Интересный отчет, особенно если он продолжит ежегодный выпуск. Особенно понравилось:
1. Есть сравнение с прошлогодним прогнозом.
2. Указаны реальные основные факторы оказывающие влияние на рынок.
3. Не выкинули существующие покупки иностранных вендоров из отчета.
У отчета пока есть зоны развития:
1. Не указаны источники данных (просто указано, что они открытые).
2. В т.ч. указывать источник в разрезе разных показателей.
Например у кого то выручка публична и ещё и независимо аудируема для биржи, а у кого то данные в принципе закрыты. При попытке направить своим финансистам этот отчет у них будет первый вопрос - а по каким методикам оценивалась выручка РСБУ или МСФО, а иностранные вендоры могу вообще по GAAP считать? Простое изменение методики может изменить значения больше чем 20-50%.
3. Не погруженный читатель может подумать, что все иностранные вендоры указанные в отчёте остались на рынке. Тут бы не помешало пояснение.
4. Если делался опрос стоило указать выборку. Например опрошено 50 вендоров/ 10 экспертов.
5. Разбитие по классам продуктам похоже было вынужденное как минимум для инфраструктурной безопасности.
6. Надеюсь в следующих отчетах будет попытка оценки долей рынка не только по выручке, но и по количеству покупок.
1. Есть сравнение с прошлогодним прогнозом.
2. Указаны реальные основные факторы оказывающие влияние на рынок.
3. Не выкинули существующие покупки иностранных вендоров из отчета.
У отчета пока есть зоны развития:
1. Не указаны источники данных (просто указано, что они открытые).
2. В т.ч. указывать источник в разрезе разных показателей.
Например у кого то выручка публична и ещё и независимо аудируема для биржи, а у кого то данные в принципе закрыты. При попытке направить своим финансистам этот отчет у них будет первый вопрос - а по каким методикам оценивалась выручка РСБУ или МСФО, а иностранные вендоры могу вообще по GAAP считать? Простое изменение методики может изменить значения больше чем 20-50%.
3. Не погруженный читатель может подумать, что все иностранные вендоры указанные в отчёте остались на рынке. Тут бы не помешало пояснение.
4. Если делался опрос стоило указать выборку. Например опрошено 50 вендоров/ 10 экспертов.
5. Разбитие по классам продуктам похоже было вынужденное как минимум для инфраструктурной безопасности.
6. Надеюсь в следующих отчетах будет попытка оценки долей рынка не только по выручке, но и по количеству покупок.
В сведениях ФСТЭК есть краткий обзор на русском языке утвержденного в июне ISO/IEC 27403:2024 Cybersecurity – IoT security and privacy – Guidelines for IoT-domotics https://www.iso.org/standard/78702.html
ISO
ISO/IEC 27403:2024
Cybersecurity – IoT security and privacy – Guidelines for IoT-domotics
Forwarded from Листок бюрократической защиты информации
Сведения_о_принятых_стандартах_III_2024.pdf
563.8 KB
📖 Сведения о принятых национальных и международных стандартах за 3 квартал 2024 года
ФСТЭК России опубликовала Сведения о принятых национальных и международных стандартах за 3 квартал 2024 года.
ФСТЭК России опубликовала Сведения о принятых национальных и международных стандартах за 3 квартал 2024 года.
Please open Telegram to view this post
VIEW IN TELEGRAM
Британский управленческий гайд по борьбе с Шифровальщиками. Часто упоминаются рекомендации по действиям в контексте страхования.
https://www.gov.uk/government/publications/cri-guidance-for-organisations-during-ransomware-incidents/cri-guidance-for-organisations-during-ransomware-incidents
https://www.gov.uk/government/publications/cri-guidance-for-organisations-during-ransomware-incidents/cri-guidance-for-organisations-during-ransomware-incidents
GOV.UK
CRI guidance for organisations during ransomware incidents
1. Members of the Counter Ransomware Initiative[footnote 1] are joining together, alongside insurance bodies[footnote 2] to issue guidance for organisations experiencing a ransomware attack and partner organisations supporting them.
https://www.ncsc.gov.uk/guidance/board-level-cyber-discussions-communicating-clearly
Отличный гайд от регулятора Великобритании по тому как CISO общаться с Правлением/Советом директоров.
Есть ссылки на другие полезные гайды в т.ч. только для Великобритании.
Отличный гайд от регулятора Великобритании по тому как CISO общаться с Правлением/Советом директоров.
Есть ссылки на другие полезные гайды в т.ч. только для Великобритании.
www.ncsc.gov.uk
Engaging with Boards to improve the management of cyber security risk
How to communicate more effectively with board members to improve cyber security decision making.
Forwarded from Positive Security Day
Спикеры уже на месте, ждем только вас.
