Forwarded from Пост Лукацкого
Блиц-обзор новостей по ИБ за прошедшие праздники https://t.co/XzUQextYM5
— Alexey Lukatsky (@alukatsky) January 9, 2019
— Alexey Lukatsky (@alukatsky) January 9, 2019
Blogspot
Блиц-обзор новостей по ИБ за прошедшие праздники
Блог Алексея Лукацкого "Бизнес без опасности"
MS подвез новых патчей для критических уязвимостей.
Обратите внимание:
CVE-2019-0547 is a memory corruption vulnerability in the Windows DHCP client that exists when an attacker sends specially crafted DHCP responses to a client. An attacker could gain the ability to run arbitrary code on the client machine if they successfully exploit this vulnerability
https://vulners.com/talosblog/TALOSBLOG:7E9E33CAB0FFF41F91CB12E204945F7F
Обратите внимание:
CVE-2019-0547 is a memory corruption vulnerability in the Windows DHCP client that exists when an attacker sends specially crafted DHCP responses to a client. An attacker could gain the ability to run arbitrary code on the client machine if they successfully exploit this vulnerability
https://vulners.com/talosblog/TALOSBLOG:7E9E33CAB0FFF41F91CB12E204945F7F
Vulners Database
Microsoft Patch Tuesday — January 2019: Vulnerability disclosures and Snort coverage
Microsoft released its monthly security update today, disclosing a variety of vulnerabilities in several of its products. The latest Patch Tuesday covers 49 vulnerabilities, seven of which are rated “critical,” 40 that are considered “important” and one that…
Немецкий ФСТЭК ждет увеличение штата и принятие нового закона по кибербезопасности.
http://d-russia.ru/v-svyazi-s-hakerskim-skandalom-v-germanii-obyavleno-o-skorom-prinyatii-akta-ob-it-bezopasnosti-2-0.html
http://d-russia.ru/v-svyazi-s-hakerskim-skandalom-v-germanii-obyavleno-o-skorom-prinyatii-akta-ob-it-bezopasnosti-2-0.html
Digital Russia
В связи с хакерским скандалом в Германии объявлено о скором принятии «Акта об IT-безопасности 2.0» | Digital Russia
Учащийся одной из гимназий Гессена после ареста в понедельник признался во взломе аккаунтов сотен известных граждан Германии – политиков, деятелей
Подборка штрафов за нарушение GDPR (и не только) за 2018 год
https://www.itweek.ru/security/news-company/detail_print.php?ID=204797&print=Y
https://www.itweek.ru/security/news-company/detail_print.php?ID=204797&print=Y
itWeek
ИТ-гиганты в 2018 году проштрафились на 246,8 млн. долл. за утечку данных
2018 год прошел под знаком штрафов. Поступили первые квитанции по GDPR, но основные штрафы наложила не Еврокомиссия, а другие регуляторы. Аналитики «СёрчИнформ» подсчитали ущерб от неумелого обращения с данными и с законом. Спойлер: российские компании
Опубликовано европейское исследование взаимодействия подразделений реагирования на инциденты(сsirt), правоохранительных органов, судов и прокуроров.
Supporting the Fight Against Cybercrime: ENISA report on CSIRTs and Law Enforcement Cooperation — ENISA
https://www.enisa.europa.eu/news/enisa-news/supporting-the-fight-against-cybercrime-enisa-report-on-csirts-and-law-enforcement-cooperation
Supporting the Fight Against Cybercrime: ENISA report on CSIRTs and Law Enforcement Cooperation — ENISA
https://www.enisa.europa.eu/news/enisa-news/supporting-the-fight-against-cybercrime-enisa-report-on-csirts-and-law-enforcement-cooperation
www.enisa.europa.eu
Supporting the Fight Against Cybercrime: ENISA report on CSIRTs and Law Enforcement Cooperation — ENISA
The fight against cybercrime, requires the involvement of Law Enforcement Agencies, which supported by CSIRTS are likely to be better positioned to investigate complex criminal structures.
Сценарии настольных игр по кибербезопасности от CIS
https://www.cisecurity.org/white-papers/six-tabletop-exercises-prepare-cybersecurity-team/
https://www.cisecurity.org/white-papers/six-tabletop-exercises-prepare-cybersecurity-team/
CIS
Six Tabletop Exercises to Help Prepare Your Cybersecurity Team
Tabletop exercises are used to help cybersecurity teams develop tactical strategies for securing their systems. Review six scenarios to prepare your team.
Грядущая новая сертификация облачных провайдеров в Евросоюзе на требования по безопасности
CSPCERT
https://ec.europa.eu/digital-single-market/en/blogposts/free-flow-data-eu-pathway-cloud
CSPCERT
https://ec.europa.eu/digital-single-market/en/blogposts/free-flow-data-eu-pathway-cloud
Digital Single Market
Free flow of data in the EU – a pathway into the cloud
New proposals on the free flow of non-personal data will give greater certainty to businesses and consumers alike and create an EU data sector that is fit-for-purpose for the 21st century.
Повышение квалификации безопасников по КИИ.
