Spaziergang mit Sicherheit Florian Franke

In der 11. Episode des Podcast "Spaziergang mit Sicherheit" werden die folgenden Themen behandelt

Aktuelle Nachrichten

https://devd.me/log/posts/startup-security/


https://about.gitlab.com/handbook/engineering/security/#-resources

https://support.google.com/a/answer/9211704

https://github.com/Lissy93/personal-security-checklist

Thema der Episode lautet Neuerungen in der neuen Version der ISO/IEC 27002

https://www.phlowsec.com/blog/neuerungen-in-der-iso-iec-27002/

Kontakt:

https://twitter.com/SpaziergangS

https://www.infosec-podcast.de/shownotes/ep11/

https://www.infosec-ulm.de

https://www.phlowsec.com

Musik: Goto80 and the Uwe Schenk Band - Cable Swingin' Ferret (lizensiert unter CC0 1.0 Universal License)

In der 10. Episode des Podcast "Spaziergang mit Sicherheit" werden die folgenden Themen behandelt

Aktuelle Nachrichten

https://www.darkreading.com/operations/microsoft-multifactor-adoption-remains-low

https://bishopfox.com/blog/unredacter-tool-never-pixelation

https://www.pwndefend.com/2021/09/15/post-compromise-active-directory-checklist/

Hausaufgabe der Episode das Thema Risiko Analyse

Was ist ein Risiko:

https://www.risikomanagement-wissen.de/risikomanagement/risikomanagement-einfuehrung/iso_31000/

Zentrale IT-Gefährdungen

https://www.bmi.bund.de/SharedDocs/downloads/DE/publikationen/themen/it-digitalpolitik/bsi-lagebericht-cybersicherheit-2021.pdf?__blob=publicationFile&v=3

Eintrittswahrscheinlichkeit


Sehr wahrscheinlich - wird im nächsten Monat passieren
Wahrscheinlich - wird im nächsten halben Jahr passieren
Möglich - wird in den nächsten 2 Jahren passieren
Unwahrscheinlich - Wird eher nicht passieren

Schadensausmaß


Sehr hoch - Auswirkung auf Gesundheit oder Sicherheit von Personen, Systemausfall führt zum Verlust von Kundenverträge
Hoch - Systemausfall führt zum Verletzten von SLAs
Mittel - Systemausfall führt zum vereinzelten Verletzten von SLAs
Niedrig - Kaum Auswirkungen auf Systembetrieb

Risiko


2 und 3 steht für ein sehr hohes Risiko
4 für hohe Risiken
5 und 6 für mittlere Risiken
Und 7 und 8 für niedrige Risiken

Risiken mit einem Wert größer gleich 5 können akzeptiert werden

Risikoidentifizierung: Welche Ereignisse können zu einem negativen Impact führen?

Risiko Analyse: Was sind die Ursachen und Konsequenzen des Risikoeintritts und wie wahrscheinlich ist der Risikoeintritt?

Risikobewertung: welche Risiken kann ich tragen, und bei welchen muss ich aktiv werden?

Risikobehandlung: Wie wird mit den Risiken umgegangen?

Kontakt:

https://www.infosec-podcast.de/shownotes/ep10/

https://twitter.com/SpaziergangS

https://www.infosec-podcast.de

https://www.infosec-ulm.de

Musik: Goto80 and the Uwe Schenk Band - Cable Swingin' Ferret (lizensiert unter CC0 1.0 Universal License)

In der 9. Episode des Podcast "Spaziergang mit Sicherheit" werden die folgenden Themen behandelt

Log4J

Hinweise vom BSI

https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549032-10F2.html?nn=520690

Hausaufgabe der Episode das Thema Software Stücklisten

Lesenswerte Artikel

https://devblogs.microsoft.com/engineering-at-microsoft/generating-software-bills-of-materials-sboms-with-spdx-at-microsoft/

https://jfrog.com/knowledge-base/best-practices-for-software-bill-of-materials-sbom-management/

Hinweis von CISA zu Software Stücklisten

https://www.cisa.gov/sbom

Shownotes:

https://www.infosec-podcast.de/shownotes/ep9/

Kontakt:

https://twitter.com/SpaziergangS

https://www.infosec-podcast.de

Musik: Goto80 and the Uwe Schenk Band - Cable Swingin' Ferret (lizensiert unter CC0 1.0 Universal License)

In der 8. Episode des Podcast "Spaziergang mit Sicherheit" werden die folgenden Themen behandelt

Top 3 - aktuelle Nachrichten.


https://www.merkur.de/wirtschaft/kuendigung-rache-cyber-kriminalitaet-daten-zerstoert-new-york-credit-union-bank-fbi-warnung-90963946.html
https://krebsonsecurity.com/2021/08/wanted-disgruntled-employees-to-deploy-ransomware/
https://therecord.media/cisa-adds-single-factor-authentication-to-its-catalog-of-bad-practices