В ближайшие два часа расскажем о нашей продуктовой стратегии, обсудим настоящее и будущее кибербезопасности и поделимся важными инсайтами.
Вы с нами? Увидимся в зале «Молекула» и в прямом эфире!
#PositiveSecurityDay
Please open Telegram to view this post
VIEW IN TELEGRAM
Беспарольная аутентификации в Windows с использованием passkeys получит обновление в ближайшее время.
https://blogs.windows.com/windowsdeveloper/2024/10/08/passkeys-on-windows-authenticate-seamlessly-with-passkey-providers/
Что такое passkey можно почитать тут
https://habr.com/ru/companies/vk/articles/741720/
Если кратко - это токен который генерится вашим смартфоном и отдается или приложению или другому устройству по близости через bluetooth.
Выглядит как здравый подход для массовой безопасности, но для корпоративной требуется дополнительная оценка риска. Например, не у всех работников есть патченный телефон с поддержкой безопасной версией bluetooth. Причем при массовом распространении этой технологии будут более часто искать возможности взлома bluetooth.
https://blogs.windows.com/windowsdeveloper/2024/10/08/passkeys-on-windows-authenticate-seamlessly-with-passkey-providers/
Что такое passkey можно почитать тут
https://habr.com/ru/companies/vk/articles/741720/
Если кратко - это токен который генерится вашим смартфоном и отдается или приложению или другому устройству по близости через bluetooth.
Выглядит как здравый подход для массовой безопасности, но для корпоративной требуется дополнительная оценка риска. Например, не у всех работников есть патченный телефон с поддержкой безопасной версией bluetooth. Причем при массовом распространении этой технологии будут более часто искать возможности взлома bluetooth.
Windows Developer Blog
Passkeys on Windows: Authenticate seamlessly with passkey providers
Passkeys on Windows just got easier! As part of Microsoft’s vision for a passwordless future we are working t
https://www.choice.com.au/consumers-and-data/data-collection-and-use/who-has-your-data/articles/connected-cars-tracking-your-data
Если вы работаете в крупной компании у вас наверняка есть свой автопарк или нанятый таксопарк.
Стоит запланировать аудит ИБ вашего парка или подготовку требований аутсорсера. Почему это важно?
Вы можете ездить на автомобилях того же производителя у которого покупаете например станки или роботов....
Если вы работаете в крупной компании у вас наверняка есть свой автопарк или нанятый таксопарк.
Стоит запланировать аудит ИБ вашего парка или подготовку требований аутсорсера. Почему это важно?
Вы можете ездить на автомобилях того же производителя у которого покупаете например станки или роботов....
CHOICE
Drive one of these car brands? This is how much of your data they're tracking
We compare the privacy policies of Australia's biggest selling car brands to see how they track and monitor drivers.
10 ежегодный отчет по безопасности исходного кода опенсорса. Если кратко пока ситуация меняется скорее к худшему. Рекомендуется к вдумчивому изучению если вы занимаетесь проблемами безопасности кода.
https://www.sonatype.com/state-of-the-software-supply-chain/Introduction
"80% of application dependencies remain un-upgraded for over a year, even though 95% of these vulnerable versions have safer alternatives readily available. It’s not a matter of ‘if’ a breach will occur, but ‘when.’
Only 0.5% of OSS components have no available update (No Path Forward), meaning that nearly all risk is preventable if organizations take proactive steps to update their dependencies.
Even when updates are applied, 3.6% of dependencies are still vulnerable because they were updated to another insecure version.
Our analysis of over 20,000 enterprise applications shows that reliance on EOL (end-of-life) components, which no longer receive updates, leads to the gradual breakdown of software integrity, strongly indicating increased security vulnerabilities.
Looking at discoverability revealed that, despite over seven million open source components, only 10.5% (about 762,000) are actively used. This disparity highlights the noise developers face when selecting components."
https://www.sonatype.com/state-of-the-software-supply-chain/Introduction
"80% of application dependencies remain un-upgraded for over a year, even though 95% of these vulnerable versions have safer alternatives readily available. It’s not a matter of ‘if’ a breach will occur, but ‘when.’
Only 0.5% of OSS components have no available update (No Path Forward), meaning that nearly all risk is preventable if organizations take proactive steps to update their dependencies.
Even when updates are applied, 3.6% of dependencies are still vulnerable because they were updated to another insecure version.
Our analysis of over 20,000 enterprise applications shows that reliance on EOL (end-of-life) components, which no longer receive updates, leads to the gradual breakdown of software integrity, strongly indicating increased security vulnerabilities.
Looking at discoverability revealed that, despite over seven million open source components, only 10.5% (about 762,000) are actively used. This disparity highlights the noise developers face when selecting components."
