Oberon запустил комплекс услуг по кибербезопасности — vCISO

Oberon запустил комплекс услуг по кибербезопасности — vCISO

Oberon запустил комплекс услуг по кибербезопасности — vCISO

Системный интегратор Oberon объявляет о запуске услуги — vCISO (virtual Chief Information Security Officer, виртуальный директор по безопасности). Это комплекс сервисов, который дает возможность реализовать функции директора по кибербезопасности и его команды на аутсорсе для выстраивания стратегии развития, процессов и систем защиты бизнеса.

vCISO позволит российским компаниям:

  • создавать эффективные стратегии кибербезопасности бизнеса;
  • управлять рисками ИБ в различных сферах с учетом особенностей современных технологий и процессов цифровизации;
  • выполнять оценку киберзащищенности бизнеса;
  • повышать осведомленность сотрудников в области кибербезопасности;
  • формировать штатную структуру, бюджет и компетенции ИБ-подразделений;
  • внедрять процессную модель управления кибербезопасностью.

Основное преимущество комплекса услуг в том, что он позволит минимизировать затраты бизнеса на обеспечение безопасности ИТ-инфраструктуры и создание собственного ИБ-подразделения. vCISO будет актуален для финансовых организаций, представителей государственного сектора, нефтегазовых и промышленных предприятий, ИТ-компаний, а также кросс-отраслевого SMB.

«Новая услуга в проектном портфеле Oberon — виртуальный директор по кибербезопасности — представляет собой самые, на наш взгляд, востребованные рынком и первоочередные мероприятия для формирования системы кибербезопасности компаний на любом ее этапе, — отмечает Евгений Суханов, директор департамента информационной безопасности Oberon. — Команда наших экспертов реализует широкий спектр работ – от создания ИБ-стратегии до интеграции процессов кибербезопасности в бизнес-модель компании. Кроме того, специалисты Oberon проведут обучение сотрудников для повышения осведомленности в области кибербезопасности».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Минобороны США использует Node.js-пакет, который пишет россиянин

Американская компания Hunted Labs подняла тревогу: один из самых популярных Node.js-пакетов — fast-glob — фактически держится на одном человеке. При этом библиотека используется тысячами проектов по всему миру, включая более 30 систем Минобороны США.

Речь идёт об утилите для поиска файлов по шаблонам. Её автор — разработчик под ником mrmlnc. GitHub-аккаунт и личный сайт связывают его с Яндексом: по данным Hunted Labs, это Денис Малиночкин, живущий в Подмосковье.

С точки зрения безопасности ситуация вызывает вопросы: пакет скачивают более 79 миллионов раз в неделю, он встроен в Node.js-контейнеры и тысячи публичных и частных проектов.

Хотя у fast-glob нет зарегистрированных уязвимостей, библиотека имеет доступ к файловым системам, а значит, теоретически может использоваться для кибератак.

Hunted Labs подчёркивает: сам факт того, что у проекта нет внешнего контроля и дополнительных мейнтейнеров, делает его потенциальной мишенью для злоупотреблений.

«Не каждый кусок кода, написанный россиянином, подозрителен сам по себе. Но такие популярные пакеты без надзора — удобная цель для злоумышленников или государственных структур», — отметил сооснователь Hunted Labs Хейден Смит.

После публикации отчёта сам Малиночкин связался с журналистами. Он подтвердил, что действительно является единственным разработчиком fast-glob, но отверг любые предположения о «скрытых» функциях:

«Никто никогда не просил меня манипулировать проектом, встраивать скрытые изменения или собирать системные данные. Я считаю, что open source строится на доверии и разнообразии», — заявил разработчик изданию The Register он.

В Пентагоне пока не прокомментировали, будут ли отказываться от использования fast-glob.

Эксперты же сходятся в одном: сообществу open source нужно внимательнее следить за тем, кто и как поддерживает критичные проекты. Ведь как выразились в Hunted Labs, «открытому ПО не нужен CVE, чтобы быть опасным. Достаточно доступа, незаметности и беспечности».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru