Forwarded from Women in Tech (WiT)
Во вторник 20 мая приглашаем вас на онлайн-конференцию “CyberGirls: как построить карьеру в ИБ”.
Прекрасные эксперты отрасли поделятся опытом, разберут актуальные тренды и ответят на ваши вопросы.
🎙 Программа:
▫️ Карьерные границы ИБ – как выглядит рынок сейчас и куда двигаться?
▫️ Вызовы молодого тимлида – личный опыт и советы.
▫️ Antifraud Black Box – как компании тестируют защиту от мошенничества.
▫️ Аналитики ИБ – развитие, тренды и работа со сложными заказчиками.
▫️ Цифровая крепость – защита семьи от киберугроз в 2025.
🎁 Приз участницам конференции от нашего партнёра, научно-технологического Музея криптографии, первого и единственного в России: "Встреча 15-ти участниц сообщества Women in Tech Russia на экскурсии в мир криптографии с Анастасией Ашаевой, к. и. н., старшим научным сотрудником Музея." Участвуйте в розыгрыше по ссылке!
📍 Где и когда?
🗓 20 мая, 18:30–20:30 (МСК)
💻 Zoom
🔒 Будет запись выступлений, но панельная дискуссия – только в live. Не пропустите живое общение!
🗳 Выбираем тему панельной дискуссии вместе!
Голосуйте в опросе или пишите в комментариях 👇
Прекрасные эксперты отрасли поделятся опытом, разберут актуальные тренды и ответят на ваши вопросы.
🎙 Программа:
▫️ Карьерные границы ИБ – как выглядит рынок сейчас и куда двигаться?
▫️ Вызовы молодого тимлида – личный опыт и советы.
▫️ Antifraud Black Box – как компании тестируют защиту от мошенничества.
▫️ Аналитики ИБ – развитие, тренды и работа со сложными заказчиками.
▫️ Цифровая крепость – защита семьи от киберугроз в 2025.
🎁 Приз участницам конференции от нашего партнёра, научно-технологического Музея криптографии, первого и единственного в России: "Встреча 15-ти участниц сообщества Women in Tech Russia на экскурсии в мир криптографии с Анастасией Ашаевой, к. и. н., старшим научным сотрудником Музея." Участвуйте в розыгрыше по ссылке!
📍 Где и когда?
🗓 20 мая, 18:30–20:30 (МСК)
💻 Zoom
🔒 Будет запись выступлений, но панельная дискуссия – только в live. Не пропустите живое общение!
🗳 Выбираем тему панельной дискуссии вместе!
Голосуйте в опросе или пишите в комментариях 👇
👍3
Forwarded from SecAtor
После проблем с финансированием CVE и демаршем членов совета MITRE, решивших выйти из-под Министерства внутренней безопасности США и работать как самостоятельный незаивисмый фонд, в Европе также решили «импортозаместиться» в этом вопросе.
Агентство ЕС по кибербезопасности ENISA запустило собственную базу данных уязвимостей, предназначенную для сбора информации об ошибках ПО в европейской экосистеме.
При этом свое решение по учреждению новой базы данных EUVD в руководстве ЕС никак не связывают с недавними проблемами финансирования MITRE в США.
ЕС фактически обязал ENISA создать новую базу данных посредством директивы NIS2, принятой в декабре 2022 года (пункты 62 и 63).
С самого начала ЕС знал о существовании подобных баз данных уязвимостей, но хотел, чтобы одна из них находилась под его прямым контролем и подчинялась его правилам прозрачности.
Чиновники ЕС, возможно, этого не говорят, но они подозревают, что их коллеги из США и Китая могут задерживать публикацию ряда уязвимостей в своих национальных базах данных, задействуя их в атаках.
Наличие собственной базы данных позволит ENISA находить пробелы в отчетности своих коллег и, по всей видимости, заниматься аналогичным промыслом.
При этом начиная с сентября этого года благодаря Закону ЕС о киберустойчивости поставщики программного обеспечения будут обязаны информировать об уязвимостях.
