80 episodes

Security Vision - информационная безопасность от А до Я

Security Vision - информационная безопасность от А до ‪Я‬ SecurityVision

    • Business

Security Vision - информационная безопасность от А до Я

    Обзор публикации NIST SP 800-207 "Zero Trust Architecture"

    Обзор публикации NIST SP 800-207 "Zero Trust Architecture"

    В современном цифровом мире киберугрозы эволюционируют настолько быстро и приобретают такие масштабы, что специалисты и методологи информационной безопасности вынуждены регулярно пересматривать концепции и парадигмы защиты информации. Периодически, раз в 2-3 года, на рынке средств защиты информации появляется новый класс продуктов, обещающий защиту от новейших киберугроз: так было с Next Generation Firewall (межсетевые экраны нового поколения), с системами DLP (решения для предотвращения утечек данных), с SIEM-системами и далее с решениями по защите облачных платформ, системами выявления аномалий, платформами для работы с данными киберразведки.

    • 9 min
    Обзор публикации NIST SP 1800-22 "Mobile Device Security: Bring Your Own Device (BYOD)"

    Обзор публикации NIST SP 1800-22 "Mobile Device Security: Bring Your Own Device (BYOD)"

    Массовый переход сотрудников на удаленную работу во время пандемии сопровождался беспрецедентным ростом количества личных устройств (смартфонов, ноутбуков), подключенных к корпоративным сетям. Действительно, далеко не все компании заранее озаботились закупкой резервных устройств, которые можно было бы оперативно выдать сотрудникам для удаленной работы. При таком подходе, когда личные и зачастую неконтролируемые устройства подключаются к корпоративным ресурсам (таким как VPN-шлюзы, веб-сервисы, электронная почта и т.д.), киберриски возрастают многократно.



    Подробнее - https://www.securityvision.ru/blog/obzor-publikatsii-nist-sp-1800-22-draft-mobile-device-security-bring-your-own-device-byod-/

    • 10 min
    Обзор публикации NIST SP 800-47 Rev. 1 "Managing the Security of Information Exchanges"

    Обзор публикации NIST SP 800-47 Rev. 1 "Managing the Security of Information Exchanges"

    В современном мире всеобъемлющей цифровизации и диджитализации большинства бизнес-процессов обмен информацией играет ключевую роль, будь то пересылка файлов по электронной почте, предоставление онлайн-сервиса заказчикам, совместное использование облачной инфраструктуры или передача информации через VPN-туннель между компаниями-партнерами. Во всех случаях, как правило, речь идет о необходимости согласовать единый формат обмена и защиты информации, заключить юридически значимые договоренности о правилах обмена и соблюдении конфиденциальности, поддерживать выбранный способ обмена и корректно завершить взаимодействие по достижении цели.



    Подробнее - https://www.securityvision.ru/blog/obzor-publikatsii-nist-sp-800-47-rev-1-managing-the-security-of-information-exchanges/

    • 17 min
    Обзор публикации NIST SP 800-82 Rev. 2 "Guide to Industrial Control Systems (ICS) Security"

    Обзор публикации NIST SP 800-82 Rev. 2 "Guide to Industrial Control Systems (ICS) Security"

    Процессы цифровизации в последние годы затронули множество секторов экономики, и, в частности, современное производство, добычу полезных ископаемых, энергетику, транспорт, медицину уже невозможно представить без автоматизированных систем управления технологическими процессами (АСУТП, англ. Industrial Control Systems, ICS), SCADA-систем, программируемых логических контроллеров (ПЛК), распределенных систем управления. Данные средства являются составными частями OT-инфраструктуры (от Operational Technology), которые могут взаимодействовать с классической IT-инфраструктурой и являться объектами кибератак.



    Подробнее - https://www.securityvision.ru/blog/obzor-publikatsii-nist-sp-800-82-rev-2-guide-to-industrial-control-systems-ics-security/

    • 8 min
    Обзор публикации NIST SP 800-161 Rev. 1 (Draft) "Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations"

    Обзор публикации NIST SP 800-161 Rev. 1 (Draft) "Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations"

    Ряд резонансных киберинцидентов, произошедших в последнее время (такие как атаки на ИТ-гигантов SolarWinds и Kaseya), поставили мировое сообщество перед фактом: невозможно однозначно доверять даже самым проверенным и изученным информационным системам. Причина заключается в возможности проведения атак на цепочки поставок (англ. "supply chain attacks") путем несанкционированного внедрения атакующими вредоносного кода и/или недекларированных возможностей в программное и/или аппаратное обеспечение, которое поставляется третьим лицом (ИТ-вендором, производителем, сторонними разработчиками).



    Подробнее - https://www.securityvision.ru/blog/obzor-publikatsii-nist-sp-800-161-rev-1-draft-cybersecurity-supply-chain-risk-management-practices-f/

    • 14 min
    Обзор публикации NIST SP 800-218 "Secure Software Development Framework (SSDF) Version 1.1: Recommendations for Mitigating the Risk of Software Vulnerabilities"

    Обзор публикации NIST SP 800-218 "Secure Software Development Framework (SSDF) Version 1.1: Recommendations for Mitigating the Risk of Software Vulnerabilities"

    Новости об обнаружении опасных уязвимостей в популярных приложениях и операционных системах публикуются на профильных ресурсах практически ежедневно, при этом наиболее громкие уязвимости получают даже имена собственные - так было, например, с HeartBleed (CVE-2014-0160), EternalBlue (CVE-2017-0144), Log4Shell (CVE-2021-44228). Обнаружение подобного рода уязвимостей, ошибок конфигурирования или реализации протоколов становится значимым событием, поскольку вслед за публикацией исследователем или вендором технической информации злоумышленники начинают разрабатывать эксплойты в надежде атаковать пока что непропатченные системы (о важности процесса управления уязвимостями мы говорили в одной из предыдущих статей).

    • 14 min

Top Podcasts In Business

The Dough
Lemonada Media
The Ramsey Show
Ramsey Network
REAL AF with Andy Frisella
Andy Frisella #100to0
Money Rehab with Nicole Lapin
Money News Network
Most Innovative Companies
Fast Company
The Diary Of A CEO with Steven Bartlett
DOAC