Видео с румынской конференции DefCamp. Темы от нейросетей до IOT.
https://m.youtube.com/playlist?list=PLnwq8gv9MEKiaXSWNRmCrW9Q-lUd_kAgr
https://m.youtube.com/playlist?list=PLnwq8gv9MEKiaXSWNRmCrW9Q-lUd_kAgr
NIST рассматривает возможность стандартизации увеличения размеров блока одного из вариантов AES (Rijndael) до 256 бит. Больший размер блока может повысить производительность для сценариев с большим объемом шифруемой информации, особенно для сценариев хранения.
https://csrc.nist.gov/pubs/sp/800/197/iprd
https://csrc.nist.gov/pubs/sp/800/197/iprd
CSRC | NIST
NIST Special Publication (SP) 800-197 (Draft), PRE-DRAFT Call for Comments: NIST Proposes to Standardize a Wider Variant of AES
Forwarded from DevSecOps Talks
Новая версия DAF!
Привет, друзья! В новый год идём с новой версией фреймворка DAF 😅
В этой версии:
— добавили новый домен "Безопасность заказной разработки"
— добавили новый статус для каждой практики "Не применимо" на случай, если та или иная практика не применима в Компании и не нужно считать степень её выполнения
— актуализировали маппинг практик DAF на SAMM
— сделали маппинг требований DAF на фреймворк AppSec Table Top от уважаемых коллег из Positive Technologies
— добавили "экспериментальные" листы с расчетом FTE для Appsec специалистов и DevSecOps инженеров. ВАЖНО: мы пока прорабатываем оптимальный подход к задаче автоматизированного расчета FTE, здесь всегда будет много разных "но" и "если", мы постарались сделать эти "калькуляторы" наиболее индикативными.
Будем рады вашей обратной связи! И напоминаем, что участие в развитии фреймворка DAF обязательно будет вознаграждено🍺
Привет, друзья! В новый год идём с новой версией фреймворка DAF 😅
В этой версии:
— добавили новый домен "Безопасность заказной разработки"
— добавили новый статус для каждой практики "Не применимо" на случай, если та или иная практика не применима в Компании и не нужно считать степень её выполнения
— актуализировали маппинг практик DAF на SAMM
— сделали маппинг требований DAF на фреймворк AppSec Table Top от уважаемых коллег из Positive Technologies
— добавили "экспериментальные" листы с расчетом FTE для Appsec специалистов и DevSecOps инженеров. ВАЖНО: мы пока прорабатываем оптимальный подход к задаче автоматизированного расчета FTE, здесь всегда будет много разных "но" и "если", мы постарались сделать эти "калькуляторы" наиболее индикативными.
Будем рады вашей обратной связи! И напоминаем, что участие в развитии фреймворка DAF обязательно будет вознаграждено🍺
GitHub
GitHub - Jet-Security-Team/DevSecOps-Assessment-Framework: DevSecOps Assessment Framework
DevSecOps Assessment Framework. Contribute to Jet-Security-Team/DevSecOps-Assessment-Framework development by creating an account on GitHub.
👍2
Поздравляю с наступающим новым годом, дорогие читатели! Этот год выдался интенсивным у автора канала, в новом году постараюсь вас чаще радовать новыми полезными практиками!
Спасибо, что читаете нас!
Спасибо, что читаете нас!
https://csrc.nist.gov/pubs/sp/800/189/r1/ipd
"This document provides technical guidance and recommendations to improve the security and resilience of Internet routing based on BGP. Technologies recommended in this document for securing Internet routing include Resource Public Key Infrastructure (RPKI), Route Origin Authorization (ROA), ROA-based route origin validation (ROA-ROV), and prefix filtering. Additionally, the technologies recommended for mitigating DDoS attacks focus on the prevention of IP address spoofing using source address validation (SAV) with access control lists (ACLs) and unicast Reverse Path Forwarding (uRPF). Other technologies are also recommended as part of the overall security mechanisms, such as remotely triggered black hole (RTBH) filtering and flow specification (Flowspec)."
