Forwarded from SecAtor
В Лаборатории Касперского решили немного иначе взглянуть на резонансный инцидент с XZ Utils, на этот раз - через объектив видеокамеры, открывая тем самым новый интерактивный формат для исследований угроз.
Разыграть социнженерную драму в лицах экспертам Kaspersky GReAT определенно удалось и, следуя названию видео, можно констатировать, что получился действительно «нескучный разбор инцидента с XZ Utils».
В общем, смотрите сами: Youtube, RuTube, VK. Мы уже.
Разыграть социнженерную драму в лицах экспертам Kaspersky GReAT определенно удалось и, следуя названию видео, можно констатировать, что получился действительно «нескучный разбор инцидента с XZ Utils».
В общем, смотрите сами: Youtube, RuTube, VK. Мы уже.
Telegram
Порвали два трояна
🔄 Фройнт против Тана: нескучный разбор инцидента с XZ Utils
В марте этого года едва не произошла крупнейшая известная компрометация open source в истории, которая позволила бы злоумышленникам заходить в миллионы Linux-компьютеров по ssh как к себе домой.…
В марте этого года едва не произошла крупнейшая известная компрометация open source в истории, которая позволила бы злоумышленникам заходить в миллионы Linux-компьютеров по ssh как к себе домой.…
Forwarded from Технологический Болт Генона
Куберов безопасности день!
Мой коллега, Сергей Канибор (R&D Luntry, @useful_security и сооавтор канала @k8security) сходил на подкаст, где ведущим был Лёша Федулаев (руководитель направления Cloud Native Security, MTC Web Services, @ever_secure). Так же гостем подкаста был Вадим Шелест (руководитель группы анализа защищенности Wildberries, @purple_medved).
https://news.1rj.ru/str/safecode_channel/74
Слушать и смотреть можно тут
https://www.youtube.com/watch?v=PfxP0hKy7zU
https://podcasts.apple.com/us/podcast/safecode-live/id1705272703
https://music.yandex.ru/album/28211808
https://vk.com/podcasts-222298328
Мой коллега, Сергей Канибор (R&D Luntry, @useful_security и сооавтор канала @k8security) сходил на подкаст, где ведущим был Лёша Федулаев (руководитель направления Cloud Native Security, MTC Web Services, @ever_secure). Так же гостем подкаста был Вадим Шелест (руководитель группы анализа защищенности Wildberries, @purple_medved).
Кто и зачем ломает контейнеры? Разбираемся в пентесте K8s — в подкасте [SafeCode Live]
Сломали вебчик, а что дальше? Мы оказываемся в контейнере внутри K8s. Что злоумышленник может сделать дальше и может ли вообще что-либо сделать? Об этом мы узнаем в новом выпуске подкаста. А гости расскажут крутые истории из практики.
Поговорим про:
— отличия пентеста контейнеров от пентеста веба и инфраструктуры;
— компетенции специалиста, который этим занимается;
— уязвимости и способы защитить контейнеры.
https://news.1rj.ru/str/safecode_channel/74
Слушать и смотреть можно тут
https://www.youtube.com/watch?v=PfxP0hKy7zU
https://podcasts.apple.com/us/podcast/safecode-live/id1705272703
https://music.yandex.ru/album/28211808
https://vk.com/podcasts-222298328
Passkey получают поддержку от Альянса FIDO в виде 2 поддерживающих проектов :
1. "The Credential Exchange Protocol (CXP). CXP "aims to standardize the technical process for securely transferring [passkeys] between platforms," avoiding the risk of "user lock-in" and the unsecure migration process of exporting credentials from a conventional password manager"
2." Passkey Central, a website offering an implementation guide and set of informational resources and tools for supporting and facilitating passkey adoption "
https://www.wired.com/story/passkey-portability-fido-alliance/
https://www.passkeycentral.org/home
1. "The Credential Exchange Protocol (CXP). CXP "aims to standardize the technical process for securely transferring [passkeys] between platforms," avoiding the risk of "user lock-in" and the unsecure migration process of exporting credentials from a conventional password manager"
2." Passkey Central, a website offering an implementation guide and set of informational resources and tools for supporting and facilitating passkey adoption "
https://www.wired.com/story/passkey-portability-fido-alliance/
https://www.passkeycentral.org/home
WIRED
The War on Passwords Is One Step Closer to Being Over
“Passkeys,” the secure authentication mechanism built to replace passwords, are getting more portable and easier for organizations to implement thanks to new initiatives the FIDO Alliance announced on Monday.
