Rischio informatico

Rischio informatico
Barak Brudo Dal caos alla chiarezza: come proteggere la catena di fornitura con le attestazioni

Poiché tutti stanno diventando sempre più consapevoli, la protezione delle catene di fornitura del software dovrebbe essere una parte vitale della strategia di sicurezza informatica di ogni organizzazione. Una delle principali difficoltà nella creazione di una strategia globale per mitigare le minacce alla catena di fornitura del software è la complessità e la diversità delle catene di fornitura. Ogni filiera è unica e gli elementi […]

Per saperne di più
Rischio informaticoUn'immagine che illustra il codice approvato
Barak Brudo Utilizzo dell'attacco all'app desktop 3CX per illustrare l'importanza della firma e della verifica del software

Alla fine di marzo 2023, i ricercatori di sicurezza hanno denunciato un complesso attacco alla catena di fornitura software da parte di un hacker contro il software di comunicazione aziendale di 3CX, principalmente l’app desktop per chiamate vocali e videochiamate dell’azienda. I ricercatori hanno avvertito che l'app era in qualche modo trojanizzata e che il suo utilizzo avrebbe potuto esporre l'organizzazione a un possibile piano di esfiltrazione da parte di un autore di minacce. […]

Per saperne di più
Rischio informaticoL'immagine di una persona che scruta attraverso una tubazione
Barak Brudo Quanto sei sicuro di ciò che sta realmente accadendo all'interno della tua pipeline CI/CD? Gli elementi che dovresti proteggere e come

Le condutture CI/CD sono notoriamente opache riguardo a ciò che avviene esattamente al loro interno. Anche se sei tu a scrivere il file di configurazione YAML (l'elenco delle istruzioni della pipeline) come puoi essere sicuro che tutto avvenga esattamente come descritto? Peggio ancora, la maggior parte degli oleodotti sono completamente effimeri, quindi anche se succede qualcosa di brutto non ci sono […]

Per saperne di più
Rischio informaticoUn'immagine che illustra OpenSSL
Barak Brudo La storia della patch 3.0.7 di OpenSSL e le lezioni che puoi imparare da essa

OpenSSL è una libreria software open source ampiamente utilizzata per implementare comunicazioni sicure su reti di computer. Quanto ampiamente utilizzato? Bene, è probabile che se hai mai avuto accesso a una pagina web HTTPS lo hai fatto tramite una crittografia OpenSSL. La libreria fornisce funzioni e protocolli crittografici per la crittografia, la decrittografia, l'autenticazione e la verifica della firma digitale dei dati. OpenSSL può essere […]

Per saperne di più
Rischio informaticoUn'immagine che illustra il diritto dell'UE
Barak Brudo Difendere i propri servizi digitali: uno sguardo dall'interno allo European Cyber ​​Resilience Act

Gli attacchi informatici riusciti contro prodotti hardware e software stanno diventando preoccupanti. Secondo Cybersecurity Ventures, la criminalità informatica costerà al mondo circa 7 trilioni di dollari nel 2022. Con un prezzo così alto non c’è da meravigliarsi che sia le aziende che i governi se ne stiano accorgendo. Gli Stati Uniti hanno aperto la strada con l’ordine esecutivo presidenziale […]

Per saperne di più
Rischio informaticoUn'immagine che illustra la pipeline CI/CD
Barak Brudo Dalla vulnerabilità alla vittoria: difendere la pipeline CI/CD

Le pipeline CI/CD (Continuous Integration/Continuous Delivery) automatizzate vengono utilizzate per accelerare lo sviluppo. È fantastico avere trigger o pianificazione che prendano il tuo codice, lo uniscano, lo costruiscano, lo testino e lo spediscano automaticamente. Tuttavia, essendo stati costruiti per essere veloci e facili da usare, significa che la maggior parte delle condutture non sono intrinsecamente costruite con sicurezza in […]

Per saperne di più
Rischio informatico
Barak Brudo Cosa riserva il futuro per VEX? E come ti influenzerebbe?

La velocità con cui vengono scoperte nuove vulnerabilità è in costante aumento. Attualmente si attesta ad una media di 15,000 CVE all'anno. Il 2022 si distingue con oltre 26,000 nuovi CVE segnalati. Ovviamente, non tutte le vulnerabilità sono rilevanti per il tuo software. Per capire se una particolare vulnerabilità è un problema, devi prima capire […]

Per saperne di più
Rischio informaticoImmagine che illustra il confronto
Barak Brudo SPDX e CycloneDX: formati SBOM a confronto

Nonostante la crescente adozione della distinta base software (SBOM) come strumento di gestione delle vulnerabilità e sicurezza informatica, molte organizzazioni hanno ancora difficoltà a comprendere i due formati SBOM più popolari in uso oggi, SPDX e CycloneDX. In questo articolo confronteremo questi due formati per aiutarti a scegliere quello giusto per […]

Per saperne di più
Rischio informatico
Barak Brudo Ricerca parallela sulle vulnerabilità di GitHub

Il mese scorso mi sono imbattuto in questo articolo di Dark Reading. Sembrava molto familiare. Non mi ci è voluto molto per capire che la vulnerabilità di avvelenamento degli artefatti del cross-workflow di GitHub discussa nell'articolo aveva una sorprendente somiglianza con la vulnerabilità di avvelenamento della cache del cross-workflow di GitHub che abbiamo segnalato nel marzo 2022. Flussi di lavoro GitHub: un componente chiave di GitHub […]

Per saperne di più
Rischio informatico
Barak Brudo L'ascesa della SBOM: la nostra opinione sul report Innovation Insight di Gartner per le SBOM

Con il crescente utilizzo di componenti di terze parti e le lunghe catene di fornitura di software, gli aggressori possono ora compromettere più pacchetti software contemporaneamente tramite un unico exploit. In risposta a questo nuovo vettore di attacco, sempre più team di sviluppo e DevOps, nonché professionisti della sicurezza, stanno cercando di incorporare una distinta base del software (SBOM). La filiera del software […]

Per saperne di più
1 2 3 4 5
Post più popolari
Strumenti SBOM in soccorso: il case backdoor XZ UtilsPassi pratici verso la protezione della pipeline MLOpsDal caos alla chiarezza: navigare nel motore delle policy per la conformitàCos'è l'ASPM?®
Categorie