Suurin osa nykyaikaisesta sovelluskehityksestä perustuu avoimen lähdekooodin kirjastoihin. Veracoden ESG-tutkimusyhtiöllä teettämän tutkimuksen mukaan yli 96 prosenttia yrityksistä ja organisaatioista käyttää avoimen lähdekoodin kirjastoja sovelluskehityksessään.
Microsoft on vihdoinkin saanut plus-osoitteet toimimaan O365-palvelussa. Käyttöönotto edellyttää parin powershell- komennon ajamisen.
Spamhaus tuottaa useita erilaisia estolistoja (DNSBL) domain-listoista IP- ja hash-listoihin. Jokaisella estolistalla on oma erityinen kohteensa sähköpostin eri osissa, joissa voi ilmetä haitallista toimintaa.
Kun käyttäjä lukee saapunutta sähköpostia, ei ole aina ilmiselvää, onko viesti turvallinen vai ei. Sähköpostiviestin lähdekoodi saattaa kuitenkin antaa vihjeitä haitallisuudesta. Spamhausin estolistoja käyttämällä voidaan haitallinen sähköposti saada suodatettua.
Me Mint Securityssä halusimme tutustua Koronavilkku-sovellukseen ja kantaa kortemme kekoon. Koronavilkku osoittautui tietoturvaltaan hyvin korkeatasoiseksi. Merkittäviä turvallisuuteen liittyviä havaintoja emme todenneet.
Tehokkaat ohjelmistokehitystiimit käyttävät karkeasti puolet vähemmän aikaa tietoturvallisuusongelmien korjaamiseen kuin heikommin menestyvät lajitoverinsa. Tietoturvatavoitteita paremmin päivittäiseen kehitystyöhön liittäen on mahdollista parantaa koodin laatua ja luoda turvallisempia järjestelmiä. Tätä periaatetta kutsutaan nimellä shift left on security.
Veracode Security Labs Community Edition on paikka, jossa kehittäjät voivat hakkeroida ja korjata aitoja sovelluksia, oppia uusimpia taktiikoita ja parhaita tietoturvakäytäntöjä — opastuksen kera, oikeaa koodia tutkien. Tämän yhteisöversion avulla kuka tahansa saa käyttöönsä tarvittavat työkalut sovellusten tietoturva-aukkojen tilkitsemiseen.
Korona ei todellakaan ole hidastanut kyberrikollisten toimintaa. Tämä voidaan päätellä Spamhausin uusimmasta raportista Spamhaus Botnet
Threat Update Q2.
Pariisin matkan peruunnuttua suomalaiset Team Rynkeby – God Morgon -joukkueet suunnittelivat omat kotimaan kierroksensa. Helsingin tiimin ”Tour de Finland” suuntautui Keski- ja Itä-Suomen upeisiin järvimaisemiin.
Spamhausin hash-estolistat keskittyvät sähköpostin sisältöön. Niiden avulla voidaan suodattaa haitallisia sähköpostiviestejä, jotka tulevat suurten palveluntarjoajien alustoilta (gmail, hotmail jne), ja joita ei voi suodattaa IP-
Recon and red teaming can be done separately, but they also work hand in hand. It may be a good idea for a company to do a thorough recon to understand the adversaries view on the organization – and this not only in the technical sense.
Koodarit ovat käytännössä ne ainoat henkilöt organisaatiossa, jotka voivat korjata sovelluksissaan piileskelevät haavoittuvuudet. Veracode Security Labs auttaa täyttämään tietoturvastandardien vaatimukset ja tarjoamaan samalla koko kehitystiimille mielekkään tavan oppia lisää.
Mitä yhteistä haavoittuvuusskannereilla ja johtavalla kansainvälisellä tietoturvastandardilla on keskenään? Itse asiassa aika paljonkin. Tässä kirjoituksessa tarkastellaan, kuinka Holm Security VMP -alusta vastaa ISO 27001:n vaatimuksiin organisaation tietojärjestelmien haavoittuvuuksien havaitsemisesta, riskinarvioinnista ja korjaavien toimenpiteiden suorittamisesta.
