получить вознаграждение в виде внутренней валюты Тинька и потратить их во внутреннем магазине на технику, гаджеты и мерч. Пул жалоб, за который можно получить вознаграждение, максимально широкий и связан далеко не только с IT: рискованные бизнес-процессы, проблемы с разграничением доступа к данным, передача избыточных данных.
У компании это уже не первая инициатива подобного рода:
➖ есть привычные для рынка программы bug bounty, в рамках которых Тинькофф выплатил «белым хакерам» более 25 млн рублей.
➖ проходят соревнования Month of Bugs по поиску уязвимостей за вознаграждение, а также чемпионат по спортивному хакингу среди сотрудников CTF.
Понимание каждым сотрудником важности защиты персональных данных и данных организаций — ключевое звено в цепочке информационной безопасности. Такой подход позволяет предотвратить потенциальные угрозы и создает прочную основу для доверия клиентов, укрепляя репутацию компании как надежного хранителя данных.
Известия
«Тинькофф» наградит сотрудников за найденные уязвимости в защите данных
«Тинькофф» решил ввести вознаграждения для сотрудников, обнаруживших проблемы в области защиты данных в компании. Об этом рассказал вице-президент, директор департамента информационной безопасности «Тинькофф» Дмитрий Гадарь.
Forwarded from Евгениально
И вновь ИИ 🤖
Мой недавний опрос «Кому выгоднее развитие ИИ — хакерам или безопасникам» показал, что большинство из вас (62%) считают, что это выгоднее атакующим. Понимаю эту точку зрения, при этом верю, что сторона защиты сможет использовать этот инструмент более умело. Как минимум, благодаря тому факту, что мы работаем в командах и регулярно обмениваемся лучшими практиками 🤝
Мне и коллегам в МТС RED стало интересно, насколько восстребованы знания ИИ на рынке труда в ИБ, и мы провели совместное исследование с сервисом HeadHunter.
Оказалось, что в 2023 году в России спрос на ИБ-специалистов, которые умеют работать с искусственным интеллектом, вырос на 30% по сравнению с предыдущим годом. А в этом году тренд продолжается — по итогам первого квартала 2024 навыки работы с ИИ стали требоваться в два раза чаще, чем в начале прошлого года.
Важно учесть, что в кибербезе чаще всего требуются именно специалисты, которые создают и обучают ИИ, а не просто используют готовые программы.
💬 Мы наблюдаем повсеместное внедрение ИИ в бизнес-процессы. Технологии машинного обучения становятся фокусом не только ИТ, но и ИБ, а значит, потребность в экспертах по кибербезопасности, которые не только используют ИИ в целях автоматизации, но также умеют искать уязвимости в системах машинного обучения, будет только увеличиваться.
Мой недавний опрос «Кому выгоднее развитие ИИ — хакерам или безопасникам» показал, что большинство из вас (62%) считают, что это выгоднее атакующим. Понимаю эту точку зрения, при этом верю, что сторона защиты сможет использовать этот инструмент более умело. Как минимум, благодаря тому факту, что мы работаем в командах и регулярно обмениваемся лучшими практиками 🤝
Мне и коллегам в МТС RED стало интересно, насколько восстребованы знания ИИ на рынке труда в ИБ, и мы провели совместное исследование с сервисом HeadHunter.
Оказалось, что в 2023 году в России спрос на ИБ-специалистов, которые умеют работать с искусственным интеллектом, вырос на 30% по сравнению с предыдущим годом. А в этом году тренд продолжается — по итогам первого квартала 2024 навыки работы с ИИ стали требоваться в два раза чаще, чем в начале прошлого года.
Важно учесть, что в кибербезе чаще всего требуются именно специалисты, которые создают и обучают ИИ, а не просто используют готовые программы.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1
Forwarded from SecAtor
Изобретательности киберподполья не перестаешь удивляться.
Умельцы придумали и уже несколько месяцев используют фишку GitHub для распространения вредоносного ПО с использованием URL-адресов, связанных с репозиториями Microsoft и других известных компаний.
Злоумышленники загружают вредоносный файл в качестве комментария к проблеме в официальном проекте GitHub, но не отправляют отчет.
Оставляя комментарий, пользователь GitHub может прикрепить файл, который будет загружен в CDN GitHub и связан с соответствующим проектом, используя уникальный URL-адрес в следующем формате: https://www.github[.]com/{project_user}/{repo_name}/files/{file_id}/{file_name}.
Как в случае с обнаруженной McAfee кампанией с загрузчиком LUA, распространяемом в привязи к репозиториям Microsoft GitHub с URL-адресами:
- https://github[.]com/microsoft/vcpkg/files/14125503/Cheat.Lab.2.7.2.zip;
- https://github[.]com/microsoft/STL/files/14432565/Cheater.Pro.1.6.0.zip.
При этом проблема не станет активной и будет не видна владельцу проекта, но вредоносный файл остается на серверах GitHub, а URL-адреса загрузки продолжат работать. Это позволяет злоумышленникам прикреплять свои вредоносные программы к любому хранилищу без их ведома.
Такой условно привязанный к официальному репозиторию URL-адрес способен ввести пользователя в заблуждение относительно принадлежности файла конкретному проекту, а избавиться от него также будет непросто.
Даже если компания все же узнает, что ее репозитории используются для распространения вредоносного ПО, то не сможет найти никаких настроек, позволяющих управлять прикрепленными к проектам файлами.
Более того, можете защитить учетную запись GitHub от такого злоупотребления можно будет только отключив комментарии, но это уже может существенно повлиять на развитие проекта.