EUVD также будет уполномочена присваивать собственные CVE, поскольку орган является авторизованным CNA MITRE, но в распоряжении будет и собственная система нумерации и идентификации уязвимостей.
По мнению исследователей, к настоящему времени EUVD явно не дотягивает до уровня CVE MITRE, но ожидается, что NIS2 и CRA все же изменят ситуацию.
Будем, конечно, посмотреть.
Агентство ЕС по кибербезопасности ENISA запустило собственную базу данных уязвимостей, предназначенную для сбора информации об ошибках ПО в европейской экосистеме.
При этом свое решение по учреждению новой базы данных EUVD в руководстве ЕС никак не связывают с недавними проблемами финансирования MITRE в США.
ЕС фактически обязал ENISA создать новую базу данных посредством директивы NIS2, принятой в декабре 2022 года (пункты 62 и 63).
С самого начала ЕС знал о существовании подобных баз данных уязвимостей, но хотел, чтобы одна из них находилась под его прямым контролем и подчинялась его правилам прозрачности.
Чиновники ЕС, возможно, этого не говорят, но они подозревают, что их коллеги из США и Китая могут задерживать публикацию ряда уязвимостей в своих национальных базах данных, задействуя их в атаках.
Наличие собственной базы данных позволит ENISA находить пробелы в отчетности своих коллег и, по всей видимости, заниматься аналогичным промыслом.
При этом начиная с сентября этого года благодаря Закону ЕС о киберустойчивости поставщики программного обеспечения будут обязаны информировать об уязвимостях.
EUVD также будет уполномочена присваивать собственные CVE, поскольку орган является авторизованным CNA MITRE, но в распоряжении будет и собственная система нумерации и идентификации уязвимостей.
По мнению исследователей, к настоящему времени EUVD явно не дотягивает до уровня CVE MITRE, но ожидается, что NIS2 и CRA все же изменят ситуацию.
Будем, конечно, посмотреть.
www.enisa.europa.eu
Consult the European Vulnerability Database to enhance your digital security! | ENISA
ENISA is the EU agency dedicated to enhancing cybersecurity in Europe. They offer guidance, tools, and resources to safeguard citizens and businesses from cyber threats.
Пропустил сам рисеч по безопасности приложений Андроид в 2024. Интересная статистика в разбивке по сферам рынка для каждого типа уязвимостей.
Forwarded from AppSec Solutions
Исследование уязвимостей мобильных приложений📱
Команда AppSec Solutions представила результаты ежегодного исследования приложений российских разработчиков. Тестирование проводилась методом «черного ящика», без доступа к исходному коду, что максимально приближает его к реальным условиям атаки. Безопасность приложений проверялась с помощью «Стингрей» — платформы автоматизированного анализа защищенности мобильных приложений.
🛡 Эксперты проверили 1 675 Android-приложений из 18 категорий — от финтеха и онлайн-ритейла до здравоохранения, образования и корпоративных сервисов.
— прокомментировал результаты Юрий Шабалин, директор по продукту «Стингрей» компании AppSec Solutions.
➡️ Собрали главное в карточках, а полную версию исследования можно найти на странице нашего спецпроекта на CNews.
#AppSec_исследование #AppSec_Stingray
Команда AppSec Solutions представила результаты ежегодного исследования приложений российских разработчиков. Тестирование проводилась методом «черного ящика», без доступа к исходному коду, что максимально приближает его к реальным условиям атаки. Безопасность приложений проверялась с помощью «Стингрей» — платформы автоматизированного анализа защищенности мобильных приложений.
Как и год-два назад основной проблемой является небезопасное хранение данных. Это могут быть и пароли от приложений, и сессионные идентификаторы, и токены доступа для своих сервисов. В этом году на первом месте – небезопасное хранение ключей доступа от сторонних сервисов. Эти сервисы могут содержать большое количество конфиденциальной информации, утечка которой может быть опасна как для пользователей, так и для компании.
