-
Похожий контент
-
Автор Anov
Единственные системы класса Security Governance, Risk & Compliance, которые я знаю, имеют довольно узкий функционал, потому что покрывают обычно только одну страну.
Многие страны не приняли Будапештскую конвенцию по кибер преступлениям и развивают собственное регулирование национальных сегментов Интернета. В результате появились требования, например, к локализации хранения персональных данных с ограничениями на трансграничную передачу. Такое регулирование есть уже в России, Казахстане, Узбекистане.
Появились даже сайты, которые пытаются отслеживать изменения в законах об обработке персональных данных различных стран.
Однако понятно, что законами о персональных данных регулирование ИТ сферы едва ли может ограничиваться. Потому что та же локализация хранения требует дополнительного уточнения требований, связанных, например, с местными национальными стандартами шифрования данных и тд.
Поскольку национальные власти различных стран требуют также сообщать о фактах утечки персональных данных в течение 1-3 дней, то сразу возникает вопрос: кому и куда писать в случае утечки? Едва ли контактные данные регуляторов являются частью любой SGRC системы, а хотелось бы..
Мне любопытно, существуют ли какие-то решения класса SGRC для мультинациональных корпораций, бизнес-операции которых связаны не с одной конкретной, а множеством разных стран?
Сразу добавлю, что меня не интересуют SGRC решения, предлагающие лишь удобство доступа к санкционным черным спискам (типа списка OFAC). Заранее благодарю за рекомендации.
-
Автор KL FC Bot
Переход на ключи доступа (КД, passkeys) сулит организациям экономически эффективный способ надежной аутентификации сотрудников, увеличение продуктивности и достижение регуляторного соответствия. Все за и против этого решения для бизнеса мы подробно разобрали в отдельной статье. Но на успех проекта и саму его возможность влияют технические подробности и особенности реализации технологии в многочисленных корпоративных системах.
Поддержка passkeys в системах управления identity
Перед тем как решать организационные проблемы и писать политики, стоит разобраться, готовы ли к переходу на КД основные ИТ-системы в организации.
Microsoft Entra ID (Azure AD) полностью поддерживает КД и позволяет администраторам выбрать КД в качестве основного метода входа в систему.
Для гибридных внедрений, где есть on-prem-ресурсы, Entra ID может генерировать токены Kerberos (TGT), которые затем будет обрабатывать доменный сервер Active Directory.
А вот для входа через RDP и VDI и входа в AD, работающую только on-premises, нативной поддержки у Microsoft пока нет. Впрочем, с некоторыми ухищрениями организация может записывать passkey на аппаратный токен, например YubiKey, который будет одновременно поддерживать традиционную технологию PIVKey (смарт-карты) и FIDO2. Также для поддержки этих сценариев есть сторонние решения, но организации потребуется оценить, как их применение влияет на общую защищенность и регуляторное соответствие.
В Google Workspace и Google Cloud есть полная поддержка passkeys.
Популярные системы управления identity, такие как Okta, Ping, Cisco Duo, RSA ID Plus, поддерживают FIDO2 и все основные формы КД.
View the full article
-
Автор Acteon_927
На форме подтвердения KP не меняется регистр, что приводит к заблуждению о реально выбранном языковом регистре.
-
Автор Ig0r
Накапливай баллы — меняй на лицензии и сувениры!
В клубе «Лаборатории Касперского» действует бонусная программа «Накапливай баллы — меняй на лицензии и сувениры!». Получайте баллы (BAL) за свою активность в клубе, накапливайте и меняйте их в магазине на лицензии для продуктов «Лаборатории Касперского» и эксклюзивные сувениры с символикой компании с бесплатной доставкой!
Кто может участвовать в бонусной программе?
За что и сколько баллов можно получить?
В какие сроки начисляются баллы?
За что баллы могут снять?
Где можно посмотреть количество накопленных баллов и есть ли у них срок действия?
Предусмотрены ли в магазине скидки и как их получить?
Что делать, если очень хочется получить лицензию или сувенир, а баллов не хватает?
Где узнать подробности о характеристиках сувениров?
Как сделать заказ и узнать, правильно ли он оформлен?
Где я могу проверить статус заказа?
Сколько стоит доставка и в какие регионы и страны она возможна? Есть ли территориальные ограничения на доставку сувениров?
Есть ли минимальный заказ?
В каких случаях сувенир может быть заменён или не отправлен вовсе?
Какими способами можно получить заказ?
Какие сроки доставки заказа?
Как правильно принять посылку и что делать, если они повреждены?
Где ещё можно потратить баллы, кроме магазина?
Можно ли расплатиться за заказ клабами, накопленными в рамках участия в рейтинговой системе мотивации участников клуба?
Заключительные положения
-
Автор KL FC Bot
Первый шаг на пути к успеху для киберпреступников при проведении почтовой атаки — добиться того, чтобы их письма попались на глаза потенциальным жертвам. Недавно мы уже рассказывали, как мошенники используют для этого уведомления от вполне легитимного сервиса для отправки больших файлов GetShared. Сегодня мы рассмотрим еще один вариант доставки вредоносных сообщений: в этой схеме злоумышленники научились добавлять свои сообщения в настоящие письма с благодарностью за оформление бизнес-подписки на Microsoft 365.
Вполне легитимное письмо от Microsoft с сюрпризом
Атака начинается с настоящего письма от Microsoft, в котором получателя благодарят за покупку подписки Microsoft 365 Apps for Business. Это письмо действительно отправляется с настоящего адреса компании microsoft-noreply@microsoft.com. Почтовый адрес с более надежной репутацией, чем этот, сложно себе представить, поэтому письмо без проблем проходит проверки любых почтовых сервисов.
Еще раз — само письмо абсолютно настоящее. Его содержание соответствует стандартному уведомлению о совершении покупки. В случае с письмом со скриншота ниже Microsoft благодарит получателя за оформление 55 подписок на бизнес-приложения Microsoft 365 на общую сумму $587,95.
Пример бизнес-уведомления от Microsoft, в котором злоумышленники вставили свое сообщение в разделе данных для выставления счета (Billing information)
View the full article
-
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти