Переосмысление безопасности приложений в эпоху первых API. Обеспечение безопасности приложений в эпоху первых API может оказаться сложной задачей. По мере ускорения разработки подотчетность становится неясной, и обеспечение работы средств контроля само по себе становится проблемой. Пришло время переосмыслить наши стратегии безопасности приложений, чтобы отразить новые приоритеты, принципы и процессы в эпоху первоочередности API. Защита приложений завтрашнего дня начинается с оценки бизнес-рисков сегодня. Тенденции и риски, влияющие на современные приложения: Полный текст статьи
The Hacker News
Rethinking Application Security in the API-First Era
Rethink application security strategies to reflect new priorities, principles, and processes in the API-first era.
Новый инструмент Google Scorecards сканирует программное обеспечение с открытым исходным кодом на предмет дополнительных угроз безопасности. Google выпустила обновленную версию Scorecards , своего автоматизированного инструмента безопасности, который выдает «оценку риска» для инициатив с открытым исходным кодом, с улучшенными проверками и возможностями, позволяющими сделать данные, генерируемые утилитой, доступными для анализа. https://clck.ru/VreVK
The Hacker News
New Google Scorecards Tool Scans Open-Source Software for More Security Risks
Google Releases Improved Scorecards Tool to Scans Open-Source Software for Security Risks
Что такое поверхность атаки и почему вам это должно быть небезразлично. Ваша поверхность атаки - это сумма возможностей в вашей сети, которые киберпреступник может использовать. Чтобы свести к минимуму кибер-риск, вам необходимо понимать поверхность атаки и управлять ею. https://clck.ru/Vs84M
Cloudsavvyit
What an Attack Surface Is, and Why You Should Care
Your attack surface is the sum of the opportunities within your network that a cybercriminal can attack and exploit. To minimize cyber risk, you need to understand and manage your attack surface.
10 лучших инструментов сканирования уязвимостей для тестирования на проникновение - 2021 г. Инструменты сканирования уязвимостей помогают обнаруживать лазейки в безопасности приложения, операционных систем , оборудования и сетевых систем.
Хакеры активно ищут эти лазейки, чтобы использовать их в своих интересах. Уязвимости внутри сети необходимо выявлять и немедленно устранять, чтобы ваши злоумышленники были в страхе. https://clck.ru/Vn73Y
Хакеры активно ищут эти лазейки, чтобы использовать их в своих интересах. Уязвимости внутри сети необходимо выявлять и немедленно устранять, чтобы ваши злоумышленники были в страхе. https://clck.ru/Vn73Y
GBHackers - Latest Cyber Security News | Hacker News
10 Best Vulnerability Scanner Tools For Penetration Testing - 2023
Vulnerability Scanner Tools-Vulnerability Scanning Tools-best vulnerability scanner-vulnerability assessment tools list. Tripwire IP360
Где хранить веб-токен JSON ( JWT )? У нас есть три варианта хранения данных и каждый из них имеет свои преимущества и недостатки. Возможны следующие варианты:
Cookie
localStorage
Session Storage https://clck.ru/VwEph
Cookie
localStorage
Session Storage https://clck.ru/VwEph
Medium
Where to Store the JSON Web Token (JWT)?
We have three options to store the JWT but which one is the most secure?
8 соображений безопасности для CI / CD На предприятии, занимающемся разработкой программного обеспечения, CI / CD относится к комбинированным методам непрерывной интеграции и непрерывной доставки или непрерывного развертывания. CI / CD позволяет организациям преодолеть разрыв между разработкой, операциями и командами, используя автоматизацию при создании, тестировании и развертывании приложений. https://clck.ru/Vy64R Как предотвратить кибератаки малого бизнеса? Киберпреступники или хакеры не имеют предвзятого отношения к размеру организации. Но, к сожалению, малый бизнес находится в опасности и подвержен высокому риску. Владельцы малого бизнеса должны сталкиваться с трудностями со всех сторон. Среди этих аспектов можно пренебречь кибербезопасностью. Ущерб от кибератак может быть настолько велик, что может привести к внезапному закрытию организаций. https://clck.ru/Vy6CF
Devops
8 Security Considerations for CI/CD - DevOps.com
While CI/CD can improve the efficiency of an organization, there are many security considerations to take into account.
Как включить целостность памяти и изоляцию ядра в Windows 10 «Изоляция ядра - это функция безопасности Microsoft Windows, которая защищает важные основные процессы Windows от вредоносного программного обеспечения. https://clck.ru/VziGQ
Hanselman
How to turn on Memory Integrity and Core Isolation in Windows 10
According to the Microsoft Support website: 'Core isolation is a security ...
