Британский управленческий гайд по борьбе с Шифровальщиками. Часто упоминаются рекомендации по действиям в контексте страхования.

https://www.gov.uk/government/publications/cri-guidance-for-organisations-during-ransomware-incidents/cri-guidance-for-organisations-during-ransomware-incidents

https://www.ncsc.gov.uk/guidance/board-level-cyber-discussions-communicating-clearly

Отличный гайд от регулятора Великобритании по тому как CISO общаться с Правлением/Советом директоров.

Есть ссылки на другие полезные гайды в т.ч. только для Великобритании.

Онлайн трансляция продуктовой конференции одного из Лидеров рынка РФ.

Беспарольная аутентификации в Windows с использованием passkeys получит обновление в ближайшее время.

https://blogs.windows.com/windowsdeveloper/2024/10/08/passkeys-on-windows-authenticate-seamlessly-with-passkey-providers/

Что такое passkey можно почитать тут
https://habr.com/ru/companies/vk/articles/741720/

Если кратко - это токен который генерится вашим смартфоном и отдается или приложению или другому устройству по близости через bluetooth.

Выглядит как здравый подход для массовой безопасности, но для корпоративной требуется дополнительная оценка риска. Например, не у всех работников есть патченный телефон с поддержкой безопасной версией bluetooth. Причем при массовом распространении этой технологии будут более часто искать возможности взлома bluetooth.

https://www.choice.com.au/consumers-and-data/data-collection-and-use/who-has-your-data/articles/connected-cars-tracking-your-data

Если вы работаете в крупной компании у вас наверняка есть свой автопарк или нанятый таксопарк.

Стоит запланировать аудит ИБ вашего парка или подготовку требований аутсорсера. Почему это важно?
Вы можете ездить на автомобилях того же производителя у которого покупаете например станки или роботов....

10 ежегодный отчет по безопасности исходного кода опенсорса. Если кратко пока ситуация меняется скорее к худшему. Рекомендуется к вдумчивому изучению если вы занимаетесь проблемами безопасности кода.

https://www.sonatype.com/state-of-the-software-supply-chain/Introduction

"80% of application dependencies remain un-upgraded for over a year, even though 95% of these vulnerable versions have safer alternatives readily available. It’s not a matter of ‘if’ a breach will occur, but ‘when.’

Only 0.5% of OSS components have no available update (No Path Forward), meaning that nearly all risk is preventable if organizations take proactive steps to update their dependencies.

Even when updates are applied, 3.6% of dependencies are still vulnerable because they were updated to another insecure version.

Our analysis of over 20,000 enterprise applications shows that reliance on EOL (end-of-life) components, which no longer receive updates, leads to the gradual breakdown of software integrity, strongly indicating increased security vulnerabilities.

Looking at discoverability revealed that, despite over seven million open source components, only 10.5% (about 762,000) are actively used. This disparity highlights the noise developers face when selecting components."

Всегда казалось что единый репозиторий это экономически обоснованная идея как минимум для некоммерческих организаций - далеко не всем организациям под силу самим просто запатчится не говоря о рекомендованных процедурах проверки обновлений.

https://habr.com/ru/news/849856/

https://www.kommersant.ru/doc/7216062

На рассмотрение в Австралии один из самых прогрессивных законопроектов по ИБ в своей истории - от обязанности о сообщении об инцидентах, обязательного уведомления о выплате выкупа, запрет на продажу устройств не соотвествующим минимальным требованиям по ИБ.

https://www.darkreading.com/cybersecurity-operations/australia-intros-first-national-cyber-legislation

Европейский совет выпустил НМД с минимальными требованиями по Кибер безопасности для интернета вещей ( от холодильников и мед приборов до средств сигнализации).
В требованиях указано :
1. Бесплатные и автоматические обновления безопасности.
2. Поддержка минимум в течение 5 лет.
3. Запуск и поддержка программы раскрытия уязвимостей.
4. Уведомление ЕС если уязвимость начинают эксплуатировать.

Впереди голосование в Европарламенте и подписание президентом ЕС.

Требования применяются через 3 года с момента вступления в силу этого акта.

Продукты выполнившие эти требования будут иметь право на маркировку "CE"

https://www.consilium.europa.eu/en/press/press-releases/2024/10/10/cyber-resilience-act-council-adopts-new-law-on-security-requirements-for-digital-products/

Свежий гайд от МС как боротся с атаками на АД типа Kerberoasting (извлечения пароля из тикетов сервисных учеток).

Рекомендации сводятся к:
1. использованию функционала Group Managed Service Accounts (gMSA) or Delegated Managed Service Accounts (dMSA).
2.испоользованию сложных паролей от 14 символов для сервисных и пользовательских уз.
3. Включить обязательный AES для использования в тикетах для сервисных учеток.
4. Убедиться, что у обычных или сервисных для приклада уз нет Service Principal Names (SPNs) .
5. Настроить уведомления (SIEM?) когда один пользователь запрашивает множество сервисных тикетов за короткий период времени.

https://www.microsoft.com/en-us/security/blog/2024/10/11/microsofts-guidance-to-help-mitigate-kerberoasting/

Гугл расширило свою программу бесплатной защиты от Ddos до некоммерческих творческих и научных организаций.

https://cloud.google.com/blog/products/identity-security/project-shield-expands-free-ddos-protection

Записи с конференции ComfyCon. В основном спикеры из Австралии и новой Зеландии.

Конференция стартовала во времена ковида как ответ на отмену очных конференций. Поэтому формат - все спикеры удаленно.

По содержанию - не хардкор. Местами начальные темы типа введение в моделирование угроз stride/pasta/Trike.

https://m.youtube.com/watch?v=RH9CaKJMbb4&list=PLg-aMs82kVNoFqZkmSdL8f5Q1ybtrdkGi&pp=iAQB

Информация по инвестициям в ИБ за 3 квартал преимущественно в США и Израиле.

Если второй квартал был интересен попыткой покупки Wiz компанией Google за 23 млрд $, в итоге Виз получил около 1 млрд $ инвестиций и отказался от сделки с Google.

То в 3 квартале всего 4 сделки/инвестиции:
1. Kiteworks 456 млн $ Безопасный обмен и распространение конфиденциальной информации.

2.Abnormal Security 250 млн. Компания делает продукцию чтобы остановить атаки и поиск взломанных аккаунтов с помощью ИИ и анализа поведения людей.

3. Vanta 150 млн. Платформа для автоматизации и ускорения процедур комплаенса и риск менеджмента.

4.Chainguard - контейнеры с низкими или без уязвимостей для разработки и запуска приложений 140 млн.

+ По очевидным причинам инвестии в Стартапы в Израиле снизились.

https://news.crunchbase.com/venture/cybersecurity-recap-q3-2024/

Видеоконтента по Кибербезопасности хватает на полноценный 24/7 канал. Вы бы вернулись к просмотру телевизора если бы был такой канал? Или ТВ в прошлом - только вертикальные видео и сторис? 🙂

В Лаборатории Касперского решили немного иначе взглянуть на резонансный инцидент с XZ Utils, на этот раз - через объектив видеокамеры, открывая тем самым новый интерактивный формат для исследований угроз.

Разыграть социнженерную драму в лицах экспертам Kaspersky GReAT определенно удалось и, следуя названию видео, можно констатировать, что получился действительно «нескучный разбор инцидента с XZ Utils».

В общем, смотрите сами: Youtube, RuTube, VK. Мы уже.