Блог Сергея Борисова про ИБ

 Н едавно OWASP опубликовали новую версию   Top 10 API Security Risks . Кроме этого сообщество OWASP было известно рейтингами Top 10 web уязвимостей, Top 10 уязвимостей kubernetes и  Top 10 CI/CD Security Risks   и другими полезными Top 10 по безопасности. API-интерфейсы являются важной частью современных мобильных, облачных, микросервисных, одностраничных и веб-приложениях. По своей природе API-интерфейсы раскрывают логику приложения и конфиденциальные данные, и из-за этого API-интерфейсы все чаще становятся целью для злоумышленников. Без безопасных API быстрые инновации были бы невозможны. Поэтому в 2019 г. в целях повышения осведомленности был определен перечень наиболее опасных угроз безопасности, связанных с API. Сейчас же в 2023-его году Top 10 API Security Risk был существенно обновлен. Новые тренды: Авторизация  остается самой большой проблемой в безопасности API. Три пункта из первой пяти связаны с авторизацией и управлением доступом. Современные прилож...

  Недавно европейский орган о кибербезопасности European Union Agency for Cybersecurity ( ENISA ) выпустили свежий  отчет CYBERSECURITY FORSMES по анализу актуальных угроз ИБ для малого и среднего бизнеса, а также дал рекомендации по защите. Давайте посмотрим на них подробнее: ·         В Европе 99% компаний относятся к SME , поэтому их кибербезопасность очень важна (в России, кстати, тоже доля СМБ составляет 90%, хотя общая доля таких компаний в ВВП не большая) ·         Растет зависимость всех типов SME от компьютеров и интернета ·         Большинство SME (более 80%) автоматизировано обрабатывают критическую информации и кибербезопасность для них ключевой приоритет ·         Базовые меры защита внедрены в 70% SME , но расширенные меры применяют менее 30% SME ·         64% SME использу...

Пару дней назад европейский регулятор ENISA выпустил руководство по обеспечению кибербезопасности при оснащении больниц и медицинских центров (Procurement Guidelines for Cybersecurity in Hospitals) В отличие от других лучших практик и рекомендаций по обеспечению ИБ, в данном документе отдельно рассматривается процесс оснащения современным оборудованием, ПО и сервисами больниц и медицинских центров и даются рекомендации по встраиванию безопасности в этот процесс. Рассматриваются разные виды возможного оснащения     Возможные проблемы, связанные с оснащением разного вида – например, необходимость проверять производителя и тестировать оборудование с точки зрения безопасности Приводится модель угроз для ИТ инфраструктуры и анализ рисков, связанных с оснащением современным оборудованием И наконец приводится набор лучших практик по обеспечению кибербезопасности в больницах, распределенных по 3-м этапам жизненного цикла оборудования и ПО: планировани...