Информация без опасностей (безопасность)

ФСТЭК России совместно с Центром исследования безопасности системного ПО и критичных компонентов на конференции Certification Day 2024 объявили о том, что до 1 января 2025 года ожидают получить от разработчиков отечественного ПО список заимствованных opensource-компонентов, входящих в состав разрабатываемых продуктов для оценки на предмет наличия уязвимостей и для составления плана поддержки сертифицированных продуктов. Также предполагается, что этот перечень должен попасть в эксплуатационную документацию на продукт. В дальнейшем такой перечень позволит быстрее и проще проходить сертификацию в отношении тех продуктов, которые используют только проверенные Центром заимствованные компоненты, а кроме того, Центр с учётом этой информации сможет централизованно и адресно предупреждать разработчиков об уязвимостях сторонник компонентов. В ближайшее время ожидается официальное письмо «О порядке взаимодействия участников сертификации с Центром исследования безопасности системного ПО и критичных компонентов». Для разработчиков это означает, что очень важно заранее подготовить полный перечень заимствованных компонентов в продуктах, чтобы "не тушить пожары" перед НГ. Этот перечень и ранее требовался при анализе уязвимостей и в рамках различных оценок соответствия, но сейчас составить его особенно критично. #комплаенс #фстэк #todo #sdlc #безопаснаяразработка

Cloud Threat Landscape У Wiz, известного вендора занимающегося решениями для безопасности облака, есть вполне достойный внимания ресурс для из изучения - Cloud Threat Landscape. Что здесь можно найти? Обновляемый перечень инцидентов с указанием задействуемых инструментов, технологий, группировок, способов получения доступа. Есть отдельная категория для атак на supply chain. Группировки с ссылкой на инциденты и оперируемые техники. Техники с ссылкой на ATT&CK тактики. Техники протегированы с разбивкой на облачные атаки, атаки на kubernetes, CI/CD и тд. Инструменты, используемые при различных ранее известных атаках, упоминаемых в инцидентах, включая названия криптомайнеров, ransomware и тулкитов. Технологии, на которые нацелены атаки (Docker, Confluence, Redis, Kuberentes и тд), включая способы обнаружения в них уязвимостей (Nuclei, Metaspolit, база CISA KEV) Данный ресурс мало чем отличается от многочисленных awesome-подборок на github, которые никогда не успевают обновляться в след за появлением огромного количества новых статей, инструментов и техник. В некотором смысла данный ресурс даже хуже, так как полностью поддерживается вендором Wiz без участия сообщества 😅 Тем не менее, обойти данный ресурс мы не могли, ибо он может быть полезен при моделировании угроз для облаков. Кроме того, есть RSS-feed с публикацией атак и инцидентов. А чем вы пользуйтесь при моделировании угроз? #cloud

Охотники за 2FA-кодами Госуслуг и банков начали звонить от имени Мосэнерго https://www.anti-malware.ru/news/2024-07-15-114534/43750

В России появится сервис для заключения брака по биометрии — РБК https://www.rbc.ru/society/08/07/2024/668c23dc9a79470c0bece345

Журналисты в США подали в суд на OpenAI за использование своих текстов | РБК Life https://www.rbc.ru/life/news/669103d79a7947ede8b1b203

11.07.2024 г. опубликовано постановление Правительства РФ от 10.07.2024 № 929 "Об утверждении Положения о государственной единой облачной платформе" (в части требований к обеспечению информационной безопасности в рамках предоставления облачных услуг)

Владельцев аккаунтов в социальных сетях, ежедневная аудитория которых составляет свыше 1 тыс. человек, могут обязать передавать в Роскомнадзор сведения о себе, сообщили ТАСС в пресс-службе Роскомнадзора. https://tass.ru/obschestvo/21332093

10.07.2024 г. опубликован проект постановления Правительства РФ (разработчик ФСТЭК России) "О внесении изменений в Правила категорирования объектов критической информационной инфраструктуры РФ"

Apple по требованию Роскомнадзора удалила из российского App Store ещё десять VPN-сервисов. Причина та же — популяризация средств для обхода блокировок и получения доступа к противоправным ресурсам. На этот раз не повезло AdGuard VPN, Ru VPN, TOP VPN, Potato VPN, VPN super — Proxy Master, Turbo VPN, VPN TM, VPNIFY и TipTop VPN. На прошлой неделе — также по требованию РКН — «яблочная» корпорация заблокировала в своём магазине ПО 25 VPN-сервисов, среди которых были достаточно крупные: Red Shield VPN, Le VPN, Proton VPN, NordVPN и Planet VPN https://ib-bank.ru/bisjournal/news/20804