Статическое тестирование безопасности приложений (SAST) – это…
Anonymous Quiz
47%
Анализ исходного кода на наличие уязвимостей
21%
Сканирование внешних интерфейсов приложения на уязвимости
32%
Сканирование внешних интерфейсов приложения на уязвимости с частичным доступом к исходному коду
🔥3🤔1
Неотъемлемой частью процесса безопасной разработки ПО является проверка безопасности исходного кода. Одним из методов такой проверки является статическое тестирование безопасности (SAST).
SAST проводится по методу «белого ящика», то есть с полным доступом к исходному коду, что позволяет обнаруживать критические уязвимости, такие как SQL-инъекции, переполнение буфера, межсайтовый скриптинг (XSS) и иные уязвимости OWASP Top 10 и SANS TOP 25.
Преимущества SAST:
• Полный анализ исходного кода, потоков управления и потоков данных на предмет соответствия правилам и политикам безопасности, основанным на известных уязвимостях и стандартах безопасности;
• Простота интеграции в процесс разработки ПО;
• Поддержка широкого спектра языков программирования и платформ SAST-инструментарием;
• Точное определение слабых мест в программном коде.
Однако в рамках SAST может возникать большое количество ложных срабатываний, что может потребовать значительные временные затраты на их обработку.
#ИБ
SAST проводится по методу «белого ящика», то есть с полным доступом к исходному коду, что позволяет обнаруживать критические уязвимости, такие как SQL-инъекции, переполнение буфера, межсайтовый скриптинг (XSS) и иные уязвимости OWASP Top 10 и SANS TOP 25.
Преимущества SAST:
• Полный анализ исходного кода, потоков управления и потоков данных на предмет соответствия правилам и политикам безопасности, основанным на известных уязвимостях и стандартах безопасности;
• Простота интеграции в процесс разработки ПО;
• Поддержка широкого спектра языков программирования и платформ SAST-инструментарием;
• Точное определение слабых мест в программном коде.
Однако в рамках SAST может возникать большое количество ложных срабатываний, что может потребовать значительные временные затраты на их обработку.
#ИБ
👍8
Ранее мы описали различия обезличивания и анонимизации персональных данных (ПДн), сегодня расскажем об их методах.
Роскомнадзор определяет следующие методы обезличивания ПДн:
· введение идентификаторов: замена части ПДн идентификаторами;
· изменение состава: удаление / изменение части данных;
· декомпозиция: разделение множества ПДн на несколько частей с их последующим раздельным хранением;
· перемешивание: перестановка групп или отдельных записей в массиве ПДн.
Законами РФ не определена сущность «анонимизация», поэтому мы обратимся к методикам, указанным в мнении Рабочей группы по статье 29 (WP.29):
· обобщение: снижение детализации или разбавление атрибутов путем изменения соответствующего масштаба или порядка величины (страна вместо адреса или название месяца вместо точной даты);
· рандомизация: ряд техник по изменению ПДн или добавлению новых данных (добавление шума, перестановка);
· удаление очевидных атрибутов и идентификаторов.
Стоит помнить – если первоначальный набор данных не удален, то информация не может считаться анонимизированной, так как существует вероятность деанонимизации.
#ПолезноЗнать
#Privacy
Роскомнадзор определяет следующие методы обезличивания ПДн:
· введение идентификаторов: замена части ПДн идентификаторами;
· изменение состава: удаление / изменение части данных;
· декомпозиция: разделение множества ПДн на несколько частей с их последующим раздельным хранением;
· перемешивание: перестановка групп или отдельных записей в массиве ПДн.
Законами РФ не определена сущность «анонимизация», поэтому мы обратимся к методикам, указанным в мнении Рабочей группы по статье 29 (WP.29):
· обобщение: снижение детализации или разбавление атрибутов путем изменения соответствующего масштаба или порядка величины (страна вместо адреса или название месяца вместо точной даты);
· рандомизация: ряд техник по изменению ПДн или добавлению новых данных (добавление шума, перестановка);
· удаление очевидных атрибутов и идентификаторов.
Стоит помнить – если первоначальный набор данных не удален, то информация не может считаться анонимизированной, так как существует вероятность деанонимизации.
#ПолезноЗнать
#Privacy
👍10❤1
Вопрос:
Можно ли при подаче уведомления в Роскомнадзор объединять схожие цели обработки персональных данных (ПДн)?
Ответ:
Существует практика, когда компании при подготовке уведомления о намерении осуществлять обработку ПДн ограничиваются только примерами перечня целей обработки ПДн.
Но мы рекомендуем не ограничиваться данным перечнем и максимально детализировать цели обработки ПДн. Это поможет избежать указания избыточного объема ПДн в рамках цели, некорректных сроков обработки ПДн, а также некорректного правового основания обработки ПДн.