Отчет от SOC специализирующегося на защите морского транспорта. На вскидку какой либо специфики не увидел.
https://marlink.com/news/news-resources/marlink-security-operations-centre-report-shows-continued-evolution-of-maritime-cyber-threats/
https://marlink.com/news/news-resources/marlink-security-operations-centre-report-shows-continued-evolution-of-maritime-cyber-threats/
Marlink | Managed Service Provider | Possibility Enablers
Marlink Security Operations Centre report shows continued evolution of maritime cyber threats
Unique maritime cybersecurity resource reports continued rise in malicious activity against shipping with new, sophisticated threat vectors emerging
Интресный опрос 500 CISO. С корректным описанием выборки. Жаль только, что статистики по расходам нет никаких.
https://www.trellix.com/solutions/mind-of-the-ciso-crossroads/
https://www.trellix.com/solutions/mind-of-the-ciso-crossroads/
Trellix
Mind of the CISO: CISO Crossroads | Trellix
Over 500 CISOs across America, Europe, the Middle East, and the Asia Pacific region share their views on cybersecurity regulation, the CISO role, and their interactions and challenges when reporting to their organization’s board.
Forwarded from k8s (in)security (r0binak)
Если вы по какой-то причине до сих пор используете обычные базовые образы (вроде
Статья рассматривает уязвимости базовых образов контейнеров, которые могут содержать известные
Авторы предлагают меры для минимизации риска, включая использование сканеров уязвимостей и оценку их актуальности.
debian или ubuntu) и не переходите на distroless, то статья "The vulnerability puzzle: understanding base images and their relationship to CVEs" как раз для вас.Статья рассматривает уязвимости базовых образов контейнеров, которые могут содержать известные
CVE. Отдельное внимание уделено зависимостям, которые могут быть точками входа для атак.Авторы предлагают меры для минимизации риска, включая использование сканеров уязвимостей и оценку их актуальности.
ARMO
Understanding base images and their relationship to CVEs
Learn how to stay ahead of the curve, and deal with CVEs swiftly and effectively—before they can affect your infrastructure.
Всегда полезно знать мнение ведущих экспертов в твоей области. Интересный проект - цифровая книга получился.
Почему то, правда среди "пророков" не оказалось ни одного крупного заказчика или высокотехнологического бизнеса.
Только вендоры, наука, интеграторы, и про это надо помнить когда изучаешь мнения.
Почему то, правда среди "пророков" не оказалось ни одного крупного заказчика или высокотехнологического бизнеса.
Только вендоры, наука, интеграторы, и про это надо помнить когда изучаешь мнения.
👍1
Forwarded from Пост Лукацкого
А вот еще ождин образчик писательского искусства - книга "ИБ-пророк", где собраны 22 уникальных прогноза от экспертов в области информационной безопасности, в которых они поделились своим видением развития отрасли на ближайшие три года. К числу пророко, ё, отнесли и меня, чем я с радостью и воспользовался, высказав свое видение на развитие ИБ в части всего лишь одного вопроса - изменения отношения бизнеса к ИБ 🧐
Please open Telegram to view this post
VIEW IN TELEGRAM
ФБР и CISA выпустили проект небольшого документа с худшими практиками по безопасности. Выглядит как интересная инициатива, особенно, если в финальном документе будут примеры небезопасных практик.
https://www.securityweek.com/cisa-fbi-seek-public-comment-on-software-security-bad-practices-guidance/
https://www.securityweek.com/cisa-fbi-seek-public-comment-on-software-security-bad-practices-guidance/
SecurityWeek
CISA, FBI Seek Public Comment on Software Security Bad Practices Guidance
CISA and the FBI are requesting public comment on new guidance regarding risky software security bad practices.
👍1
Пентагон опубликовал новую версию требований по ИБ для исполнитетелей по госконтрактам в виде модели зрелости по стандарту NIST 800-171 (Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations).
Первый уровень - самооценка, второй - самооценка/внешний аудит, третий - внешний аудит.
К документу приложена оценка стоимости реализации документа, с указанием примерной стоимости часов разных специалистов. Такое не часто встретишь даже в зарубежных стандартах.
https://www.scworld.com/news/pentagon-shares-new-cybersecurity-rules-for-government-contractors
Первый уровень - самооценка, второй - самооценка/внешний аудит, третий - внешний аудит.
К документу приложена оценка стоимости реализации документа, с указанием примерной стоимости часов разных специалистов. Такое не часто встретишь даже в зарубежных стандартах.
https://www.scworld.com/news/pentagon-shares-new-cybersecurity-rules-for-government-contractors
SC Media
Pentagon shares new cybersecurity rules for government contractors
The DOD introduced new cybersecurity requirements for companies that contract with the federal government.