Блоги:
Алексей Лукацкий в качестве государственно-частного
партнерства привел пример последнего документа ФСТЭК по SOC; написал
заметки про «Методические рекомендации по созданию ведомственных и
корпоративных центров ГосСОПКИ» (часть 1, часть 2, часть 3).
Сергей Борисов рассмотрел требования по
анализу уязвимостей ГИС в соответствии с приказом ФСТЭК России №17.
Андрей Прозоров поделился своим твиттер-листом иностранных
специалистов по ИБ.
Статьи:
Обзор инцидентов безопасности
за периоды с 24 по 30 апреля 2017 года от securitylab.
Преступления в банковской сфере
с 1 по 30 апреля 2017 года.
Обзор
кибератак с 16 по 31 марта 2017 года от hackmageddon (англ.).
Обзор уязвимостей за 21 - 28 апреля, 28 апреля - 5 мая от
US-CERT (англ.).
WannaCry: анализ,
индикаторы компрометации и рекомендации по предотвращению.
Введение в криптографию
и шифрование, часть первая.
Wikileaks опубликовал шестую
части дампа Vault 7 под
названием «Scribbles».
Проверяем
работодателя. 4 вида мошенничества и способы борьбы с ними.
Сравнение веб-сканера сайтов
Rescan.Pro с сервисами antivirus-alarm и 2ip.
Мобильные
устройства в корпоративной среде: риски и угрозы XXI века.
Обзор инструментария и
тренировочных площадок для повышения навыков по
компьютерной криминалистике (форензике).
Как правильно настроить
межсетевой экран или Check Point
Security Best Practices.
Поисковик Shodan научили искать управляющие серверы
малвари.
Борьба
с ложными срабатываниями в продуктах от Лаборатории Касперского.
Как включить двухфакторную аутентификацию в
TeamViewer.
Wap-Click: простой вариант поиметь
(денег с) абонента.
Hacksplaining — интерактивный курс по
веб-уязвимостям.
Уязвимость в протоколе SS7
уже несколько лет используют для перехвата SMS и обхода двухфакторной
аутентификации.
Приложение-ловушка: удивительный
мир ботов Tinder.
Стартап Nomx, предлагающий
защищенное железо для email-серверов, использует устаревшее ПО и содержит
уязвисти.
StringBleed – обход SNMP-аутентификации в
маршрутизаторах различных производителей.
OWASP
TOP-10 2017: помогает ли оно создавать более безопасные приложения?
(англ.).
Добавление DNS-записей
типа CAA станет частью процесса выдачи сертификата (англ.).
Поиск
через Shodan прямой трансляции с беспилотников (англ.).
Насколько безопасны мобильные
банковские приложения?
Использование надстроек
Microsoft Office 2013 в качестве вектора заражения и метода сохранения состояния
(persistence techniques).
Документы:
OUCH! Безопасность
детей в сети – майский выпуск ежемесячника по информационной безопасности
для пользователей. Источник: SANS.
Программное обеспечение/сервисы:
threat-model.com - сервис создания
моделей угроз.
Kali Linux 2017.1
- дистрибутив для тестирования на проникновение.
Gixy — open source от Яндекса,
который сделает конфигурирование
Nginx безопасным.
Аналитика:
DDoS-атаки
в первом квартале 2017 года. Источник: Лаборатория Касперского.
Спам
и фишинг в первом квартале 2017 года. Источник: Лаборатория Касперского.
Атаки
на веб-приложения 2016 - данные,
полученные в ходе пилотных проектов по внедрению межсетевого экрана прикладного
уровня PT Application Firewall в 2016 году (см. краткий обзор).
Источник: Positive Technologies.
Мероприятия:
Ресурсы:
Презентации с «OPCDE DXB 2017».
Презентации с «HITBSecConf2017
– Amsterdam».
Видео с «OWASP
AppSec California 2017».
Видео с «BSidesCharm
2017».
Видео с «BSides Nashville 2017».
Мастер-класс «Процесс организации борьбы с
фишингом» от Алексея Лукацкого.
Видео «Правоприменительная практика
в области персональных данных» от «ДиалогНаука».
findsecuritysolution.net -
критерии выбора поставщика услуг нейтрализации DDoS-атак (см. описание).
Комментариев нет:
Отправить комментарий