Также в приказе Минцифры от 15.11.2021 № 1187 содержится перечень индикаторов риска нарушения обязательных требований. Одним из индикаторов является установление Роскомнадзором трех и более фактов несоответствия информации, указанной в Уведомлении, и во внутренних документах компании (Политика обработки ПДн). Поэтому важно, чтобы сведения о целях обработки ПДн в Уведомлении совпадали с целями в Политике обработки ПДн.
#Отвечает Kept
#Privacy
Можно ли при подаче уведомления в Роскомнадзор объединять схожие цели обработки персональных данных (ПДн)?
Ответ:
Существует практика, когда компании при подготовке уведомления о намерении осуществлять обработку ПДн ограничиваются только примерами перечня целей обработки ПДн.
Но мы рекомендуем не ограничиваться данным перечнем и максимально детализировать цели обработки ПДн. Это поможет избежать указания избыточного объема ПДн в рамках цели, некорректных сроков обработки ПДн, а также некорректного правового основания обработки ПДн.
Также в приказе Минцифры от 15.11.2021 № 1187 содержится перечень индикаторов риска нарушения обязательных требований. Одним из индикаторов является установление Роскомнадзором трех и более фактов несоответствия информации, указанной в Уведомлении, и во внутренних документах компании (Политика обработки ПДн). Поэтому важно, чтобы сведения о целях обработки ПДн в Уведомлении совпадали с целями в Политике обработки ПДн.
#Отвечает Kept
#Privacy
👍9
CISO & DPO news #20 (15-21 апреля 2024 года)
1/8 GPT-4 может использовать реальные уязвимости, читая рекомендации по безопасности.
2/8 Массовые brute force нацелены на VPN- и SSH-сервисы.
3/8 Хакерская группировка TA558 атакует с помощью стеганографии.
4/8 В России упростят процесс сертификации обновлений ОС и ПО.
5/8 ИТ-компании подписали Отраслевой стандарт защиты данных.
6/8 НКЦКИ запустил сервис проверки утечек данных.
7/8 Опубликованы новые формы согласий на обработку биометрии.
8/8 Подготовлен законопроект о раскрытии полиции сведений о здоровье.
1/8 GPT-4 может использовать реальные уязвимости, читая рекомендации по безопасности.
2/8 Массовые brute force нацелены на VPN- и SSH-сервисы.
3/8 Хакерская группировка TA558 атакует с помощью стеганографии.
4/8 В России упростят процесс сертификации обновлений ОС и ПО.
5/8 ИТ-компании подписали Отраслевой стандарт защиты данных.
6/8 НКЦКИ запустил сервис проверки утечек данных.
7/8 Опубликованы новые формы согласий на обработку биометрии.
8/8 Подготовлен законопроект о раскрытии полиции сведений о здоровье.
👍9
Атака, при которой злоумышленники пытаются угадать пароль путем последовательной проверки всех возможных комбинаций символов, – это…
Anonymous Quiz
3%
Атака на компьютер с помощью вируса
9%
SQL-инъекция
73%
Brute force атака
15%
Фишинговая атака
🤔5👍3🔥1
Атака методом brute force, известная также как атака полным перебором, представляет собой метод взлома, при котором злоумышленники пытаются вычислить пароли и другую информацию путем проверки всех возможных комбинаций. Время взлома зависит от доступных вычислительных мощностей и от сложности пароля. Злоумышленник может использовать ресурсы зараженных компьютеров других пользователей, объединяя их в единую сеть (ботнет).
Полностью обезопасить систему от всех вариантов brute force атаки невозможно. Но существуют методы защиты, позволяющие снизить вероятность успешности атаки:
• ограничить количество попыток ввода данных для одного аккаунта;
• создавать более длинные и сложные пароли;
• использовать разные пароли для доступа к разным системам;
• регулярно изменять пароли в соответствии с установленными правилами;
• запретить использование в паролях личной информации или дублирование логина;
• использовать многофакторную аутентификацию.
#ИБ
Полностью обезопасить систему от всех вариантов brute force атаки невозможно. Но существуют методы защиты, позволяющие снизить вероятность успешности атаки:
• ограничить количество попыток ввода данных для одного аккаунта;
• создавать более длинные и сложные пароли;
• использовать разные пароли для доступа к разным системам;
• регулярно изменять пароли в соответствии с установленными правилами;
• запретить использование в паролях личной информации или дублирование логина;
• использовать многофакторную аутентификацию.
#ИБ
👍8
Недавно мы посетили CISO Forum 2024, который в этом году прошел в технологическом кластере «Ломоносов» на территории МГУ им. М. В. Ломоносова.
Ключевыми темами стали тенденции на рынке ИБ, вопросы взаимодействия CISO и топ-менеджмента, трудности кадрового обеспечения функции ИБ.