Team Rynkebyn päämääränä oli pyöräillä Pariisiin heinäkuussa. Tänä vuonna emme tee niin ja me kaikki tiedämme miksi. Koronavirus muutti suunnitelmia tai pikemminkin matkan suuntaa. Nyt on kuitenkin hyvä hetki luoda katsaus siihen, mitä yhteiseen matkaamme on tähän mennessä sisältynyt.
Domainien eli verkkotunnusten kaappaukset ei ole uusi ongelma, mutta niistä voi tulla laajoja hankaluuksia, jos vastatoimet eivät ole riittäviä. Viimeisen runsaan puolen vuoden aikana on tullut esiin muutamia harmillisia tapauksia.
Veracode julkaisi juuri täydennyksen vuosittain julkaistavaan State of Software Security -raporttiin. Täydennysosassa Veracoden asiantuntijat keskittyvät avoimen lähdekoodin kirjastoissa esiintyviin tietoturvahaavoittuvuuksiin.
Tuntuuko koskaan siltä, että tietoturvasta ja riskienhallinnasta vastaavilla olisi aivan eri prioriteetti kuin muulla liiketoiminnalla? Tunne ei ole ihan vailla pohjaa, sillä sitä esiintyy todella monissa yrityksissä.
Mikä on oikea menetelmä sovellusten tietoturvan testaukseen? Millaisia haavoittuvuuksia eri menetelmät paljastavat? Pitääkö käyttää useita eri menetelmiä?
Seuraavaksi käsitellään lyhyesti Veracoden palvelussa käytettäviä eri testausmenetelmiä ja tuodaan esille niiden vahvuuksia ja heikkouksia.
Millaista konkreettista arvoa tiedolla tai datalla voisi olla? Tätä pohditaan useissa yrityksissä ja organisaatioissa tällä hetkellä, kun niissä mietitään mitä ns. big datalle pitäisi tehdä. Tiedolla odotetaan saatavan lisää tuottoja, tulosta, asiakaslähtöisyyttä jne, mutta useat monet toimenpiteet eivät kuitenkaan pääse maaliin saakka.
Juuri julkaistussa podcastissa Veracoden CTO Chris Wysopal arvioi sovellusten tietoturvan evoluutiosta viimeisen kymmenen vuoden aikana. Wysopal perustaa arvionsa Veracoden vuosittain julkaisemaan State of Software Security (SOSS) -raporttiin, josta ilmestyi kymmenes julkaisu jokin aikaa sitten.
Spamhaus kerää ja toimittaa tunnettujen roskapostilähteiden lisäksi myös erittäin korkealaatuista ja tarkkaa threat intelligence -tietoa botneteistä, haittaohjelmia levittävistä ja tartunnan saaneista koneista, epäilyttävästi käyttäytyvistä kotireitittimistä, älytelevisioista ja muista verkkoon kytketyistä laitteista.
Splunk on tehnyt ohjelman, joka kokoaa yhdelle sivulle tiedot koronavirustilanteesta maailmalla. Sivu päivittyy sitä mukaa kun uutta tietoa tulee.
Tänään esittelen teille Veracoden ”uuden” SCA:n, eli vuoden 2018 SourceClear hankinnan. Tämä on agenttipohjainen SCA, ja se integroituu CI/CD pipelineen.
Millainen olisi unelmaloma? Kuukauden mittainen oleilu viiden tähden hotellissa yksityisellä saarella, valkoisten hiekkarantojen ja turkoosinsinisen meren äärellä. Käytännössä, kun budjettirajoite otetaan huomioon ja lapsetkin pitää ottaa mukaan, päädytään paikkaan, jossa lähellä vesipuisto ja ehkä muitakin aktiviteetteja. Kuitenkin lomasta tulee kaikilla tavoilla miellyttävä kaikille osapuolille.
Veracoden stattisen analyysiin kehitettiin aivan uusi skannausmenetelmä, jonka avulla skannaukset voidaan integroida ja optimoida yhä paremmin osaksi kehitysprosessia. Kahden aiemman skannausmenetelmän, IDE Scan ja Policy Scan, ohella Pipeline Scan tekee tietoturvasta saumattoman osan kehitysprosessia.
ISMS tai ISO27001 -projekti voi lähteä hyvin erilaisista lähtökohtista liikkeelle. Jotkut ovat tutustuneet standardiin, jotkut jo kirjoittaneet ensimmäisiä dokumentteja – joillekin taas tämä on ensikosketus ylipäätään mihinkään määrämuotoiseen tietoturvatyöskentelyyn.
