Всегда полезно знать мнение ведущих экспертов в твоей области. Интересный проект - цифровая книга получился.
Почему то, правда среди "пророков" не оказалось ни одного крупного заказчика или высокотехнологического бизнеса.
Только вендоры, наука, интеграторы, и про это надо помнить когда изучаешь мнения.
Почему то, правда среди "пророков" не оказалось ни одного крупного заказчика или высокотехнологического бизнеса.
Только вендоры, наука, интеграторы, и про это надо помнить когда изучаешь мнения.
👍1
Forwarded from Пост Лукацкого
А вот еще ождин образчик писательского искусства - книга "ИБ-пророк", где собраны 22 уникальных прогноза от экспертов в области информационной безопасности, в которых они поделились своим видением развития отрасли на ближайшие три года. К числу пророко, ё, отнесли и меня, чем я с радостью и воспользовался, высказав свое видение на развитие ИБ в части всего лишь одного вопроса - изменения отношения бизнеса к ИБ 🧐
Please open Telegram to view this post
VIEW IN TELEGRAM
ФБР и CISA выпустили проект небольшого документа с худшими практиками по безопасности. Выглядит как интересная инициатива, особенно, если в финальном документе будут примеры небезопасных практик.
https://www.securityweek.com/cisa-fbi-seek-public-comment-on-software-security-bad-practices-guidance/
https://www.securityweek.com/cisa-fbi-seek-public-comment-on-software-security-bad-practices-guidance/
SecurityWeek
CISA, FBI Seek Public Comment on Software Security Bad Practices Guidance
CISA and the FBI are requesting public comment on new guidance regarding risky software security bad practices.
👍1
Пентагон опубликовал новую версию требований по ИБ для исполнитетелей по госконтрактам в виде модели зрелости по стандарту NIST 800-171 (Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations).
Первый уровень - самооценка, второй - самооценка/внешний аудит, третий - внешний аудит.
К документу приложена оценка стоимости реализации документа, с указанием примерной стоимости часов разных специалистов. Такое не часто встретишь даже в зарубежных стандартах.
https://www.scworld.com/news/pentagon-shares-new-cybersecurity-rules-for-government-contractors
Первый уровень - самооценка, второй - самооценка/внешний аудит, третий - внешний аудит.
К документу приложена оценка стоимости реализации документа, с указанием примерной стоимости часов разных специалистов. Такое не часто встретишь даже в зарубежных стандартах.
https://www.scworld.com/news/pentagon-shares-new-cybersecurity-rules-for-government-contractors
SC Media
Pentagon shares new cybersecurity rules for government contractors
The DOD introduced new cybersecurity requirements for companies that contract with the federal government.
Интересная антиреклама EDR в части собираемых событий. Sysmon занял место ближе к нижней части середины рейтинга.
Forwarded from Солдатов в Телеграм
Интересное сравнение EDR-ов, будем следить за проектом...
Но почему-то не оставляет ощущение, что приведенные события телеметрии - далеко не полный список + интересно посмотреть на то, как выглядят события, какие у них поля и как они отображаются в интерфейсе, поэтому хотелось бы увидеть что-то типа этого... но будем думать, что ребята разовьются и все исходники своего сравнения выложат куда-нибудь в Git, а мы уже сами проведем объективный с подходящей нам точки зрения анализ и сделаем выводы
#MDR
Но почему-то не оставляет ощущение, что приведенные события телеметрии - далеко не полный список + интересно посмотреть на то, как выглядят события, какие у них поля и как они отображаются в интерфейсе, поэтому хотелось бы увидеть что-то типа этого... но будем думать, что ребята разовьются и все исходники своего сравнения выложат куда-нибудь в Git, а мы уже сами проведем объективный с подходящей нам точки зрения анализ и сделаем выводы
#MDR
ISACARuSec
Европейский совет выпустил НМД с минимальными требованиями по Кибер безопасности для интернета вещей ( от холодильников и мед приборов до средств сигнализации). В требованиях указано : 1. Бесплатные и автоматические обновления безопасности. 2. Поддержка минимум…
С учётом этой инициативы и этой вступающей в силу директивы https://www.europarl.europa.eu/doceo/document/TA-9-2024-0132_EN.html#noscript2
Через 3 года ситуация с ИБ в ЕС будет значительно другой.
Последняя директива вступающая в силу осенью 2026 устанавливает ответственность разработчиков за уязвимости в продуктах из за которых потребители понесли ущерб или им была недоступна часть функций продукта.
Директива в целом направлена на установление ответственности за выпуск дефективных продуктов: искуственное замедление продуктов, отсутствие механизмов обновления, нераспространения информации о негативных послещствиях обновления и т.д.
Опенсорс исключен из действия директивы
Через 3 года ситуация с ИБ в ЕС будет значительно другой.
Последняя директива вступающая в силу осенью 2026 устанавливает ответственность разработчиков за уязвимости в продуктах из за которых потребители понесли ущерб или им была недоступна часть функций продукта.
Директива в целом направлена на установление ответственности за выпуск дефективных продуктов: искуственное замедление продуктов, отсутствие механизмов обновления, нераспространения информации о негативных послещствиях обновления и т.д.
Опенсорс исключен из действия директивы
Видео с конференции по практической безопасности Великобритании
bsidesexeter. Доклады для атакующих, защищающих и расследующих подразделений.
https://m.youtube.com/@BsidesExeter/playlists
bsidesexeter. Доклады для атакующих, защищающих и расследующих подразделений.
https://m.youtube.com/@BsidesExeter/playlists
YouTube
Bsides Exeter
Share your videos with friends, family, and the world
Вышел проект новой редакция стандарта NIST по переходу на более безопасные алгоритмы:
1. Отказ от режимов ECB и DSA.
2.Отказ от sha-1 и 224 битных хэш функций.
3. Обсуждение перехода на использование квантово устойчивых алгоритмов для цифровых подписей и обмена ключей.
Такие изменения давно напрашиваются, не исключено, что в финальной версии будут более жесткие рекомендации.
https://csrc.nist.gov/pubs/sp/800/131/a/r3/ipd
1. Отказ от режимов ECB и DSA.
2.Отказ от sha-1 и 224 битных хэш функций.
3. Обсуждение перехода на использование квантово устойчивых алгоритмов для цифровых подписей и обмена ключей.
Такие изменения давно напрашиваются, не исключено, что в финальной версии будут более жесткие рекомендации.
https://csrc.nist.gov/pubs/sp/800/131/a/r3/ipd
CSRC | NIST
NIST Special Publication (SP) 800-131A Rev. 3 (Draft), Transitioning the Use of Cryptographic Algorithms and Key Lengths
NIST provides cryptographic key management guidance for defining and implementing appropriate key-management procedures, using algorithms that adequately protect sensitive information, and planning for possible changes in the use of cryptography because of…