Мы посетили сессии в Зале 2 «Молекула» и делимся ключевыми, на наш взгляд, тезисами прошедших там дискуссий:
Пленарная сессия:
• В последние пару лет изменились цели атак – если раньше основным мотивом было получение финансовой выгоды, то сейчас это больше дестабилизация деятельности компании и нанесение ей репутационного ущерба и кража конфиденциальной информации. Как следствие, раньше наиболее страдала финансовая сфера, сейчас же злоумышленникам нет разницы, компанию из какой индустрии атаковать.
• С точки зрения перехода на отечественные ИБ-решения, с одной стороны, у российских вендоров настали «золотые времена», но с другой – им сейчас приходится нелегко, они работают с пользовательской базой в разы меньше, чем зарубежные, времени на разработку продуктов сильно меньше, в то же время у них есть возможность учесть опыт иностранных вендоров.
Роль CISO в стратегии компании
• CISO должен быть погружен в метрики бизнеса и понимать свое влияние на эти метрики, которые должны быть при этом понятны борду.
• Стратегию ИБ следует писать совместно с консультантами, которые помогут сделать её понятной борду. Однозначно не стоит звать писать стратегию вендоров решений ИБ, т.к. они заинтересованы в продаже своих продуктов.
• Со стороны борда нужна поддержка CISO с точки зрения повышения осведомленности в вопросах ИБ, демонстрации личного примера (“tone at the top”).
ИБ-компетенции и управление талантами
• Необходимо вкладываться в повышение компетенций, выращивание кадров со студенческой скамьи.
• Следует развивать имеющиеся таланты, давать опытным специалистам управлять командой, искать людей внутри, вовлекать людей в смежные задачи и проводить внутренние обучения.
Записи выступлений доступны на канале организатора на Youtube.
Ключевыми темами стали тенденции на рынке ИБ, вопросы взаимодействия CISO и топ-менеджмента, трудности кадрового обеспечения функции ИБ.
Мы посетили сессии в Зале 2 «Молекула» и делимся ключевыми, на наш взгляд, тезисами прошедших там дискуссий:
Пленарная сессия:
• В последние пару лет изменились цели атак – если раньше основным мотивом было получение финансовой выгоды, то сейчас это больше дестабилизация деятельности компании и нанесение ей репутационного ущерба и кража конфиденциальной информации. Как следствие, раньше наиболее страдала финансовая сфера, сейчас же злоумышленникам нет разницы, компанию из какой индустрии атаковать.
• С точки зрения перехода на отечественные ИБ-решения, с одной стороны, у российских вендоров настали «золотые времена», но с другой – им сейчас приходится нелегко, они работают с пользовательской базой в разы меньше, чем зарубежные, времени на разработку продуктов сильно меньше, в то же время у них есть возможность учесть опыт иностранных вендоров.
Роль CISO в стратегии компании
• CISO должен быть погружен в метрики бизнеса и понимать свое влияние на эти метрики, которые должны быть при этом понятны борду.
• Стратегию ИБ следует писать совместно с консультантами, которые помогут сделать её понятной борду. Однозначно не стоит звать писать стратегию вендоров решений ИБ, т.к. они заинтересованы в продаже своих продуктов.
• Со стороны борда нужна поддержка CISO с точки зрения повышения осведомленности в вопросах ИБ, демонстрации личного примера (“tone at the top”).
ИБ-компетенции и управление талантами
• Необходимо вкладываться в повышение компетенций, выращивание кадров со студенческой скамьи.
• Следует развивать имеющиеся таланты, давать опытным специалистам управлять командой, искать людей внутри, вовлекать людей в смежные задачи и проводить внутренние обучения.
Записи выступлений доступны на канале организатора на Youtube.
🔥11
В существующем правовом поле РФ есть два подхода к определению уровней защищенности информации: с точки зрения защиты персональных данных (ПДн) и разработанный Центральным Банком РФ (ЦБ).
В разрезе ПДн информационным системам (ИС) могут быть присвоены 4 уровня защищенности (1-4 УЗ). При определении УЗ принимаются во внимание:
· уровень актуальных для ИС угроз;
· категории ПДн, обрабатываемых в ИС;
· количество субъектов ПДн;
· категории субъектов ПДн.
В зависимости от присвоенного УЗ определяются применяемые в ИС меры защиты ПДн.
ЦБ выделяет 3 уровня защиты информации (минимальный, стандартный, усиленный), которые устанавливаются на основе:
· вида деятельности финансовой организации, состава предоставляемых финансовых услуг, реализуемых бизнес-процессов и техпроцессов;
· объема финансовых операций;
· размера организации, отнесения финансовой организации к категории малых предприятий и микропредприятий;
· значимости финансовой организации для финансового рынка и национальной платежной системы.
