Здравый чек лист, правда для очень небольшого количества зрелых компаний. Остальным наверное придется ждать рекомендаций от регуляторов и вендора.
После таких новостей нужно обновить контраргумент на вопросы владельцев бюджетов - зачем тратить деньги если все равно взломают.
После таких новостей нужно обновить контраргумент на вопросы владельцев бюджетов - зачем тратить деньги если все равно взломают.
Forwarded from Пост Лукацкого
Что делать, если взломали производителя антивируса, который вы используете в своей инфраструктуре? 🔓 Небольшие рассуждения от меня и возможный чеклист действий ✔️
ЗЫ. А вот на случай удаления антивируса Касперского из Google Play рекомендации дала сама Лаборатория, но эта история менее интересна для корпоративных пользователей - она затрагивает скорее только физиков🛡 Но то, что инициатором удаления стало "Общество защиты Интернета" - это какой-то сюр...
ЗЫ. А вот на случай удаления антивируса Касперского из Google Play рекомендации дала сама Лаборатория, но эта история менее интересна для корпоративных пользователей - она затрагивает скорее только физиков
Please open Telegram to view this post
VIEW IN TELEGRAM
Бизнес без опасности - Блог, выступления, статьи, лекции, книги и немного юмора про кибербезопасность от Алексея Лукацкого
Что делать, если взломали вашего антивирусного вендора?
Представьте, что взломали антивирусного вендора, чьи решения вы используете в своей организации, о чем хакеры написали у себя в Telegram-канале. Ну или не антивирусного вендора, а производителя средств управления идентификацией и аутентификацией. Или производителя…
Forwarded from Нецифровая экономика (Dasha Sapozhkova)
Изучили данные по рынку кибербезопасности за 2023 год и дальнейшие прогнозы развития от Центра стратегических разработок (ЦСР).
Главные цифры:
▪️ Рынок кибербезопасности России оценивается в 248,5 млрд рублей по результатам 2023 года: совокупный прирост составил 28,5%.
▪️ Лидируют Лаборатория Касперского и Positive Technologies, причем с заметным отрывом.
▪️ Продолжил рост рынок средств защиты информации. Этот сегмент оценивается в 182,6 млрд рублей, +27,6% год к году. Хотя темп прироста на мировом рынке составляет всего 15,6%.
▪️ Лидер по темпам роста — рынок средств защиты информации. Он составил 23 млрд рублей, прирост — 93,8% по сравнению с 2022 годом.
▪️ Рынок безопасности данных составил 65,9 млрд рублей (+31,1%). В числе лидеров — Positive Technologies, BI.ZONE, ГК Солар, ГК Innostage, Jet Infosystems.
Если темпы роста, опережающие мировые показатели, сохранятся, то к 2028 году российский рынок кибербезопасности вырастет почти в 3 раза, до 715 млрд рублей. При этом доля иностранных решений на нём сократится до 5%.
Главные цифры:
Если темпы роста, опережающие мировые показатели, сохранятся, то к 2028 году российский рынок кибербезопасности вырастет почти в 3 раза, до 715 млрд рублей. При этом доля иностранных решений на нём сократится до 5%.
Please open Telegram to view this post
VIEW IN TELEGRAM
Интересный отчет, особенно если он продолжит ежегодный выпуск. Особенно понравилось:
1. Есть сравнение с прошлогодним прогнозом.
2. Указаны реальные основные факторы оказывающие влияние на рынок.
3. Не выкинули существующие покупки иностранных вендоров из отчета.
У отчета пока есть зоны развития:
1. Не указаны источники данных (просто указано, что они открытые).
2. В т.ч. указывать источник в разрезе разных показателей.
Например у кого то выручка публична и ещё и независимо аудируема для биржи, а у кого то данные в принципе закрыты. При попытке направить своим финансистам этот отчет у них будет первый вопрос - а по каким методикам оценивалась выручка РСБУ или МСФО, а иностранные вендоры могу вообще по GAAP считать? Простое изменение методики может изменить значения больше чем 20-50%.
3. Не погруженный читатель может подумать, что все иностранные вендоры указанные в отчёте остались на рынке. Тут бы не помешало пояснение.
4. Если делался опрос стоило указать выборку. Например опрошено 50 вендоров/ 10 экспертов.
5. Разбитие по классам продуктам похоже было вынужденное как минимум для инфраструктурной безопасности.
6. Надеюсь в следующих отчетах будет попытка оценки долей рынка не только по выручке, но и по количеству покупок.
1. Есть сравнение с прошлогодним прогнозом.
