Forwarded from AppSec Solutions
Исследование уязвимостей мобильных приложений📱
Команда AppSec Solutions представила результаты ежегодного исследования приложений российских разработчиков. Тестирование проводилась методом «черного ящика», без доступа к исходному коду, что максимально приближает его к реальным условиям атаки. Безопасность приложений проверялась с помощью «Стингрей» — платформы автоматизированного анализа защищенности мобильных приложений.
🛡 Эксперты проверили 1 675 Android-приложений из 18 категорий — от финтеха и онлайн-ритейла до здравоохранения, образования и корпоративных сервисов.
— прокомментировал результаты Юрий Шабалин, директор по продукту «Стингрей» компании AppSec Solutions.
➡️ Собрали главное в карточках, а полную версию исследования можно найти на странице нашего спецпроекта на CNews.
#AppSec_исследование #AppSec_Stingray
Команда AppSec Solutions представила результаты ежегодного исследования приложений российских разработчиков. Тестирование проводилась методом «черного ящика», без доступа к исходному коду, что максимально приближает его к реальным условиям атаки. Безопасность приложений проверялась с помощью «Стингрей» — платформы автоматизированного анализа защищенности мобильных приложений.
Как и год-два назад основной проблемой является небезопасное хранение данных. Это могут быть и пароли от приложений, и сессионные идентификаторы, и токены доступа для своих сервисов. В этом году на первом месте – небезопасное хранение ключей доступа от сторонних сервисов. Эти сервисы могут содержать большое количество конфиденциальной информации, утечка которой может быть опасна как для пользователей, так и для компании.
— прокомментировал результаты Юрий Шабалин, директор по продукту «Стингрей» компании AppSec Solutions.
#AppSec_исследование #AppSec_Stingray
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from AlexRedSec
Gartner пишет:
Да, удивительно слышать такие советы отгенератора акронимов Gartner😄
В их статье "Reduce Threat Exposure With Security Controls Optimization" поднимается проблема растущего количества взломов компаний из-за неправильно настроенных средств защиты и контроля. Авторы подчеркивают, что ключ к снижению угроз и повышению эффективности инвестиций в безопасность лежит не в простом наличии инструментов (и покрытии ими инфраструктуры), а в их правильной настройке и непрерывной оптимизации.
Чтобы решить проблему управления большим количеством средств защиты и повысить их эффективность предлагается:
1️⃣ Определить желаемые результаты, соответствующие целям бизнеса.
Сосредоточиться на борьбе с наиболее опасными и специфичными для бизнеса угрозами с помощью имеющихся средств защиты и контроля.
2️⃣ Сместить фокус с наличия контроля на его эффективность.
Эффективность достигается за счет оптимальной конфигурации, интеграции с другими средствами контроля и построении эффективных процессов. Необходимо определить метрики, ориентированные на результат, для измерения результатов инвестиций в средства контроля и их оптимизацию (см. скрин с примерами метрик).
3️⃣ Создать кроссфункциональные команды с экспертизой в соответствующих направлениях (защиты).
Оптимизация (настроек средств защиты) требует совместной работы различных команд/отделов и владельцев активов для понимания того, что именно нуждается в защите и как функционируют системы (см. скрин с RACI-матрицей).
4️⃣ Синхронизировать работы по оптимизации с процессом управления угрозами и непрерывного анализа защищенности (CTEM).
CTEM помогает выявлять пробелы в защите и видимости угроз, в то время как оптимизация средств контроля помогает их устранять.
#controls #optimization #exposure #ctem #gartner #metrics
Недостаточно просто купить средства защиты, их еще нужно постоянно настраивать, и вообще нет смысла гоняться за новыми и более дорогими инструментами.
Да, удивительно слышать такие советы от
В их статье "Reduce Threat Exposure With Security Controls Optimization" поднимается проблема растущего количества взломов компаний из-за неправильно настроенных средств защиты и контроля. Авторы подчеркивают, что ключ к снижению угроз и повышению эффективности инвестиций в безопасность лежит не в простом наличии инструментов (и покрытии ими инфраструктуры), а в их правильной настройке и непрерывной оптимизации.
Чтобы решить проблему управления большим количеством средств защиты и повысить их эффективность предлагается:
Сосредоточиться на борьбе с наиболее опасными и специфичными для бизнеса угрозами с помощью имеющихся средств защиты и контроля.
Эффективность достигается за счет оптимальной конфигурации, интеграции с другими средствами контроля и построении эффективных процессов. Необходимо определить метрики, ориентированные на результат, для измерения результатов инвестиций в средства контроля и их оптимизацию (см. скрин с примерами метрик).
Оптимизация (настроек средств защиты) требует совместной работы различных команд/отделов и владельцев активов для понимания того, что именно нуждается в защите и как функционируют системы (см. скрин с RACI-матрицей).
CTEM помогает выявлять пробелы в защите и видимости угроз, в то время как оптимизация средств контроля помогает их устранять.
#controls #optimization #exposure #ctem #gartner #metrics
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4
https://csrc.nist.gov/pubs/cswp/41/likely-exploited-vulnerabilities-a-proposed-metric/final попытка оценить скорость эксплуатации уязвимости после её публикации.
CSRC | NIST
Likely Exploited Vulnerabilities: A Proposed Metric for Vulnerability Exploitation Probability
This work presents a proposed security metric to determine the likelihood that a vulnerability has been observed to be exploited. Only a small fraction of the tens of thousands of software and hardware vulnerabilities that are published every year will be…
На Win 11 появится аналог sudo https://blogs.windows.com/windowsdeveloper/2025/05/19/enhance-your-application-security-with-administrator-protection/
Windows Developer Blog
Enhance your application security with administrator protection
Introduction Administrator protection is a new Windows 11 platform security feature that aims to protect the admin users on the device while still allowing them to perform the necessary functions which may require use of admin level permissi
И готовится поддержка постквантовых алгоритмов
https://techcommunity.microsoft.com/blog/microsoft-security-blog/post-quantum-cryptography-comes-to-windows-insiders-and-linux/4413803
https://techcommunity.microsoft.com/blog/microsoft-security-blog/post-quantum-cryptography-comes-to-windows-insiders-and-linux/4413803
TECHCOMMUNITY.MICROSOFT.COM
Post-Quantum Cryptography Comes to Windows Insiders and Linux | Microsoft Community Hub
Introduction
As the digital landscape continues to evolve, the emergence of quantum computing presents both significant opportunities and challenges....
As the digital landscape continues to evolve, the emergence of quantum computing presents both significant opportunities and challenges....
https://www.enisa.europa.eu/publications/handbook-for-cyber-stress-tests
Руководство для комплаенса требованиям ЕС NIS2.
Руководство для комплаенса требованиям ЕС NIS2.
www.enisa.europa.eu
Handbook for Cyber Stress Tests | ENISA
ENISA is the EU agency dedicated to enhancing cybersecurity in Europe. They offer guidance, tools, and resources to safeguard citizens and businesses from cyber threats.
https://www.tiobe.com/tiobe-index/ Неявная подсказка от TIOBE на ssdlc каких языков стоит специализироваться.
1 схема от pci dss по процессу vm.https://blog.pcisecuritystandards.org/new-infographic-pci-dss-vulnerability-mangement-processes
blog.pcisecuritystandards.org
New Infographic: PCI DSS Vulnerability Management Processes
A new infographic and related FAQ have just been published to address stakeholder requests for guidance and clarity around 1) identifying and risk-ranking vulnerabilities, and 2) resolving or addressing vulnerabilities in PCI Data Security Standard (PCI DSS)…
👍3