Что нужно знать о политиках безопасности Узнайте о защите вашего персонального компьютера, сервера и облачных систем с помощью SELinux, защиты модулей Kubernetes и брандмауэров. https://clck.ru/W2yRP
Opensource.com
What you need to know about security policies
A security policy is a set of permissions that govern access to a system, whether the system is an organization, a computer, a network, an application, a file, or any other resource. Security policies often start from the top down: Assume nobody can do anything…
Кибератаки на базе искусственного интеллекта - угрозы и защита Число кибератак растет. ИИ - часть угрозы, но также часть решения. В частности, некоторые из новых стратегий ИИ (например, состязательные атаки) могут стать важным новым вектором атаки.
Например, используя дипфейки, вы можете создавать очень реалистичные видео, аудио или фотографии и преодолевать биометрические системы безопасности или проникать в социальные сети.
Мы рассмотрим состязательные атаки более подробно в следующем посте. В этом посте мы резюмируем общие угрозы и механизмы защиты для ИИ в кибербезопасности. https://clck.ru/W5ken
Например, используя дипфейки, вы можете создавать очень реалистичные видео, аудио или фотографии и преодолевать биометрические системы безопасности или проникать в социальные сети.
Мы рассмотрим состязательные атаки более подробно в следующем посте. В этом посте мы резюмируем общие угрозы и механизмы защиты для ИИ в кибербезопасности. https://clck.ru/W5ken
Datasciencecentral
AI powered cyberattacks – threats and defence
Cyberattacks are on the rise. AI is part of the threat but also part of the solution. Especially, some of the newer AI strategies (such as adversarial attacks…
Создание собственного словаря для вашей политики паролей Используя настраиваемые словари, организации могут значительно улучшить свою кибербезопасность и отфильтровать очевидные пароли, которые обеспечивают низкую безопасность учетных записей пользователей.
При использовании словарей паролей в политике паролей следует учитывать множество различных подходов. Во-первых, давайте рассмотрим создание настраиваемого словаря для вашей политики паролей, включая общие рекомендации о том, как они создаются, настраиваются и как вы можете легко использовать настраиваемые словари в среде активного каталога. https://clck.ru/W7LTh
При использовании словарей паролей в политике паролей следует учитывать множество различных подходов. Во-первых, давайте рассмотрим создание настраиваемого словаря для вашей политики паролей, включая общие рекомендации о том, как они создаются, настраиваются и как вы можете легко использовать настраиваемые словари в среде активного каталога. https://clck.ru/W7LTh
Почему профессионалы в области кибербезопасности должны учиться программировать В сфере безопасности ведутся давние дебаты: должны ли профессионалы в области кибербезопасности уметь программировать? Следует ли им тратить время и силы на обучение? https://clck.ru/WA3Zh
TechBeacon
Why cybersecurity pros need to learn how to code
Yes, security pros should know how to code. Here's how having programming skills enhances five different cybersecurity roles.
10 основных тенденций в области кибербезопасности на 2022 год В мировом масштабе кибератаки являются наиболее быстрорастущим преступлением . Финансовые убытки, понесенные в результате киберпреступности, превышают убытки от торговли наркотиками. Таким образом, как отдельные лица, так и организации испытывают страх перед взломом данных.
Помимо финансовых потерь, они также могут нанести ущерб репутации компании. В этой статье обсуждаются основные тенденции кибербезопасности на 2022 год и то, как они могут улучшить ИТ-безопасность и конфиденциальность в Интернете. https://clck.ru/WBUUL
Помимо финансовых потерь, они также могут нанести ущерб репутации компании. В этой статье обсуждаются основные тенденции кибербезопасности на 2022 год и то, как они могут улучшить ИТ-безопасность и конфиденциальность в Интернете. https://clck.ru/WBUUL
dzone.com
Top 10 Cybersecurity Trends For 2022 - DZone Security
COVID has caused a surge in cyberattacks since worldwide disruptions are ideal for cybercriminals to operate in. The security deficiencies are causing ...
Кибератаки на базе искусственного интеллекта - состязательный искусственный интеллект В последнем посте мы обсудили схему кибератак на основе ИИ и стратегии их защиты . В этом посте мы обсудим особый тип атаки, который называется состязательной атакой. https://clck.ru/WEhdF
Data Science Central
AI powered cyberattacks – threats and defence
Cyberattacks are on the rise. AI is part of the threat but also part of the solution. Especially, some of the newer AI strategies (such as adversarial attacks) could be a significant new attack vector. For example, using deepfakes, you could create highly…
Не хотите платить? Проверьте свои резервные копии. Просмотрите комментарии практически к любой истории об атаке программы-вымогателя, и вы почти наверняка столкнетесь с мнением, что организация-жертва могла бы избежать выплат своим вымогателям, если бы у них были надлежащие резервные копии данных. Но ужасная правда в том, что существует множество неочевидных причин, по которым жертвы в конечном итоге платят, даже если они сделали почти все правильно с точки зрения резервного копирования данных. https://clck.ru/WGKcJ
Krebs on Security
Don’t Wanna Pay Ransom Gangs? Test Your Backups.
