А вот еще один интересный проект нашел. Называется Privado - опенсорсный (!) инструмент статического анализа кода для обнаружения точек обработки и передачи персональных данных в коде и построения потоков данных.
Проект Privado заточен под GDPR, но за счет того, что он является свободно распространяемым с открытым исходным кодом, то можно допилить и под отечественные реалии.
По словам автора в Privado реализовано распознавание более 150 типов персональных данных (PII), а также большой перечень "приемников" данных - внешних сервисов, SDK, API, БД и т.п.
Цель проекта - своевременное выявление проблем конфиденциальности и приватности при обработке ПДн и лучшее понимание того, как они циркулируют в разрабатываемых программах и приложениях.
Проект Privado заточен под GDPR, но за счет того, что он является свободно распространяемым с открытым исходным кодом, то можно допилить и под отечественные реалии.
По словам автора в Privado реализовано распознавание более 150 типов персональных данных (PII), а также большой перечень "приемников" данных - внешних сервисов, SDK, API, БД и т.п.
Цель проекта - своевременное выявление проблем конфиденциальности и приватности при обработке ПДн и лучшее понимание того, как они циркулируют в разрабатываемых программах и приложениях.
👍6🔥5🌚1
RedHunt Labs решили просканировать Интернет в поисках незащищенных кластеров Kubernetes и получили удивительные (нет😐) результаты.
Для этого они написали тулзу KubeStalk (и выложили исходники), с помощью которой за три дня прошерстили всю глобальную паутину (с небольшими исключениями).
Из интересного:
🔶 Нашли 574 913 неправильно сконфигурированных кластеров.
🔶 61% кластеров размещены в общедоступных облаках.
🔶 Наиболее часто встречаемые версии незащищенных кластеров - 1.21 и 1.22. Это указывает на то, что 60% обнаруженных кластеров не обновлялись больше года.
🔶 Кластеров с актуальной версией (1.25) обнаружено менее 1%.
🔶 Около 4 тыс. кластеров подвержены уязвимостям с оценкой CVSS >=8 (см. рис.)
🔶 Ну и несколько кластеров уже были скомпрометированы злоумышленниками - на них было обнаружено вредоносное ПО и IoC, свидетельствующие об этом.
В конце отчета, как всегда, призыв использовать лучшие практики безопасной настройки кластеров Kubernetes.
И здесь хочу поделиться ссылкой на интересную статью про недокументированные советы по безопасности Kubernetes, где приведены три таких совета:
🔶 Безопасному кластеру нужна безопасная организация - как верно замечает автор, на сколько бы кластер не был безопасно настроен по всем гайдам, если в организации бардак, а персонал не обучен, то всё будет напрасно.
🔶 Следите за изменяемыми элементами механизма RBAC в Kubernetes - такие элементы как "глаголы" (verbs) и "ресурсы" (resources) плохо документируются в API Kubernetes. Так что RBAC не идеален...
🔶 Помните, что Kubernetes, по сути, это RCE as a Service😁
Т.е. смиритесь и уделяйте внимание аутентификации, поставьте в кубер IDS и диверсифицируйте инфраструктуру - разверните несколько кластеров.
Для этого они написали тулзу KubeStalk (и выложили исходники), с помощью которой за три дня прошерстили всю глобальную паутину (с небольшими исключениями).
Из интересного:
🔶 Нашли 574 913 неправильно сконфигурированных кластеров.
🔶 61% кластеров размещены в общедоступных облаках.
🔶 Наиболее часто встречаемые версии незащищенных кластеров - 1.21 и 1.22. Это указывает на то, что 60% обнаруженных кластеров не обновлялись больше года.
🔶 Кластеров с актуальной версией (1.25) обнаружено менее 1%.
🔶 Около 4 тыс. кластеров подвержены уязвимостям с оценкой CVSS >=8 (см. рис.)
🔶 Ну и несколько кластеров уже были скомпрометированы злоумышленниками - на них было обнаружено вредоносное ПО и IoC, свидетельствующие об этом.
В конце отчета, как всегда, призыв использовать лучшие практики безопасной настройки кластеров Kubernetes.