Sonatype
2024 State of the Software Supply Chain | Executive Summary
Explore our 10th Annual State of the Software Supply Chain Report to gain insights on open source consumption, growing risks, and development efficiency.
Всегда казалось что единый репозиторий это экономически обоснованная идея как минимум для некоммерческих организаций - далеко не всем организациям под силу самим просто запатчится не говоря о рекомендованных процедурах проверки обновлений.
https://habr.com/ru/news/849856/
https://www.kommersant.ru/doc/7216062
https://habr.com/ru/news/849856/
https://www.kommersant.ru/doc/7216062
Хабр
Минцифры готовит общее регулирование существующих аналогов GitHub в РФ и отказывается от проекта единого репозитория
11 октября 2024 года СМИ сообщили , что Минцифры готовит единое регулирование существующих аналогов GitHub в РФ, включая общие требования по кибербезопасности. Ведомство отказывается от идеи создания...
На рассмотрение в Австралии один из самых прогрессивных законопроектов по ИБ в своей истории - от обязанности о сообщении об инцидентах, обязательного уведомления о выплате выкупа, запрет на продажу устройств не соотвествующим минимальным требованиям по ИБ.
https://www.darkreading.com/cybersecurity-operations/australia-intros-first-national-cyber-legislation
https://www.darkreading.com/cybersecurity-operations/australia-intros-first-national-cyber-legislation
Darkreading
Australia Intros Its First National Cyber Legislation
The bill is broken up into several pieces, including ransomware reporting and securing smart devices, among other objectives.
Европейский совет выпустил НМД с минимальными требованиями по Кибер безопасности для интернета вещей ( от холодильников и мед приборов до средств сигнализации).
В требованиях указано :
1. Бесплатные и автоматические обновления безопасности.
2. Поддержка минимум в течение 5 лет.
3. Запуск и поддержка программы раскрытия уязвимостей.
4. Уведомление ЕС если уязвимость начинают эксплуатировать.
Впереди голосование в Европарламенте и подписание президентом ЕС.
Требования применяются через 3 года с момента вступления в силу этого акта.
Продукты выполнившие эти требования будут иметь право на маркировку "CE"
https://www.consilium.europa.eu/en/press/press-releases/2024/10/10/cyber-resilience-act-council-adopts-new-law-on-security-requirements-for-digital-products/
В требованиях указано :
1. Бесплатные и автоматические обновления безопасности.
2. Поддержка минимум в течение 5 лет.
3. Запуск и поддержка программы раскрытия уязвимостей.
4. Уведомление ЕС если уязвимость начинают эксплуатировать.
Впереди голосование в Европарламенте и подписание президентом ЕС.
Требования применяются через 3 года с момента вступления в силу этого акта.
Продукты выполнившие эти требования будут иметь право на маркировку "CE"
https://www.consilium.europa.eu/en/press/press-releases/2024/10/10/cyber-resilience-act-council-adopts-new-law-on-security-requirements-for-digital-products/
Consilium
Cyber resilience act: Council adopts new law on security requirements for digital products
Cyber resilience act: Council adopts new law on cybersecurity requirements for products with digital elements.
Свежий гайд от МС как боротся с атаками на АД типа Kerberoasting (извлечения пароля из тикетов сервисных учеток).
Рекомендации сводятся к:
1. использованию функционала Group Managed Service Accounts (gMSA) or Delegated Managed Service Accounts (dMSA).
2.испоользованию сложных паролей от 14 символов для сервисных и пользовательских уз.
3. Включить обязательный AES для использования в тикетах для сервисных учеток.
4. Убедиться, что у обычных или сервисных для приклада уз нет Service Principal Names (SPNs) .
5. Настроить уведомления (SIEM?) когда один пользователь запрашивает множество сервисных тикетов за короткий период времени.
https://www.microsoft.com/en-us/security/blog/2024/10/11/microsofts-guidance-to-help-mitigate-kerberoasting/
Рекомендации сводятся к:
1. использованию функционала Group Managed Service Accounts (gMSA) or Delegated Managed Service Accounts (dMSA).
2.испоользованию сложных паролей от 14 символов для сервисных и пользовательских уз.
3. Включить обязательный AES для использования в тикетах для сервисных учеток.
4. Убедиться, что у обычных или сервисных для приклада уз нет Service Principal Names (SPNs) .
5. Настроить уведомления (SIEM?) когда один пользователь запрашивает множество сервисных тикетов за короткий период времени.
https://www.microsoft.com/en-us/security/blog/2024/10/11/microsofts-guidance-to-help-mitigate-kerberoasting/
Microsoft News
Microsoft’s guidance to help mitigate Kerberoasting
Kerberoasting, a well-known Active Directory (AD) attack vector, enables threat actors to steal credentials and navigate through devices and networks. Microsoft is sharing recommended actions administrators can take now to help prevent successful Kerberoasting…