2. Указаны реальные основные факторы оказывающие влияние на рынок.
3. Не выкинули существующие покупки иностранных вендоров из отчета.
У отчета пока есть зоны развития:
1. Не указаны источники данных (просто указано, что они открытые).
2. В т.ч. указывать источник в разрезе разных показателей.
Например у кого то выручка публична и ещё и независимо аудируема для биржи, а у кого то данные в принципе закрыты. При попытке направить своим финансистам этот отчет у них будет первый вопрос - а по каким методикам оценивалась выручка РСБУ или МСФО, а иностранные вендоры могу вообще по GAAP считать? Простое изменение методики может изменить значения больше чем 20-50%.
3. Не погруженный читатель может подумать, что все иностранные вендоры указанные в отчёте остались на рынке. Тут бы не помешало пояснение.
4. Если делался опрос стоило указать выборку. Например опрошено 50 вендоров/ 10 экспертов.
5. Разбитие по классам продуктам похоже было вынужденное как минимум для инфраструктурной безопасности.
6. Надеюсь в следующих отчетах будет попытка оценки долей рынка не только по выручке, но и по количеству покупок.
В сведениях ФСТЭК есть краткий обзор на русском языке утвержденного в июне ISO/IEC 27403:2024 Cybersecurity – IoT security and privacy – Guidelines for IoT-domotics https://www.iso.org/standard/78702.html
ISO
ISO/IEC 27403:2024
Cybersecurity – IoT security and privacy – Guidelines for IoT-domotics
Forwarded from Листок бюрократической защиты информации
Сведения_о_принятых_стандартах_III_2024.pdf
563.8 KB
📖 Сведения о принятых национальных и международных стандартах за 3 квартал 2024 года
ФСТЭК России опубликовала Сведения о принятых национальных и международных стандартах за 3 квартал 2024 года.
ФСТЭК России опубликовала Сведения о принятых национальных и международных стандартах за 3 квартал 2024 года.
Please open Telegram to view this post
VIEW IN TELEGRAM
Британский управленческий гайд по борьбе с Шифровальщиками. Часто упоминаются рекомендации по действиям в контексте страхования.
https://www.gov.uk/government/publications/cri-guidance-for-organisations-during-ransomware-incidents/cri-guidance-for-organisations-during-ransomware-incidents
https://www.gov.uk/government/publications/cri-guidance-for-organisations-during-ransomware-incidents/cri-guidance-for-organisations-during-ransomware-incidents
GOV.UK
CRI guidance for organisations during ransomware incidents
1. Members of the Counter Ransomware Initiative[footnote 1] are joining together, alongside insurance bodies[footnote 2] to issue guidance for organisations experiencing a ransomware attack and partner organisations supporting them.
https://www.ncsc.gov.uk/guidance/board-level-cyber-discussions-communicating-clearly
Отличный гайд от регулятора Великобритании по тому как CISO общаться с Правлением/Советом директоров.
Есть ссылки на другие полезные гайды в т.ч. только для Великобритании.
Отличный гайд от регулятора Великобритании по тому как CISO общаться с Правлением/Советом директоров.
Есть ссылки на другие полезные гайды в т.ч. только для Великобритании.
www.ncsc.gov.uk
Engaging with Boards to improve the management of cyber security risk
How to communicate more effectively with board members to improve cyber security decision making.
Forwarded from Positive Security Day
Спикеры уже на месте, ждем только вас.
В ближайшие два часа расскажем о нашей продуктовой стратегии, обсудим настоящее и будущее кибербезопасности и поделимся важными инсайтами.
Вы с нами? Увидимся в зале «Молекула» и в прямом эфире!
#PositiveSecurityDay
Please open Telegram to view this post
VIEW IN TELEGRAM
Беспарольная аутентификации в Windows с использованием passkeys получит обновление в ближайшее время.
https://blogs.windows.com/windowsdeveloper/2024/10/08/passkeys-on-windows-authenticate-seamlessly-with-passkey-providers/
Что такое passkey можно почитать тут
https://habr.com/ru/companies/vk/articles/741720/
Если кратко - это токен который генерится вашим смартфоном и отдается или приложению или другому устройству по близости через bluetooth.
Выглядит как здравый подход для массовой безопасности, но для корпоративной требуется дополнительная оценка риска. Например, не у всех работников есть патченный телефон с поддержкой безопасной версией bluetooth. Причем при массовом распространении этой технологии будут более часто искать возможности взлома bluetooth.
https://blogs.windows.com/windowsdeveloper/2024/10/08/passkeys-on-windows-authenticate-seamlessly-with-passkey-providers/
Что такое passkey можно почитать тут
https://habr.com/ru/companies/vk/articles/741720/
Если кратко - это токен который генерится вашим смартфоном и отдается или приложению или другому устройству по близости через bluetooth.