Spamhausin tutkijat tunnistivat ja estivät 17602 botnet-komentopalvelinta, joita isännöi 1210 eri verkkoa. Tämä tarkoitti, että botnet-komentopalvelimien määrä kasvoi vuonna 71,5 % vuoteen 2018 verrattuna. Vuodesta 2017 lähtien uusien havaittujen botnet-komentepalvelimien lukumäärä lähes kaksinkertaistui 9500 -> 17602 palvelimeen.
Team Rynkeby – God Morgon on yksi suurimmista ja näkyvimmistä hyväntekeväisyysprojekteista Pohjois-Euroopassa. Projekti yhdistää pyöräilyn ja varainkeruun vakavasti sairaiden lasten auttamiseksi.
”Pilvi!” joku huutaa kovaan ääneen. ”Sehän tarkoittaa, että minun tietoni lähetetään pilveen. Minun kullankalliit telemetriatietoni pahantahtoisten muukalaisten käsissä paljastaen minusta aivan liikaa!” Pitää paikkansa. Läpinäkyvyyden nimissä, tarkastellaanpa siis hieman, mitä kulissien takana oikeasti tapahtuu.
Mint Security tarjoaa konsultointia, asiantuntijapalveluita ja koulutusta pfSense:lle ja HAProxy:lle
Veracode saavutti tällä viikolla merkittävän virstanpylvään sovellusten tietoturvan saralla kun se julkaisi 10. State of Software Security (SOSS) -raportin.
Forresterin tutkimus osoittaa, että Veracodea käyttävien yritysten tietoturvaongelmien korjaamiseen käytetetty aika laskee jopa 90% aikaisempaan verrattuna. Tutkimuksen mukaan säästö on keskimäärin n. 5,1 MEUR (5,6 milj. $).
Veracode osti taannoin SourceClearin. Yhdistämällä ohjelmiston koostumuksen analyysin tekniikat ohjelmistotalot voisivat kehittää entistä parempia sovelluksia avoimen lähdekoodin avulla tietoturvan säilyessä korkealla tasolla.
Hakkerit kohdistavat energiansa ja tarmonsa sinne, mistä saa eniten hyötyä vähimmällä vaivalla – nyt Ruby kirjastot kohteena.
DevSecOps on lähestymistapa, jossa turvalliset toimintamallit integroidaan DevOps-prosessiin. DevSecOps edistää joustavaa yhteistyötä kehittäjien (Dev), tietoturvan (Sec) ja tuotannon (Ops) -tiimien välillä.
Jokaisen yrityksen sovellusympäristö on liiketoimintakriittinen ja kasvaa koko ajan. Mobiili- ja pilvipalvelut ovat muuttaneet ja muuttavat dramaattisesti miten liiketoimintaa tehdään.
Mint Security tarjoaa Splunkia käyttäville erilaisia lisäarvollisia Splunk konsultointipalveluita jolla saadaan omasta ympäristöstä kaikki irti – turvallisesti.
Kun yrityksen it-toiminnon sertifiointi tai tietoturvastandardin mukaan toimiminen muusta syystä nousee ajankohtaiseksi asiaksi, tarvitaan monesti läpikäynti, jossa tarkastellaan sekä toimitatapoja että työkaluja.
Through Network Behavior Analytics for Splunk and our native integrations for Demisto and Graylog, we instantly enrich network indicators (FQDNs, URLs, and IP addresses) to provide security teams with hunting material.
Veracode State of Software Security 9 – yhteenveto nyt julkaistu ensimmäistä kertaa suomalaisilta suomalaisille ja ihan oikealla suomen kielellä.
Kun Veracodella harkitaan uusien ohjelmointikielin tukea, tarkastelun kohteena ovat asiakkaiden nykyiset teknologiaratkaisut sekä uudet, kehittyvät kielet, joiden avulla voitaisiin tuoda innovaatioita turvallisesti markkinoille nopeammin. Tätä silmällä pitäen Veracode lisäsi äskettäin tuen Apex-, Go- ja PLSQL-ohjelmointikielille.
