https://blog.pcisecuritystandards.org/request-for-comments-pci-pts-poi-modular-security-requirements-v7-0-october
"The updates in the RFC include more than 30 requirement changes and 14 pieces of additional guidance. Some of these changes designed to address industry needs include:
Adding a requirement for the physical/logical security of biometric interfaces.
Adding a requirement to allow the use of third-party applications (e.g., Play store).
Defining that cryptographic keys used for device security must provide a minimum of 128 bits of effective strength. "
"The updates in the RFC include more than 30 requirement changes and 14 pieces of additional guidance. Some of these changes designed to address industry needs include:
Adding a requirement for the physical/logical security of biometric interfaces.
Adding a requirement to allow the use of third-party applications (e.g., Play store).
Defining that cryptographic keys used for device security must provide a minimum of 128 bits of effective strength. "
blog.pcisecuritystandards.org
Request for Comments: PCI PTS POI Modular Security Requirements v7.0
From 1 October to 1 November, eligible PCI SSC stakeholders are invited to review and provide feedback on the draft version of the PCI PTS POI Modular Security Requirements v7.0 during a 30-day request for comments (RFC) period.
В ЕС и США/Канаде начался ежегодный месячник повышения осведомленности в вопросах информационной безопасности.
Японский вариант поиска шифровальщиков в логах Windows.
https://blogs.jpcert.or.jp/en/2024/09/windows.html
https://blogs.jpcert.or.jp/en/2024/09/windows.html
JPCERT/CC Eyes
Event Log Talks a Lot: Identifying Human-operated Ransomware through Windows Event Logs - JPCERT/CC Eyes
The difficult part of the initial response to a human-operated ransomware attack is identifying the attack vector. You may already know from recent security incident trends that the vulnerabilities of VPN devices are likely to be exploited, but it often...
https://www.trendmicro.com/en_us/research/24/i/world-tour-2024-survey.html
Статистика по итогам опросов 750 CISO в 49 странах.
Статистика по итогам опросов 750 CISO в 49 странах.
Trend Micro
Inaugural World Tour 2024 Survey Findings: State of Cybersecurity
Rear the findings of 750 surveyed cybersecurity professionals in 49 countries to learn more about the current state of cybersecurity.
https://security.googleblog.com/2024/09/eliminating-memory-safety-vulnerabilities-Android.html
Статья в блоге Гугл про важность использования языков безопасно работающих с памятью (Go, Rust, Swift).
Выглядит немного неоднозначно, вместо реальной статистики эффективности приводятся математические прогнозы в годах от старта проекта, заявления о приверженности подхода и финансирования языка Rust. Приводятся цифры уменьшения общей доли уязвимостией с памятью с 76% до 24% с 2019 года, но без указания общего количества строк кода и распределения по другим типам уязвимостей.
Но требования американского регулятора есть, в ядре Win 11 со слов MS тоже теперь активно использутся Rust. При этом проект по переходу ядра Linux на Rust недавно покинул один из ведущих разработчиков Wedson Almeida Filho с критикой общей результативности проекта. Сам Линус Торвальдс тоже недоволен скорость перехода ядра на Rust.
Очевидно процесс перехода на новые безопасные языки затягивается. Вплоть до того, что регуляторы в США рассматривают возможность переписывать код с С/C++ на Rust с активным решением инструментов ИИ/GPT.
Статья в блоге Гугл про важность использования языков безопасно работающих с памятью (Go, Rust, Swift).
Выглядит немного неоднозначно, вместо реальной статистики эффективности приводятся математические прогнозы в годах от старта проекта, заявления о приверженности подхода и финансирования языка Rust. Приводятся цифры уменьшения общей доли уязвимостией с памятью с 76% до 24% с 2019 года, но без указания общего количества строк кода и распределения по другим типам уязвимостей.
Но требования американского регулятора есть, в ядре Win 11 со слов MS тоже теперь активно использутся Rust. При этом проект по переходу ядра Linux на Rust недавно покинул один из ведущих разработчиков Wedson Almeida Filho с критикой общей результативности проекта. Сам Линус Торвальдс тоже недоволен скорость перехода ядра на Rust.
Очевидно процесс перехода на новые безопасные языки затягивается. Вплоть до того, что регуляторы в США рассматривают возможность переписывать код с С/C++ на Rust с активным решением инструментов ИИ/GPT.
Google Online Security Blog
Eliminating Memory Safety Vulnerabilities at the Source
Posted by Jeff Vander Stoep - Android team, and Alex Rebert - Security Foundations Memory safety vulnerabilities remain a pervasive threa...
Компания Гугл объявила о новых функциях безопасности для своего облачного офисного пакета Workspace. Кроме советов по настройкам безопасности появился функционал песочницы для писем, dlp, продвинутое сканирование страничек в хроме и контроль доступа к аккаунту с различных устройств.
https://workspaceupdates.googleblog.com/2024/09/security-advisor-for-workspace-business-editions.html
https://workspaceupdates.googleblog.com/2024/09/security-advisor-for-workspace-business-editions.html
Workspace Updates Blog
Google Workspace Updates: Introducing security advisor, a new set of tools and insights to help small businesses protect their…
Интересный пример практики защиты школ/библиотек на гос уровне. В США школам предлагается использовать бесплатные сервис выявления уязвимостей от CISA и безопасный сервис DNS. Кроме того им предлагается войти в пилот с бесплатным NGFW и EDR.
+Рекомендации по базовой безопасности.
https://www.fcc.gov/document/fcc-us-dept-education-release-cybersecurity-resource-guide
Мне кажется это одна из очевидных потребностей - сервис безопасного DNS, как минимум для муниципальных учреждений/школ/больниц.