Если в случае с Microsoft добиться удаления вредоносного ПО удалось, то в аналогичных случаях с httprouter и Aimmy - вредоносное ПО по-прежнему доступно.
Умельцы придумали и уже несколько месяцев используют фишку GitHub для распространения вредоносного ПО с использованием URL-адресов, связанных с репозиториями Microsoft и других известных компаний.
Злоумышленники загружают вредоносный файл в качестве комментария к проблеме в официальном проекте GitHub, но не отправляют отчет.
Оставляя комментарий, пользователь GitHub может прикрепить файл, который будет загружен в CDN GitHub и связан с соответствующим проектом, используя уникальный URL-адрес в следующем формате: https://www.github[.]com/{project_user}/{repo_name}/files/{file_id}/{file_name}.
Как в случае с обнаруженной McAfee кампанией с загрузчиком LUA, распространяемом в привязи к репозиториям Microsoft GitHub с URL-адресами:
- https://github[.]com/microsoft/vcpkg/files/14125503/Cheat.Lab.2.7.2.zip;
- https://github[.]com/microsoft/STL/files/14432565/Cheater.Pro.1.6.0.zip.
При этом проблема не станет активной и будет не видна владельцу проекта, но вредоносный файл остается на серверах GitHub, а URL-адреса загрузки продолжат работать. Это позволяет злоумышленникам прикреплять свои вредоносные программы к любому хранилищу без их ведома.
Такой условно привязанный к официальному репозиторию URL-адрес способен ввести пользователя в заблуждение относительно принадлежности файла конкретному проекту, а избавиться от него также будет непросто.
Даже если компания все же узнает, что ее репозитории используются для распространения вредоносного ПО, то не сможет найти никаких настроек, позволяющих управлять прикрепленными к проектам файлами.
Более того, можете защитить учетную запись GitHub от такого злоупотребления можно будет только отключив комментарии, но это уже может существенно повлиять на развитие проекта.
Если в случае с Microsoft добиться удаления вредоносного ПО удалось, то в аналогичных случаях с httprouter и Aimmy - вредоносное ПО по-прежнему доступно.
OALABS Research
GitHub Bug Used to Infect Game Hackers With Lua Malware
Triaging this elaborate infection chain
👍3
Forwarded from Порвали два трояна
Злоумышленники активно отслеживают ошибки в DNS-инфраструктуре уважаемых компаний:
Оперативно выкупая освободившиеся домены и пользуясь ошибками конфигурации DNS, они по сути получают частичный доступ к легитимному основному домену атакованной компании. Это позволяет размещать вредоносные кампании на поддоменах легитимных организаций, рассылать спам с доменов с хорошей репутацией и вести другие теневые операции.
Подробный разбор каждой механики и советы по защите ИТ-инфраструктуры читайте в нашем посте на блоге.
#советы @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Секьюрно
23 апреля вышло плановое мажорное обновление матрицы MITRE ATT&CK v15 (v14.1 - v15.0). Это уже третье мажорное обновление проекта с апреля 2023 (v 13 – апрель, v14 - октябрь). Пару дней до этого также был обновлен ATT&CK Roadmap на 2024 год
В новой версии авторы проекта сделали упор на:
Что интересного:
🔹 Поскольку злоумышленники все чаще используют инструменты искусственного интеллекта (LLM) для своих задач: разработка полезной нагрузки, генерация фишинговых писем, исследование уязвимостей, автоматизация отдельных технических задач и другие задачи была добавлена техника: T1588.007: Obtain Capabilities: Artificial Intelligence
🔹 Добавлена техника атак на периферийные и сетевые устройства с выходом в сеть Интернет, компрометация которых направлена не на получение первоначального доступа, а для дальнейшего таргетинга
🔹 Обновлен раздел Campaigns, описаны новые атаки на промышленные объекты: Triton, Unitronics и другие.
Сухая статистика:
▪️В Enterprise добавлено 12 новых техник, внесены изменения в 150
▪️В Mobile добавлено 5 новых техник, изменены 3
▪️И в ICS новые 2 техники и изменены 3
Полный лог изменений в том числе по группировкам, ПО, методам смягчения доступен в ATT&CK SYNC, release notes и официальной странице проекта не medium. Приятного чтива на майские!
#mitre
Please open Telegram to view this post
VIEW IN TELEGRAM
Medium
ATT&CK 2024 Roadmap
Enhancing usability, expanding scope, optimizing defenses
https://therecord.media/united-kingdom-bans-defalt-passwords-iot-devices
"On Monday, the United Kingdom became the first country in the world to ban default guessable usernames and passwords from these IoT devices. Unique passwords installed by default are still permitted.
The Product Security and Telecommunications Infrastructure Act 2022 (PSTI) introduces new minimum-security standards for manufacturers, and demands that these companies are open with consumers about how long their products will receive security updates for."
"On Monday, the United Kingdom became the first country in the world to ban default guessable usernames and passwords from these IoT devices. Unique passwords installed by default are still permitted.
The Product Security and Telecommunications Infrastructure Act 2022 (PSTI) introduces new minimum-security standards for manufacturers, and demands that these companies are open with consumers about how long their products will receive security updates for."
https://github.com/SigmaHQ/sigma/releases
Свежий релиз бесплатных правил для siem включает обнаружение компрометации набора утилит xz utils.
Свежий релиз бесплатных правил для siem включает обнаружение компрометации набора утилит xz utils.
GitHub
Releases · SigmaHQ/sigma
Main Sigma Rule Repository. Contribute to SigmaHQ/sigma development by creating an account on GitHub.