Forwarded from k8s (in)security (r0binak)
Если вы по какой-то причине до сих пор используете обычные базовые образы (вроде
Статья рассматривает уязвимости базовых образов контейнеров, которые могут содержать известные
Авторы предлагают меры для минимизации риска, включая использование сканеров уязвимостей и оценку их актуальности.
debian или ubuntu) и не переходите на distroless, то статья "The vulnerability puzzle: understanding base images and their relationship to CVEs" как раз для вас.Статья рассматривает уязвимости базовых образов контейнеров, которые могут содержать известные
CVE. Отдельное внимание уделено зависимостям, которые могут быть точками входа для атак.Авторы предлагают меры для минимизации риска, включая использование сканеров уязвимостей и оценку их актуальности.
ARMO
Understanding base images and their relationship to CVEs
Learn how to stay ahead of the curve, and deal with CVEs swiftly and effectively—before they can affect your infrastructure.
Всегда полезно знать мнение ведущих экспертов в твоей области. Интересный проект - цифровая книга получился.
Почему то, правда среди "пророков" не оказалось ни одного крупного заказчика или высокотехнологического бизнеса.
Только вендоры, наука, интеграторы, и про это надо помнить когда изучаешь мнения.
Почему то, правда среди "пророков" не оказалось ни одного крупного заказчика или высокотехнологического бизнеса.
Только вендоры, наука, интеграторы, и про это надо помнить когда изучаешь мнения.
👍1
Forwarded from Пост Лукацкого
А вот еще ождин образчик писательского искусства - книга "ИБ-пророк", где собраны 22 уникальных прогноза от экспертов в области информационной безопасности, в которых они поделились своим видением развития отрасли на ближайшие три года. К числу пророко, ё, отнесли и меня, чем я с радостью и воспользовался, высказав свое видение на развитие ИБ в части всего лишь одного вопроса - изменения отношения бизнеса к ИБ 🧐
Please open Telegram to view this post
VIEW IN TELEGRAM
ФБР и CISA выпустили проект небольшого документа с худшими практиками по безопасности. Выглядит как интересная инициатива, особенно, если в финальном документе будут примеры небезопасных практик.
https://www.securityweek.com/cisa-fbi-seek-public-comment-on-software-security-bad-practices-guidance/
https://www.securityweek.com/cisa-fbi-seek-public-comment-on-software-security-bad-practices-guidance/
SecurityWeek
CISA, FBI Seek Public Comment on Software Security Bad Practices Guidance
CISA and the FBI are requesting public comment on new guidance regarding risky software security bad practices.
👍1
Пентагон опубликовал новую версию требований по ИБ для исполнитетелей по госконтрактам в виде модели зрелости по стандарту NIST 800-171 (Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations).
Первый уровень - самооценка, второй - самооценка/внешний аудит, третий - внешний аудит.
К документу приложена оценка стоимости реализации документа, с указанием примерной стоимости часов разных специалистов. Такое не часто встретишь даже в зарубежных стандартах.
https://www.scworld.com/news/pentagon-shares-new-cybersecurity-rules-for-government-contractors
Первый уровень - самооценка, второй - самооценка/внешний аудит, третий - внешний аудит.
К документу приложена оценка стоимости реализации документа, с указанием примерной стоимости часов разных специалистов. Такое не часто встретишь даже в зарубежных стандартах.
https://www.scworld.com/news/pentagon-shares-new-cybersecurity-rules-for-government-contractors
SC Media
Pentagon shares new cybersecurity rules for government contractors
The DOD introduced new cybersecurity requirements for companies that contract with the federal government.
Интересная антиреклама EDR в части собираемых событий. Sysmon занял место ближе к нижней части середины рейтинга.
Forwarded from Солдатов в Телеграм
Интересное сравнение EDR-ов, будем следить за проектом...