Browse the comments on virtually any story about a ransomware attack and you will almost surely encounter the view that the victim organization could have avoided paying their extortionists if only they'd had proper data backups. But the ugly truth…
7 способов эффективно защитить свой магазин электронной коммерции сегодня Обеспечение безопасности вашего интернет-магазина - это непрерывный и сложный процесс, требующий многолетних усилий и высокой степени в области кибербезопасности. В противном случае вам совсем не повезло.
Ладно, это была шутка. Хотя кибербезопасность может быть сложной, существует множество небольших задач, которые вы можете выполнить менее чем за час, которые сразу же значительно улучшат вашу защиту от кибератак. https://clck.ru/WGUFk
Ладно, это была шутка. Хотя кибербезопасность может быть сложной, существует множество небольших задач, которые вы можете выполнить менее чем за час, которые сразу же значительно улучшат вашу защиту от кибератак. https://clck.ru/WGUFk
GBHackers On Security
7 Ways to Effectively Secure Your eCommerce Store Today - GBHackers On Security
Securing your e-commerce store is a continuous, complex process, involving years of effort and an advanced degree in cybersecurity. Otherwise, you’re completely out of luck. Okay, that was a joke. Whilst cybersecurity can be complex, there are plenty of…
Вредоносный пакет NPM был пойман на краже сохраненных паролей пользователей из браузеров Пакет программного обеспечения, доступный в официальном репозитории NPM, оказался на самом деле прикрытием для инструмента, предназначенного для кражи сохраненных паролей из веб-браузера Chrome.
Рассматриваемый пакет, названный « nodejs_net_server » и загруженный более 1283 раз с февраля 2019 года, последний раз обновлялся семь месяцев назад (версия 1.1.2), при этом соответствующий репозиторий приводил к несуществующим расположениям, размещенным на GitHub.
https://clck.ru/WKdy4 Как выглядит прозрачное и безопасное цифровое рабочее место? В этой статье представлены практические сведения об успешном внедрении прозрачности и безопасности, достижимых на цифровом рабочем месте. https://clck.ru/WKLgC Уязвимости в веб-безопасности в протоколах SSL / TLS и в атрибутах set-cookie В этой статье мы обсудим некоторые общие проблемы веб-безопасности с методами исправления, связанными с:
Уязвимые протоколы SSL / TLS
Файлы cookie SSL - атрибут безопасности не установлен
Cookie без установленного флага HttpOnly https://clck.ru/WKeig
Рассматриваемый пакет, названный « nodejs_net_server » и загруженный более 1283 раз с февраля 2019 года, последний раз обновлялся семь месяцев назад (версия 1.1.2), при этом соответствующий репозиторий приводил к несуществующим расположениям, размещенным на GitHub.
https://clck.ru/WKdy4 Как выглядит прозрачное и безопасное цифровое рабочее место? В этой статье представлены практические сведения об успешном внедрении прозрачности и безопасности, достижимых на цифровом рабочем месте. https://clck.ru/WKLgC Уязвимости в веб-безопасности в протоколах SSL / TLS и в атрибутах set-cookie В этой статье мы обсудим некоторые общие проблемы веб-безопасности с методами исправления, связанными с:
Уязвимые протоколы SSL / TLS
Файлы cookie SSL - атрибут безопасности не установлен
Cookie без установленного флага HttpOnly https://clck.ru/WKeig
DZone
What Does a Transparent and Secure Digital Workplace Look Like?
This article provides practical insights into the successful implementation of both transparency and security attainable in the digital workplace.
Введение в политику безопасности контента (CSP)
Что вам нужно знать о CSP, фундаментальном механизме защиты Интернета. https://clck.ru/WMJQY Исследование Aqua Security выявило пробел в знаниях о безопасности контейнеров Сегодня компания Aqua Security опубликовала опрос, в котором приняли участие 150 специалистов по облачной безопасности и ИТ-руководителей, которые показывают, что осведомленность о потенциальных проблемах с безопасностью контейнеров опасно низка в то время, когда атаки на цепочки поставок программного обеспечения усиливаются.
Опрос показывает, что только 3% респондентов признают, что контейнер сам по себе не является границей безопасности, и менее четверти (24%) имеют планы по обеспечению безопасности контейнеров во время выполнения. Только 18% респондентов заявили, что осознают, что подвергаются риску атак нулевого дня в контейнерных средах. https://clck.ru/WMJdm
Что вам нужно знать о CSP, фундаментальном механизме защиты Интернета. https://clck.ru/WMJQY Исследование Aqua Security выявило пробел в знаниях о безопасности контейнеров Сегодня компания Aqua Security опубликовала опрос, в котором приняли участие 150 специалистов по облачной безопасности и ИТ-руководителей, которые показывают, что осведомленность о потенциальных проблемах с безопасностью контейнеров опасно низка в то время, когда атаки на цепочки поставок программного обеспечения усиливаются.