— прокомментировал результаты Юрий Шабалин, директор по продукту «Стингрей» компании AppSec Solutions.
#AppSec_исследование #AppSec_Stingray
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from AlexRedSec
Gartner пишет:
Да, удивительно слышать такие советы отгенератора акронимов Gartner😄
В их статье "Reduce Threat Exposure With Security Controls Optimization" поднимается проблема растущего количества взломов компаний из-за неправильно настроенных средств защиты и контроля. Авторы подчеркивают, что ключ к снижению угроз и повышению эффективности инвестиций в безопасность лежит не в простом наличии инструментов (и покрытии ими инфраструктуры), а в их правильной настройке и непрерывной оптимизации.
Чтобы решить проблему управления большим количеством средств защиты и повысить их эффективность предлагается:
1️⃣ Определить желаемые результаты, соответствующие целям бизнеса.
Сосредоточиться на борьбе с наиболее опасными и специфичными для бизнеса угрозами с помощью имеющихся средств защиты и контроля.
2️⃣ Сместить фокус с наличия контроля на его эффективность.
Эффективность достигается за счет оптимальной конфигурации, интеграции с другими средствами контроля и построении эффективных процессов. Необходимо определить метрики, ориентированные на результат, для измерения результатов инвестиций в средства контроля и их оптимизацию (см. скрин с примерами метрик).
3️⃣ Создать кроссфункциональные команды с экспертизой в соответствующих направлениях (защиты).
Оптимизация (настроек средств защиты) требует совместной работы различных команд/отделов и владельцев активов для понимания того, что именно нуждается в защите и как функционируют системы (см. скрин с RACI-матрицей).
4️⃣ Синхронизировать работы по оптимизации с процессом управления угрозами и непрерывного анализа защищенности (CTEM).
CTEM помогает выявлять пробелы в защите и видимости угроз, в то время как оптимизация средств контроля помогает их устранять.
#controls #optimization #exposure #ctem #gartner #metrics
Недостаточно просто купить средства защиты, их еще нужно постоянно настраивать, и вообще нет смысла гоняться за новыми и более дорогими инструментами.
Да, удивительно слышать такие советы от
В их статье "Reduce Threat Exposure With Security Controls Optimization" поднимается проблема растущего количества взломов компаний из-за неправильно настроенных средств защиты и контроля. Авторы подчеркивают, что ключ к снижению угроз и повышению эффективности инвестиций в безопасность лежит не в простом наличии инструментов (и покрытии ими инфраструктуры), а в их правильной настройке и непрерывной оптимизации.
Чтобы решить проблему управления большим количеством средств защиты и повысить их эффективность предлагается:
Сосредоточиться на борьбе с наиболее опасными и специфичными для бизнеса угрозами с помощью имеющихся средств защиты и контроля.
Эффективность достигается за счет оптимальной конфигурации, интеграции с другими средствами контроля и построении эффективных процессов. Необходимо определить метрики, ориентированные на результат, для измерения результатов инвестиций в средства контроля и их оптимизацию (см. скрин с примерами метрик).
Оптимизация (настроек средств защиты) требует совместной работы различных команд/отделов и владельцев активов для понимания того, что именно нуждается в защите и как функционируют системы (см. скрин с RACI-матрицей).
CTEM помогает выявлять пробелы в защите и видимости угроз, в то время как оптимизация средств контроля помогает их устранять.
#controls #optimization #exposure #ctem #gartner #metrics
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4
https://csrc.nist.gov/pubs/cswp/41/likely-exploited-vulnerabilities-a-proposed-metric/final попытка оценить скорость эксплуатации уязвимости после её публикации.
CSRC | NIST
Likely Exploited Vulnerabilities: A Proposed Metric for Vulnerability Exploitation Probability
This work presents a proposed security metric to determine the likelihood that a vulnerability has been observed to be exploited. Only a small fraction of the tens of thousands of software and hardware vulnerabilities that are published every year will be…