И здесь хочу поделиться ссылкой на интересную статью про недокументированные советы по безопасности Kubernetes, где приведены три таких совета:
🔶 Безопасному кластеру нужна безопасная организация - как верно замечает автор, на сколько бы кластер не был безопасно настроен по всем гайдам, если в организации бардак, а персонал не обучен, то всё будет напрасно.
🔶 Следите за изменяемыми элементами механизма RBAC в Kubernetes - такие элементы как "глаголы" (verbs) и "ресурсы" (resources) плохо документируются в API Kubernetes. Так что RBAC не идеален...
🔶 Помните, что Kubernetes, по сути, это RCE as a Service
Т.е. смиритесь и уделяйте внимание аутентификации, поставьте в кубер IDS и диверсифицируйте инфраструктуру - разверните несколько кластеров.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👏5🐳4👍3😱1
Ассоциация IAPP опубликовала очередной (шестой) ежегодный сборник поставщиков технологий privacy-сегмента.
В отчете перечисляется 364 компании с краткой справкой о каждой и описанием технических решений, которые они разрабатывают в области приватности и конфиденциальности данных.
Интересный сборничек - можно пробежаться и посмотреть кто есть на рынке и какие решения реализуют.
Кстати, в перечне компаний есть парочка отечественных👌
В отчете перечисляется 364 компании с краткой справкой о каждой и описанием технических решений, которые они разрабатывают в области приватности и конфиденциальности данных.
Интересный сборничек - можно пробежаться и посмотреть кто есть на рынке и какие решения реализуют.
Кстати, в перечне компаний есть парочка отечественных
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥2👍1👏1
Минцифры презентовало раздел про кибербезопасность на сайте Госуслуг и сайт о простых правилах кибербезопасности - "КиберЗОЖ".
Ну что сказать, круто👍
Правда, в рекомендациях по проверке подозрительных файлов пока красуется VirusTotal, а не Национальный мультисканер 😉
Ну что сказать, круто
Правда, в рекомендациях по проверке подозрительных файлов пока красуется VirusTotal, а не Национальный мультисканер 😉
Please open Telegram to view this post
VIEW IN TELEGRAM
😁4🤡1🌚1
AlexRedSec
Минцифры презентовало раздел про кибербезопасность на сайте Госуслуг и сайт о простых правилах кибербезопасности - "КиберЗОЖ". Ну что сказать, круто 👍 Правда, в рекомендациях по проверке подозрительных файлов пока красуется VirusTotal, а не Национальный мультисканер…
Please open Telegram to view this post
VIEW IN TELEGRAM
Газета.Ru
Сбер запустил библиотеку знаний по киберграмотности «Кибрарий»
Заместитель председателя правления Сбербанка Станислав Кузнецов в интервью телеканалу «Россия 24» заявил, что Сбер запустил библиотеку знаний в области кибербезопасности «Кибрарий». По его словам, это поможет в информировании граждан о мерах безопасности...
👏3👍1
Вот бывает захочется чего-то эдакого, найдёшь где заказать можно такое. Зайдёшь на сайт, посмотришь - дорого всё стоит и уйдёшь, закрыв вкладку с сайтом. А админу сайта потом всё чинить после тебя, негоже - надо ему возместить ущерб😊
#пятничноеудивительное
#пятничноеудивительное
🤣6🌭2👍1🥴1🌚1
Репозиторий с ссылками на видео (и/или презентации) докладов с международных конференций по ИБ за 2022 год (50 конференций получилось пока).
Для просмотра холодными осенними вечерами😉
Для просмотра холодными осенними вечерами
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - TalEliyahu/awesome-cybersecurity-conferences: Watch the latest awesome security talks around the globe
Watch the latest awesome security talks around the globe - GitHub - TalEliyahu/awesome-cybersecurity-conferences: Watch the latest awesome security talks around the globe
👍5🔥2👏1🌚1
The Enchiridion of Impetus Exemplar - под этим страшным названием скрывается очень приличное и большое руководство (обзор скорее) таких методологий моделирования угроз, как:
🔶 Microsoft Threat Modeling
🔶 PASTA
🔶 OCTAVE
🔶 TRIKE
🔶 LINDDUN
🔶 VAST
🔶 NIST SP 800-154
🔶 OWASP TMP
🔶 TARA
🔶 IDDIL/ATC
🔶 hTMM
🔶 QTMM
🔶 ID3 (от автора гайда)
Помимо обзора самих методологий в гайде приведено краткое описание различных фреймворков, стандартов, библиотек и утилит, необходимых для полноценного моделирования угроз.