#ruscadasec
https://fstec.ru/tekhnicheskaya-zashchita-informatsii/obuchenie-spetsialistov/1761-informatsionnoe-soobshchenie-fstek-rossii-ot-17-dekabrya-2018-g-n-240-11-5453ИНФОРМАЦИОННОЕ
#ruscadasec
https://fstec.ru/tekhnicheskaya-zashchita-informatsii/obuchenie-spetsialistov/1761-informatsionnoe-soobshchenie-fstek-rossii-ot-17-dekabrya-2018-g-n-240-11-5453ИНФОРМАЦИОННОЕ
fstec.ru
Информационное сообщение ФСТЭК России от 17 декабря 2018 г. N 240/11/5453 - ФСТЭК России
Официальный сайт Федеральной службы по техническому и экспортному контролю (ФСТЭК России)
Forwarded from Пост Лукацкого
Новый стандарт из около ИБ сферы от ФСБ - термины по компьютерной экспертизе https://t.co/tut3g4Zr3l СВТ, компьютерная информация, носитель компьютерной информации, ВПО, ОС, коммутатор, маршрутизатор ... pic.twitter.com/Emy8qLTxOO
— Sergey Borisov (@sb0risov) January 10, 2019
— Sergey Borisov (@sb0risov) January 10, 2019
Forwarded from DigitalRussia (D-Russia.ru)
Цифровая экономика в Южной Корее: первые случаи самоубийства «лишних» людей
http://d-russia.ru/tsifrovaya-ekonomika-v-yuzhnoj-koree-pervye-sluchai-samoubijstva-lishnih-lyudej.html?utm_source=telegram
http://d-russia.ru/tsifrovaya-ekonomika-v-yuzhnoj-koree-pervye-sluchai-samoubijstva-lishnih-lyudej.html?utm_source=telegram
В чате запросили статистику по количеству сертифицированных специалистов ISACA.
Приводим.
Особо обращаем внимание, что это:
1. По состоянию на 10.01.2018.
2. Только действующие сертификации действующих членов Московского отделения.
3. Если кто то сдал на сертификат не будучи членом ISACA Moscow, то его в этой статистике нет.
Приводим.
Особо обращаем внимание, что это:
1. По состоянию на 10.01.2018.
2. Только действующие сертификации действующих членов Московского отделения.
3. Если кто то сдал на сертификат не будучи членом ISACA Moscow, то его в этой статистике нет.
2 из 4 книг Cobit 2019 бесплатны для всех.
2 других бесплатны для членов ISACA. Для остальных стоят: design guide 90 $, implementation guide 55$.
2 других бесплатны для членов ISACA. Для остальных стоят: design guide 90 $, implementation guide 55$.
Вот пример последствий уязвимости на уровне архитектуры для массового технически сложного продукта.
С момента обнаружения первых уязвимостей meltdown и spectre прошел год.
По некоторым оценкам для полноценного устранения уязвимостей потребуется еще 4 -5 лет.
Напомню, что первое поколение процессоров с устранением части таких уязвимостей это десктопные cofee lake refresh(gen 9).
Для серверов в этом году ожидается релиз intel cascade lake и amd epyc rome (zen 2).
The Elite Intel Team Still Fighting Meltdown and Spectre | WIRED
https://www.wired.com/story/intel-meltdown-spectre-storm/
С момента обнаружения первых уязвимостей meltdown и spectre прошел год.
По некоторым оценкам для полноценного устранения уязвимостей потребуется еще 4 -5 лет.
Напомню, что первое поколение процессоров с устранением части таких уязвимостей это десктопные cofee lake refresh(gen 9).
Для серверов в этом году ожидается релиз intel cascade lake и amd epyc rome (zen 2).
The Elite Intel Team Still Fighting Meltdown and Spectre | WIRED
https://www.wired.com/story/intel-meltdown-spectre-storm/
WIRED
The Elite Intel Team Still Fighting Meltdown and Spectre
One year after a pair of devastating processor vulnerabilities were first disclosed, Intel's still dealing with the fallout.
Нас в этом году ждут следующие законы:
о цифровых финансовых активах, о цифровых правах, о краудфандинге.
о цифровых финансовых активах, о цифровых правах, о краудфандинге.
Forwarded from RUSCADASEC news: Кибербезопасность АСУ ТП (RUSCADASEC-bot)
UNECE / Европейская экономическая комиссия ООН (включает Россию) заявила о планах интегрировать серию стандартов по кибербезопасности промышленных систем ISA/IEC 62443 в Common Regulatory Framework on Cybersecurity (CRF), предназначенный для создания единого законодательного базиса по кибербезопасности внутри европейского союза
https://www.isa.org/news-and-press-releases/isa-press-releases/2019/january/united-nations-commission-to-integrate-ISA-standards-into-cybersecurity-regulatory-framework/
https://www.isa.org/news-and-press-releases/isa-press-releases/2019/january/united-nations-commission-to-integrate-ISA-standards-into-cybersecurity-regulatory-framework/
Forwarded from SecurityLab.ru
Вслед за частичной приостановкой работы правительства США, вызванной конфликтом между президентом Дональдом Трампом и Демократической партией из-за вопроса о возведении стены между США и Мексикой, десятки правительственных сайтов, в том числе NASA, Минюста и Апелляционного суда, оказались недоступны или помечены как небезопасные в связи с истечением срока действия TLS-сертификатов. Согласно данным Netcraft, речь идет о 80 просроченных TLS-сертификатах, используемых на доменах .gov.
Десятки госсайтов США оказались недоступны из-за просроченных TLS-сертификатов
Десятки госсайтов США оказались недоступны из-за просроченных TLS-сертификатов
SecurityLab.ru
Десятки госсайтов США оказались недоступны из-за просроченных TLS-сертификатов
Проблема затронула сайты NASA, Министерства юстиции США и Апелляционного суда.
Просто о сложном. Серия книг для "чайников" по ИБ.
https://lukatsky.blogspot.com/2013/07/security-for-dummies.html?m=1
https://lukatsky.blogspot.com/2013/07/security-for-dummies.html?m=1
Blogspot
Security for Dummies
Блог Алексея Лукацкого "Бизнес без опасности"