"This document provides technical guidance and recommendations to improve the security and resilience of Internet routing based on BGP. Technologies recommended in this document for securing Internet routing include Resource Public Key Infrastructure (RPKI), Route Origin Authorization (ROA), ROA-based route origin validation (ROA-ROV), and prefix filtering. Additionally, the technologies recommended for mitigating DDoS attacks focus on the prevention of IP address spoofing using source address validation (SAV) with access control lists (ACLs) and unicast Reverse Path Forwarding (uRPF). Other technologies are also recommended as part of the overall security mechanisms, such as remotely triggered black hole (RTBH) filtering and flow specification (Flowspec)."
CSRC | NIST
NIST Special Publication (SP) 800-189 Rev. 1 (Draft), Border Gateway Protocol Security and Resilience
This publication provides guidance on Internet routing security, preventing IP address spoofing, and certain aspects of DDoS detection and mitigation. It particularly focuses on Border Gateway Protocol, which is the routing protocol used to distribute and…
Интересная инициатива США - выкладывать в доступ свои разработки ФОИВ США
https://fedscoop.com/agencies-must-share-custom-source-code-under-new-share-it-act
https://fedscoop.com/agencies-must-share-custom-source-code-under-new-share-it-act
FedScoop
Bill requiring US agencies to share custom source code with each other becomes law
President Joe Biden signed the bipartisan legislation into law Dec. 23.
👍1
https://www.bleepingcomputer.com/news/microsoft/windows-10-users-urged-to-upgrade-to-avoid-security-fiasco
До октября осталось 9 месяцев. Самое время убедиться, что у вас есть план перехода и он действует.
До октября осталось 9 месяцев. Самое время убедиться, что у вас есть план перехода и он действует.
BleepingComputer
Windows 10 users urged to upgrade to avoid "security fiasco"
Cybersecurity firm ESET is urging Windows 10 users to upgrade to Windows 11 or Linux to avoid a "security fiasco" as the 10-year-old operating system nears the end of support in October 2025.
В телеграмм теперь есть доп сервис подтверждения подлинности
https://telegram.org/verify#third-party-verification
https://telegram.org/verify#third-party-verification
Telegram
Page Verification Guidelines
Telegram offers verification for public figures and organizations so that users can easily identify official sources. The…
https://www.cyber.gov.au/resources-business-and-government/essential-cyber-security/ism/cyber-security-guidelines/guidelines-cryptography
Рекомендации от Австралийского ФСТЭК по использованию криптографии в т.ч. постквантовой.
Рекомендации от Австралийского ФСТЭК по использованию криптографии в т.ч. постквантовой.
www.cyber.gov.au
Guidelines for cryptography | Cyber.gov.au
This chapter of the Information security manual (ISM) provides guidance on cryptography.
👍1
https://www.misp-standard.org/blog/Naming-Threat-Actor/
Потребуется время для оценки на сколько это может улучшить текущую ситуацию с неймингом.
Потребуется время для оценки на сколько это может улучшить текущую ситуацию с неймингом.
MISP Standard
MISP-standard.org - Introducing the MISP Threat Actor Naming Standard
How to name threat actor and adversaries in threat intelligence
https://globalriskinstitute.org/publication/2024-quantum-threat-timeline-report/
Интересный опрос по тому когда случится квантовое превосходство и rsa-2048 будет ломаться меньше чем за сутки.
Нужно учитывать, что выборка маленькая - всего 32 эксперта приняло участие в опросе. Плюс это в основном работники университетов - от Гугл и IBM по одному эксперту опросили.
В целом неплохой опрос для первичного погружения в тему даются базовые определения.
Интересный опрос по тому когда случится квантовое превосходство и rsa-2048 будет ломаться меньше чем за сутки.
Нужно учитывать, что выборка маленькая - всего 32 эксперта приняло участие в опросе. Плюс это в основном работники университетов - от Гугл и IBM по одному эксперту опросили.
В целом неплохой опрос для первичного погружения в тему даются базовые определения.