p.s. В качестве бонуса ссылка на репозиторий с подборкой моделей угроз для девайсов, технологий, ПО и даже для человека😁
#modeling #framework
🔶 Microsoft Threat Modeling
🔶 PASTA
🔶 OCTAVE
🔶 TRIKE
🔶 LINDDUN
🔶 VAST
🔶 NIST SP 800-154
🔶 OWASP TMP
🔶 TARA
🔶 IDDIL/ATC
🔶 hTMM
🔶 QTMM
🔶 ID3 (от автора гайда)
Помимо обзора самих методологий в гайде приведено краткое описание различных фреймворков, стандартов, библиотек и утилит, необходимых для полноценного моделирования угроз.
p.s. В качестве бонуса ссылка на репозиторий с подборкой моделей угроз для девайсов, технологий, ПО и даже для человека
#modeling #framework
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥4❤2👍2👌1🌚1🌭1
SSVC - свежепрезентованная методика приоритезации устранения уязвимостей от агентства CISA!
Методика определяет четыре приоритета:
🔸 Track
🔸 Track*
🔸 Attend
🔸 Act
Дерево принятия решений базируется на следующих критериях и их значениях:
🔸 Exploitation status
🔸 Technical Impact
🔸 Automatable
🔸 Mission Prevalence
🔸 Public Well-Being Impact
🔸 Для удобства расчета приоритета сделали даже калькулятор.
🔸 Подробнее в самом руководстве по SSVC и блоге агентства CISA.
Методика определяет четыре приоритета:
🔸 Track
🔸 Track*
🔸 Attend
🔸 Act
Дерево принятия решений базируется на следующих критериях и их значениях:
🔸 Exploitation status
🔸 Technical Impact
🔸 Automatable
🔸 Mission Prevalence
🔸 Public Well-Being Impact
🔸 Для удобства расчета приоритета сделали даже калькулятор.
🔸 Подробнее в самом руководстве по SSVC и блоге агентства CISA.
👍7🔥2👏1🤔1
TAG Cyber Quarterly - сборники статей, исследований, интервью и небольших аналитических отчетов от компании TAG Cyber, занимающейся консалтингом и исследовании в области кибербезопасности.
В этих сборниках, конечно, много воды и немного рекламы тоже есть, но всё-таки можно выцепить что-то полезное для себя.
В этом году вышло 4 выпуска (ну да, кварталов же 4) со следующими темами:
🔹 Research as a Service - честно, не увидел в этом выпуске чего-то интересного.
🔹 Cyberwar - выпуск за второй квартал был уже интереснее с прогнозами и аналитиками на тему кибервойн. Судя по расчётам аналитиков, глобальная кибервойна нас ждёт в 2036 году🆘
🔹 China&Cybersecurity - да, целый выпуск отведен Китаю и его деятельности киберпространстве. В целом, ничего нового...
🔹 Cybersecurity metrics - пожалуй, самый интересный за этот год сборник. Есть несколько статей с которыми можно ознакомиться и, как минимум, проникнуться проблематикой измерения эффективности процессов кибербезопасности и приоритезации мер.
В этих сборниках, конечно, много воды и немного рекламы тоже есть, но всё-таки можно выцепить что-то полезное для себя.
В этом году вышло 4 выпуска (ну да, кварталов же 4) со следующими темами:
🔹 Research as a Service - честно, не увидел в этом выпуске чего-то интересного.
🔹 Cyberwar - выпуск за второй квартал был уже интереснее с прогнозами и аналитиками на тему кибервойн. Судя по расчётам аналитиков, глобальная кибервойна нас ждёт в 2036 году
🔹 China&Cybersecurity - да, целый выпуск отведен Китаю и его деятельности киберпространстве. В целом, ничего нового...