Но почему-то не оставляет ощущение, что приведенные события телеметрии - далеко не полный список + интересно посмотреть на то, как выглядят события, какие у них поля и как они отображаются в интерфейсе, поэтому хотелось бы увидеть что-то типа этого... но будем думать, что ребята разовьются и все исходники своего сравнения выложат куда-нибудь в Git, а мы уже сами проведем объективный с подходящей нам точки зрения анализ и сделаем выводы
#MDR
Но почему-то не оставляет ощущение, что приведенные события телеметрии - далеко не полный список + интересно посмотреть на то, как выглядят события, какие у них поля и как они отображаются в интерфейсе, поэтому хотелось бы увидеть что-то типа этого... но будем думать, что ребята разовьются и все исходники своего сравнения выложат куда-нибудь в Git, а мы уже сами проведем объективный с подходящей нам точки зрения анализ и сделаем выводы
#MDR
ISACARuSec
Европейский совет выпустил НМД с минимальными требованиями по Кибер безопасности для интернета вещей ( от холодильников и мед приборов до средств сигнализации). В требованиях указано : 1. Бесплатные и автоматические обновления безопасности. 2. Поддержка минимум…
С учётом этой инициативы и этой вступающей в силу директивы https://www.europarl.europa.eu/doceo/document/TA-9-2024-0132_EN.html#noscript2
Через 3 года ситуация с ИБ в ЕС будет значительно другой.
Последняя директива вступающая в силу осенью 2026 устанавливает ответственность разработчиков за уязвимости в продуктах из за которых потребители понесли ущерб или им была недоступна часть функций продукта.
Директива в целом направлена на установление ответственности за выпуск дефективных продуктов: искуственное замедление продуктов, отсутствие механизмов обновления, нераспространения информации о негативных послещствиях обновления и т.д.
Опенсорс исключен из действия директивы
Через 3 года ситуация с ИБ в ЕС будет значительно другой.
Последняя директива вступающая в силу осенью 2026 устанавливает ответственность разработчиков за уязвимости в продуктах из за которых потребители понесли ущерб или им была недоступна часть функций продукта.
Директива в целом направлена на установление ответственности за выпуск дефективных продуктов: искуственное замедление продуктов, отсутствие механизмов обновления, нераспространения информации о негативных послещствиях обновления и т.д.
Опенсорс исключен из действия директивы
Видео с конференции по практической безопасности Великобритании
bsidesexeter. Доклады для атакующих, защищающих и расследующих подразделений.
https://m.youtube.com/@BsidesExeter/playlists
bsidesexeter. Доклады для атакующих, защищающих и расследующих подразделений.
https://m.youtube.com/@BsidesExeter/playlists
YouTube
Bsides Exeter
Share your videos with friends, family, and the world
Вышел проект новой редакция стандарта NIST по переходу на более безопасные алгоритмы:
1. Отказ от режимов ECB и DSA.
2.Отказ от sha-1 и 224 битных хэш функций.
3. Обсуждение перехода на использование квантово устойчивых алгоритмов для цифровых подписей и обмена ключей.
Такие изменения давно напрашиваются, не исключено, что в финальной версии будут более жесткие рекомендации.
https://csrc.nist.gov/pubs/sp/800/131/a/r3/ipd
1. Отказ от режимов ECB и DSA.
2.Отказ от sha-1 и 224 битных хэш функций.
3. Обсуждение перехода на использование квантово устойчивых алгоритмов для цифровых подписей и обмена ключей.
Такие изменения давно напрашиваются, не исключено, что в финальной версии будут более жесткие рекомендации.
https://csrc.nist.gov/pubs/sp/800/131/a/r3/ipd
CSRC | NIST
NIST Special Publication (SP) 800-131A Rev. 3 (Draft), Transitioning the Use of Cryptographic Algorithms and Key Lengths
NIST provides cryptographic key management guidance for defining and implementing appropriate key-management procedures, using algorithms that adequately protect sensitive information, and planning for possible changes in the use of cryptography because of…