Опрос показывает, что только 3% респондентов признают, что контейнер сам по себе не является границей безопасности, и менее четверти (24%) имеют планы по обеспечению безопасности контейнеров во время выполнения. Только 18% респондентов заявили, что осознают, что подвергаются риску атак нулевого дня в контейнерных средах. https://clck.ru/WMJdm
Medium
Intro to the Content Security Policy (CSP)
What you need to know about CSP, a fundamental defense mechanism of the Internet.
Лучшие практики для защиты веб-приложений в 2021 году Для многих компаний 2020 год означал переход на удаленную работу в облачных корпоративных системах, и командам по обеспечению безопасности приложений пришлось адаптироваться к изменениям в использовании и растущему количеству проблем.
Согласно отчету Verizon Data Breach Investigations Report 2020, уязвимости веб-приложений стали причиной 43% утечек данных в 2019 году. Удивительно, но, согласно исследованию Enterprise Strategy Group, 79% организаций намеренно внедрили уязвимый код в рабочую среду, в то же время считая, что уровень безопасности их собственных приложений на высшем уровне. По сравнению с другими ИТ-активами веб-приложения особенно уязвимы для атак, поскольку они доступны в Интернете. Многие векторы атак на веб-приложения сосредоточены на манипулировании пользовательским вводом через веб-формы и машинным вводом через API. https://clck.ru/WPEav
Согласно отчету Verizon Data Breach Investigations Report 2020, уязвимости веб-приложений стали причиной 43% утечек данных в 2019 году. Удивительно, но, согласно исследованию Enterprise Strategy Group, 79% организаций намеренно внедрили уязвимый код в рабочую среду, в то же время считая, что уровень безопасности их собственных приложений на высшем уровне. По сравнению с другими ИТ-активами веб-приложения особенно уязвимы для атак, поскольку они доступны в Интернете. Многие векторы атак на веб-приложения сосредоточены на манипулировании пользовательским вводом через веб-формы и машинным вводом через API. https://clck.ru/WPEav
Medium
Best Practices For Securing Web Applications in 2021
Written by Anton Logvinenko, Web Team Leader at MobiDev.
5 лучших книг по кибербезопасности для начинающих Кибербезопасность - это «практика защиты критически важных систем и конфиденциальной информации от цифровых атак». Сама эта область ежедневно развивается, благодаря прогрессу в технологиях и хакерам, которые на шаг опережают разработку новых вредоносных программ. Если вы интересуетесь безопасностью и технологиями, то это поле для вас. Я расскажу о пяти лучших книгах по кибербезопасности для начинающих, чтобы лучше понять, что такое кибербезопасность. Эти книги могут помочь вам понять, подходит ли вам этот выбор карьеры. https://clck.ru/WQrGZ
Hackernoon
5 Best Cybersecurity Books for Beginners | HackerNoon
These are the five cybersecurity books that you should start with if you are considering a career within the industry.
Мышление хакера Как хакерское мышление может повысить вашу кибербезопасность (на самом деле)? Если вы не профессионал в области безопасности, держу пари, что прямо сейчас вы думаете о злом чуваке в толстовке с капюшоном, который делает плохие вещи с компьютерными системами, например, смахивает ваши конфиденциальные данные для продажи в темной сети.
Но это не хакер - это преступник. Я штатный инженер по безопасности в Auth0, сертифицированный этический хакер, имею два черных значка DEF CON и имею 26-летний опыт работы в сфере ИТ и кибербезопасности.
Я делюсь своей историей, чтобы помочь вам понять, как думают хакеры, чтобы вы могли применить этот образ мышления, помогая защитить свой бизнес. Но сначала немного контекста через краткую историю взлома. https://clck.ru/WS6s2
Но это не хакер - это преступник. Я штатный инженер по безопасности в Auth0, сертифицированный этический хакер, имею два черных значка DEF CON и имею 26-летний опыт работы в сфере ИТ и кибербезопасности.
Я делюсь своей историей, чтобы помочь вам понять, как думают хакеры, чтобы вы могли применить этот образ мышления, помогая защитить свой бизнес. Но сначала немного контекста через краткую историю взлома. https://clck.ru/WS6s2
Auth0 - Blog
The Hacker Mindset
Learn how thinking like a hacker can improve your cybersecurity with the guidance of hacker and Auth0 Staff Security Engineer - Offensive Security Adam Baldwin (AKA ‘EvilPacket’).