🔹 Cybersecurity metrics - пожалуй, самый интересный за этот год сборник. Есть несколько статей с которыми можно ознакомиться и, как минимум, проникнуться проблематикой измерения эффективности процессов кибербезопасности и приоритезации мер.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3🔥2👏1🤔1
Сегодня в одном ИБ-чатике подняли вопрос о монетизации мероприятий (ИБэшных). Сразу предложили делать ставки👁🗨
И тут я предположил, что естественным путем развития монетизации на bugbounty-площадках может стать букмекерское направление😏
Ну, а почему бы и нет? План такой:
1) Появляется новый проект/расширяется скоуп-программы.
2) Участники (не хакеры и не заказчики) делают ставки на то, что хакер X найдет уязвимость типа Y за время Z. Для разных типов уязвимостей можно сделать повышающие/понижающие коэффициенты.
3) После подтверждения баг-репорта подводятся итоги и все получают $$ Угадавшие со ставкой - банк за вычетом комиссий, хакер X тоже какую-нибудь надбавку к выплате получает, ну и площадка себе процентик🤑
Неплохая стимуляция к поиску уязвимостей и удовлетворение азарта наблюдающих. Много нюансов, но вполне реализуемо (в недалеком будущем).
p.s. Если кто из площадок возьмется за реализацию, то надеюсь на небольшой процент за идею😁
И тут я предположил, что естественным путем развития монетизации на bugbounty-площадках может стать букмекерское направление😏
Ну, а почему бы и нет? План такой:
1) Появляется новый проект/расширяется скоуп-программы.
2) Участники (не хакеры и не заказчики) делают ставки на то, что хакер X найдет уязвимость типа Y за время Z. Для разных типов уязвимостей можно сделать повышающие/понижающие коэффициенты.
3) После подтверждения баг-репорта подводятся итоги и все получают $$ Угадавшие со ставкой - банк за вычетом комиссий, хакер X тоже какую-нибудь надбавку к выплате получает, ну и площадка себе процентик🤑
Неплохая стимуляция к поиску уязвимостей и удовлетворение азарта наблюдающих. Много нюансов, но вполне реализуемо (в недалеком будущем).
p.s. Если кто из площадок возьмется за реализацию, то надеюсь на небольшой процент за идею
Please open Telegram to view this post
VIEW IN TELEGRAM
👏2👍1🔥1🤔1
Поучаствовали бы вы в тотализаторе на bugbounty-площадке?
Anonymous Poll
21%
Да
29%
Нет
45%
Что за бред?
6%
Уже участвую на подпольных площадках
Ошибки в настройках сетевых устройств являются одной из часто встречающихся причин взлома организаций, один из часто используемых векторов атак у злоумышленников.
Компания Titania провела опрос 160 американских организаций о том как они работают с таким риском кибербезопасности и получили следующие результаты:
🔶 На снижение риска ошибок конфигурирования сети закладывается примерно 3,4% ИТ-бюджета (у нас поменьше, наверное). При этом, возможные убытки в случае наступления риска оцениваются в 9% дохода организации.
🔶 Больше половины опрошенных организаций проводят проверку конфигураций сетевых устройств не чаще раза в год. При этом 1% организаций делают это раз в неделю.
🔶 96% организаций проверяют настройки только межсетевых экранов, забывая про коммутаторы и маршрутизаторы.
🔶 В среднем организации обнаруживают 59 ошибок в конфигурациях в год, 5% из которых являются критическими (грубо говоря, прямой доступ во внутреннюю сеть).
🔶 Устранение ошибок в настройках сетевых устройств занимает в среднем до двух дней.
Компания Titania провела опрос 160 американских организаций о том как они работают с таким риском кибербезопасности и получили следующие результаты:
🔶 На снижение риска ошибок конфигурирования сети закладывается примерно 3,4% ИТ-бюджета (у нас поменьше, наверное). При этом, возможные убытки в случае наступления риска оцениваются в 9% дохода организации.
🔶 Больше половины опрошенных организаций проводят проверку конфигураций сетевых устройств не чаще раза в год. При этом 1% организаций делают это раз в неделю.
🔶 96% организаций проверяют настройки только межсетевых экранов, забывая про коммутаторы и маршрутизаторы.
🔶 В среднем организации обнаруживают 59 ошибок в конфигурациях в год, 5% из которых являются критическими (грубо говоря, прямой доступ во внутреннюю сеть).
🔶 Устранение ошибок в настройках сетевых устройств занимает в среднем до двух дней.
👍6🔥1👏1👨💻1