В CIS critical controls использование сервиса безопасного DNS входит в группу мер IG1- т.е. рекомедован для оранизаций с самой низкой зрелостью ИБ.
+Рекомендации по базовой безопасности.
https://www.fcc.gov/document/fcc-us-dept-education-release-cybersecurity-resource-guide
Мне кажется это одна из очевидных потребностей - сервис безопасного DNS, как минимум для муниципальных учреждений/школ/больниц.
В CIS critical controls использование сервиса безопасного DNS входит в группу мер IG1- т.е. рекомедован для оранизаций с самой низкой зрелостью ИБ.
www.fcc.gov
FCC & U.S. Dept. of Education Release Cybersecurity Resource Guide
Agencies Collaborate on Guidance and Resources for Schools and Libraries to Bolster Cybersecurity
Краткий гайд как защищать устройства стоящие на границе сети от Австралийского регулятора ASD. Откровений нет, немного добавлено контекста в стандартные меры. https://www.cyber.gov.au/resources-business-and-government/maintaining-devices-and-systems/system-hardening-and-administration/network-hardening/mitigating-strategies-edge-devices-executive-guidance
https://www2.deloitte.com/us/en/insights/industry/public-sector/2024-deloitte-nascio-cybersecurity-study.html
Исследование-опрос по государственным CISO в США. Если кратко - роль CISO гоструктурах США существенно возросла.
Исследование-опрос по государственным CISO в США. Если кратко - роль CISO гоструктурах США существенно возросла.
Deloitte Insights
2024 Deloitte-NASCIO Cybersecurity Study
The eighth biennial Deloitte-NASCIO Cybersecurity Study reveals a landscape roiled by fresh challenges, most notably the extensive advances in AI and Gen AI.
Радостная новость, особенно для тех кто использует сертифицированные средства.
Надеюсь скоро и другие производители СЗИ нас подобным порадуют.
Надеюсь скоро и другие производители СЗИ нас подобным порадуют.
Forwarded from Техническая поддержка Лаборатории Касперского
Мы — первые!
«Лаборатория Касперского» первой в России получила сертификат, который подтверждает, что наши процессы безопасной разработки соответствуют требованиям национального стандарта ГОСТ Р 56939-2016 «Защита информации. Разработка безопасного программного обеспечения. Общие требования».
Сертификат соответствия ФСТЭК России № 1 действителен до 25 сентября 2029 года.
Кроме того в сентябре 2024 года мы сертифицировали Kaspersky Security для виртуальных сред 6.0 Легкий агент (версия 6.0.7.1402).
Сертификат ФСТЭК России № 4846 действителен до 4 сентября 2029 года.
#certification
«Лаборатория Касперского» первой в России получила сертификат, который подтверждает, что наши процессы безопасной разработки соответствуют требованиям национального стандарта ГОСТ Р 56939-2016 «Защита информации. Разработка безопасного программного обеспечения. Общие требования».
Сертификат соответствия ФСТЭК России № 1 действителен до 25 сентября 2029 года.
Кроме того в сентябре 2024 года мы сертифицировали Kaspersky Security для виртуальных сред 6.0 Легкий агент (версия 6.0.7.1402).
Сертификат ФСТЭК России № 4846 действителен до 4 сентября 2029 года.
#certification
👍3
Forwarded from Солдатов в Телеграм
Несмотря на то, что заметка про собеседования, в ней очень много полезного:
- как зрелые ИТ конторы понимают задачи лидера и что такое лидерство для них
- как формально можно подтвердить успешность своей менеджерской работы
- о том, что всегда полезно оценивать свое влияние на работу подразделения/компании
- есть полезные ссылки на справочники, которые, полезны и для целей собственного бенчмаркинга
#саморазвитие #управление
- как зрелые ИТ конторы понимают задачи лидера и что такое лидерство для них
- как формально можно подтвердить успешность своей менеджерской работы
- о том, что всегда полезно оценивать свое влияние на работу подразделения/компании
- есть полезные ссылки на справочники, которые, полезны и для целей собственного бенчмаркинга
#саморазвитие #управление
Telegram
Kali Novskaya
🌸FAANG собеседования. Behavioral 🌸
#собеседования
За последние года два я пособесилась в десяток компаний с сильным ML, и где-то ещё десяток не очень AI-native.
🌸Мой опыт
Прошла до конца в Meta, Snapchat, Spotify, HuggingFace, несколько стартапов.…
#собеседования
За последние года два я пособесилась в десяток компаний с сильным ML, и где-то ещё десяток не очень AI-native.
🌸Мой опыт
Прошла до конца в Meta, Snapchat, Spotify, HuggingFace, несколько стартапов.…
https://www.gartner.com/en/articles/cio-challenges
"CIOs must work with chief information security officers (CISOs) to ensure their organization:
Ensures clear accountability for cybersecurity risk to enable effective risk-based control decisions.
Builds a program that reflects the unique business context of the organization, capitalizing on generally accepted standards and proven practices.
Designs the program for agility and continuous improvement by emphasizing key principles and formalizing security processes"
Поспорить сложно, впрочем и деталей никаких. Применимо почти к любому другому типу риска.
"CIOs must work with chief information security officers (CISOs) to ensure their organization:
Ensures clear accountability for cybersecurity risk to enable effective risk-based control decisions.
Builds a program that reflects the unique business context of the organization, capitalizing on generally accepted standards and proven practices.
Designs the program for agility and continuous improvement by emphasizing key principles and formalizing security processes"
Поспорить сложно, впрочем и деталей никаких. Применимо почти к любому другому типу риска.
Gartner
The Top CIO Challenges | Gartner
Top CIO challenges hinge on AI, data, cybersecurity, business value and talent. Here’s how to address them.