Hausaufgabe der Episode das Thema Asset-Management

https://www.cisecurity.org/controls/inventory-and-control-of-enterprise-assets/

https://www.cisecurity.org/controls/inventory-and-control-of-software-assets/

Fragen für die Bewertung


Kosten für Kauf bzw. erstellen
Kosten für nochmals erstellen bzw. wiederherstellen
Kosten für die Wartung
Wert für das Unternehmen
Wert für die Wettbewerber

Empfohlene Spalten


Nummer
Asset
Asset Eigentümer
Beschreibung
Kategorie
Bewertungsblock (Verfügbarkeit, Vertraulichkeit, Integrität)
Prozessabhängigkeit

Tool für AD Prüfung - https://www.pingcastle.com/

Kontakt:

https://twitter.com/SpaziergangS

https://www.infosec-podcast.de

Musik: Goto80 and the Uwe Schenk Band - Cable Swingin' Ferret (lizensiert unter CC0 1.0 Universal License)

In der 7. Episode des Podcast "Spaziergang mit Sicherheit" werden die folgenden Themen behandelt

Top 3 - aktuelle Nachrichten. Sammler - Schnelles Patchen

https://www.securityweek.com/decryption-key-ransomware-delivered-kaseya-attack-made-public

https://www.heise.de/news/Windows-Vice-Society-Ransomware-schluepft-durch-PrintNightmare-Luecken-6165668.html

https://www.heise.de/news/Angreifer-kombinieren-ProxyShell-Luecken-und-attackieren-Microsoft-Exchange-6164957.html

https://www.cpomagazine.com/cyber-security/half-of-organizations-suffered-attacks-from-repeat-hackers-while-most-failed-to-utilize-their-threat-hunting-teams/

https://www.securityweek.com/decryption-key-ransomware-delivered-kaseya-attack-made-public

https://www.infosecurity-magazine.com/news/attackers-turning-ddos-ransom/

 

https://portswigger.net/daily-swig/top-hacks-from-black-hat-and-def-con-2021

https://medium.com/swlh/so-you-inherited-an-aws-account-e5fe6550607d

https://github.com/nccgroup/ScoutSuite

https://www.ccc.de/de/updates/2021/ccc-meldet-keine-sicherheitslucken-mehr-an-cdu

 

Hausaufgabe der Episode das Thema Responsible Disclosure / Meldung von Schwachstellenhttps://www.bundeswehr.de/de/security-policy

https://disclose.io/

https://policymaker.disclose.io/policymaker/introduction

 So somit habt ihr nun folgendes zu tun:

Entscheiden welcher Kommunikationskanal verwendet werden soll

Den Policymaker ausfüllen und das Template herunterladen

Das Template anpassen und auf der Webseite veröffentlichen

Security.txt Datei ablegen und DNS Einträge setzen

Kontakt:https://twitter.com/SpaziergangS

https://www.infosec-podcast.de

  

Musik: Goto80 and the Uwe Schenk Band - Cable Swingin' Ferret (lizensiert unter CC0 1.0 Universal License)

In der 6. Episode des Podcast "Spaziergang mit Sicherheit" werden die folgenden Themen behandelt

 

https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/BSI-Standards/BSI-Standard-200-4-Business-Continuity-Management/BSI-Standard-200-4_Hilfsmittel/BSI_Standard_200_4_Hilfsmittel.html

 

Top 3 - aktuelle Nachrichten. https://krebsonsecurity.com/2021/07/dont-wanna-pay-ransom-gangs-test-your-backups/

https://blog.lookout.com/protect-against-pegasus-spyware

https://www.security-insider.de/was-bei-cookie-bannern-immer-noch-falsch-gemacht-wird-a-1041120/

Hinweise vom LFD Niedersachsen

https://lfd.niedersachsen.de/startseite/themen/internet/datenschutzkonforme-einwilligungen-auf-webseiten-anforderungen-an-consent-layer-194906.html

 

Hausaufgabe der Episode das Thema Sicherheit für One-Man-Showshttps://www.microsoft.com/de-de/microsoft-365/business/compare-all-microsoft-365-business-products?=&activetab=tab%3Aprimaryr2&market=de

https://support.microsoft.com/de-de/windows/sichern-und-wiederherstellen-in-windows-10-352091d2-bb9d-3ea3-ed18-52ef2b88cbef

https://support.microsoft.com/de-de/windows/aktivieren-der-ger%C3%A4teverschl%C3%BCsselung-0c453637-bc88-5f74-5105-741561aae838

Awareness Videos

Phishing-E-Mails enttarnen! | BSI

Smart-Meter-Gateway - Wie funktioniert's? | BSI

Vorsicht Phishing! Gefälschte E-Mails erkennen - Tipps und Tricks

Musik: Goto80 and the Uwe Schenk Band - Cable Swingin' Ferret (lizensiert unter CC0 1.0 Universal License)