#ЦБ
#Privacy
#ПолезноЗнать
В разрезе ПДн информационным системам (ИС) могут быть присвоены 4 уровня защищенности (1-4 УЗ). При определении УЗ принимаются во внимание:
· уровень актуальных для ИС угроз;
· категории ПДн, обрабатываемых в ИС;
· количество субъектов ПДн;
· категории субъектов ПДн.
В зависимости от присвоенного УЗ определяются применяемые в ИС меры защиты ПДн.
ЦБ выделяет 3 уровня защиты информации (минимальный, стандартный, усиленный), которые устанавливаются на основе:
· вида деятельности финансовой организации, состава предоставляемых финансовых услуг, реализуемых бизнес-процессов и техпроцессов;
· объема финансовых операций;
· размера организации, отнесения финансовой организации к категории малых предприятий и микропредприятий;
· значимости финансовой организации для финансового рынка и национальной платежной системы.
#ЦБ
#Privacy
#ПолезноЗнать
👍9
Публикуем второй выпуск «Непропустимых» событий ИБ. Мы активно следим за интересными мероприятиями по тематике информационной безопасности и приватности. Сегодня представляем наши рекомендации на май 2024 года.
Подборка мероприятий в файле под этим постом.⬇️
#Непропустимыесобытия
Подборка мероприятий в файле под этим постом.⬇️
#Непропустимыесобытия
🔥9
Вопрос:
Как выстроить процесс безопасного управления цепочкой поставок?
Ответ:
Чтобы обеспечить эффективность при реализации требований ИБ третьими сторонами, рекомендуется учитывать не только первый уровень взаимодействия (непосредственных поставщиков товаров и услуг), но также и их поставщиков и обслуживающие компании.
Рекомендуется зафиксировать обязанность соблюдать требования ИБ в договоре с подрядчиком, а также обязанность транслировать эти требования субподрядчикам в случае их привлечения и обязанность обеспечения ими аналогичных обязательств по транслированию дальше по цепочке.
В идеале транзитивность требований ИБ обеспечивается на протяжении всей цепочки поставок.
В соответствии с ведущими практиками (п. 4.8 ГОСТ Р 59215-2020, п. 5.21 ISO/IEC 27001, ISO/IEC 27036-3, п. 3.20 NIST 800-53 и т.п.) рекомендуется определить, как минимум, следующие аспекты взаимодействия:
· Порядок обмена конфиденциальной информацией в рамках взаимодействия и ответственность за нарушение порядка.
· Требования ИБ к процессам и мерам защиты в зависимости от категории поставщика и уровня его доступа к ИТ-активам компании.
· Распределение ответственности в случае инцидента ИБ и обязанностей при его устранении.
· Требования к квалификации кадров, имеющих доступ к конфиденциальной информации.
· Порядок мониторинга и проверки соответствия сервисов и функций субподрядчика требования ИБ компании.
· Управление качеством и доступностью сервисов и функций субподрядчика.
#KeptОтвечает
#ИБ
Как выстроить процесс безопасного управления цепочкой поставок?
Ответ:
Чтобы обеспечить эффективность при реализации требований ИБ третьими сторонами, рекомендуется учитывать не только первый уровень взаимодействия (непосредственных поставщиков товаров и услуг), но также и их поставщиков и обслуживающие компании.
Рекомендуется зафиксировать обязанность соблюдать требования ИБ в договоре с подрядчиком, а также обязанность транслировать эти требования субподрядчикам в случае их привлечения и обязанность обеспечения ими аналогичных обязательств по транслированию дальше по цепочке.
В идеале транзитивность требований ИБ обеспечивается на протяжении всей цепочки поставок.
В соответствии с ведущими практиками (п. 4.8 ГОСТ Р 59215-2020, п. 5.21 ISO/IEC 27001, ISO/IEC 27036-3, п. 3.20 NIST 800-53 и т.п.) рекомендуется определить, как минимум, следующие аспекты взаимодействия:
· Порядок обмена конфиденциальной информацией в рамках взаимодействия и ответственность за нарушение порядка.
· Требования ИБ к процессам и мерам защиты в зависимости от категории поставщика и уровня его доступа к ИТ-активам компании.
· Распределение ответственности в случае инцидента ИБ и обязанностей при его устранении.
· Требования к квалификации кадров, имеющих доступ к конфиденциальной информации.
· Порядок мониторинга и проверки соответствия сервисов и функций субподрядчика требования ИБ компании.
· Управление качеством и доступностью сервисов и функций субподрядчика.
#KeptОтвечает
#ИБ
👍12
10 апреля мы опубликовали первый выпуск рубрики «Де-юре». В период 10 – 27 апреля новые нормативно-правовые акты в силу не вступали, поэтому публикуем дополнение к первому выпуску. Далее рубрика будет выходить в конце каждого месяца.
🔥7