Выглядит как здравый подход для массовой безопасности, но для корпоративной требуется дополнительная оценка риска. Например, не у всех работников есть патченный телефон с поддержкой безопасной версией bluetooth. Причем при массовом распространении этой технологии будут более часто искать возможности взлома bluetooth.
Windows Developer Blog
Passkeys on Windows: Authenticate seamlessly with passkey providers
Passkeys on Windows just got easier! As part of Microsoft’s vision for a passwordless future we are working t
https://www.choice.com.au/consumers-and-data/data-collection-and-use/who-has-your-data/articles/connected-cars-tracking-your-data
Если вы работаете в крупной компании у вас наверняка есть свой автопарк или нанятый таксопарк.
Стоит запланировать аудит ИБ вашего парка или подготовку требований аутсорсера. Почему это важно?
Вы можете ездить на автомобилях того же производителя у которого покупаете например станки или роботов....
Если вы работаете в крупной компании у вас наверняка есть свой автопарк или нанятый таксопарк.
Стоит запланировать аудит ИБ вашего парка или подготовку требований аутсорсера. Почему это важно?
Вы можете ездить на автомобилях того же производителя у которого покупаете например станки или роботов....
CHOICE
Drive one of these car brands? This is how much of your data they're tracking
We compare the privacy policies of Australia's biggest selling car brands to see how they track and monitor drivers.
10 ежегодный отчет по безопасности исходного кода опенсорса. Если кратко пока ситуация меняется скорее к худшему. Рекомендуется к вдумчивому изучению если вы занимаетесь проблемами безопасности кода.
https://www.sonatype.com/state-of-the-software-supply-chain/Introduction
"80% of application dependencies remain un-upgraded for over a year, even though 95% of these vulnerable versions have safer alternatives readily available. It’s not a matter of ‘if’ a breach will occur, but ‘when.’
Only 0.5% of OSS components have no available update (No Path Forward), meaning that nearly all risk is preventable if organizations take proactive steps to update their dependencies.
Even when updates are applied, 3.6% of dependencies are still vulnerable because they were updated to another insecure version.
Our analysis of over 20,000 enterprise applications shows that reliance on EOL (end-of-life) components, which no longer receive updates, leads to the gradual breakdown of software integrity, strongly indicating increased security vulnerabilities.
Looking at discoverability revealed that, despite over seven million open source components, only 10.5% (about 762,000) are actively used. This disparity highlights the noise developers face when selecting components."
https://www.sonatype.com/state-of-the-software-supply-chain/Introduction
"80% of application dependencies remain un-upgraded for over a year, even though 95% of these vulnerable versions have safer alternatives readily available. It’s not a matter of ‘if’ a breach will occur, but ‘when.’
Only 0.5% of OSS components have no available update (No Path Forward), meaning that nearly all risk is preventable if organizations take proactive steps to update their dependencies.
Even when updates are applied, 3.6% of dependencies are still vulnerable because they were updated to another insecure version.
Our analysis of over 20,000 enterprise applications shows that reliance on EOL (end-of-life) components, which no longer receive updates, leads to the gradual breakdown of software integrity, strongly indicating increased security vulnerabilities.
Looking at discoverability revealed that, despite over seven million open source components, only 10.5% (about 762,000) are actively used. This disparity highlights the noise developers face when selecting components."
Sonatype
2024 State of the Software Supply Chain | Executive Summary
Explore our 10th Annual State of the Software Supply Chain Report to gain insights on open source consumption, growing risks, and development efficiency.
Всегда казалось что единый репозиторий это экономически обоснованная идея как минимум для некоммерческих организаций - далеко не всем организациям под силу самим просто запатчится не говоря о рекомендованных процедурах проверки обновлений.
https://habr.com/ru/news/849856/
https://www.kommersant.ru/doc/7216062
https://habr.com/ru/news/849856/
https://www.kommersant.ru/doc/7216062
Хабр
Минцифры готовит общее регулирование существующих аналогов GitHub в РФ и отказывается от проекта единого репозитория
11 октября 2024 года СМИ сообщили , что Минцифры готовит единое регулирование существующих аналогов GitHub в РФ, включая общие требования по кибербезопасности. Ведомство отказывается от идеи создания...