This blog post will show you how to integrate Travis CI and Veracode. Travis is a cloud based continuous integration (ci) service, that can be used to automate tests and builds for software projects hosted in GitHub.
Tietoturvan pyhää kolmijakomantraa – tietojen luottamuksellisuutta, eheyttä ja saatavuutta on toisteltu alan seminaareissa ja powerpointeissa kulumiseen saakka. Haluan tässä kirjoituksessa keskittyä nimenomaan käytännön esimerkein valaisemaan, mitä tietoturvallisuus yrityksissä tarkoittaa. Oikaisen samalla myös pari väärinkäsitystä siitä, mitä se ei tarkoita.
Tämä blogi on tarkoitettu läpivalaisuksi juuri nyt ajankohtaisista finanssialan ja tietoturvan asioista. Olemme lukeneet sivutolkulla materiaalia, ja tässä kiireiselle lyhyt yhteenveto sekä viittaukset lähdemateriaaleihin. Jos kiireiden keskellä sattuisi löytymään aikaa tutustua vähän pitkällisemminkin asiaan.
Vaikka yritämme tehdä erittäinkin selväksi, mitä mikäkin skanneri milloinkin tekee, kohtaamme kuitenkin aika ajoin toteamuksen ”mutta meillä on jo skanneri”. Tätä on vaikea lähteä kumoamaan. Asiantuntijaroolissa tunnen aina tässä kohtaa suurta tarvetta selittää, myyntiroolissa selittely ei välttämättä tuota suuria voittoja.
Mint Security has a set of predefined delivery models to choose from. These are based on best practices and experience.
Yleinen web-sovelluksen tietoturvan arviointiin käytetty työkalu on tunkeutumistestaus. Rakkaalla lapsella on monta nimeä, ja tunkeutumistestaus tunnetaan myös nimellä pentest eli englanniksi penetration testing. Kyseessä on luvallinen simuloitu hyökkäys, jolla pyritään käyttämään sovellusta siten, että se voi olla vahingollista joko järjestelmälle, järjestelmässä olevalle tiedolle tai järjestelmää kättäville henkilöille.
Kun asiakas on todennut auditointitarpeen ja tilannut meiltä auditoinnin, toteutus aloitetaan määrittelemällä yhdessä auditoinnin tavoitteet ja osa-alueet. Tässä työvaiheessa on tyypillisesti mukana asiakkaan puolelta järjestelmästä tai projektista vastaava henkilö ja/tai hänen valtuuttamansa henkilöt.
Auditoinnin tilaaminen aloitetaan määrittelemällä sen tarkoitus. Näin saadaan heti lähtökuopissa kiinni siitä, mitä tavoitellaan ja mitä sillä voi enimmillään saavuttaa. Tavoitteiden on oltava realistisia ja niihin on aina luettava mukaan myös oman toiminnan kehittyminen ja virheistä oppiminen.
Tietoturvan johtamisjärjestelmän kehittämispäätös lähtee liiketoiminnasta ja liiketoiminnan tarpeesta. Johtamisjärjestelmän kehittäminen voidaan katsoa tietoturvatoiminnan aikuistumisena ja kypsymisenä.
So, you’ve got your Splunk Enterprise up and running and collecting data from some of your systems. A few dashboards have been created too and life is good. But perhaps, there could be more .
Osoita sovelluskehityksesi tietoturvan erinomaisuus Veracode Verified -ohjelman avulla. Tällä tavoin teet tietoturvasta kilpailuedun – ja samalla teet ostamisen asiakkaillesi helpommaksi. Kun myynti toimii, takaat myös sen, että tietoturva saa arvoisensa aseman sovelluskehityksessä.
Mint Security toimittaa riskienhallinnan ja jatkuvuuden konsultointipalveluita ja on huomannut, että linkki riskirekisterin ja jatkuvuussuunnitelmien välillä ei aina ole selkeä.
Julkaisemme sarjan blogikirjoituksia, joissa käsitellään tietoturvallisuuden johtamista ja tietoturvaprosesseja. Luvassa on hyödyllistä asiaa kaikenkokoisille yrityksille, joilla on hallussaan luottamuksellista tietoa — missä tahansa muodossa — ja halu suojata niitä sekä tarve osoittaa suojaamisen tärkeys omassa liiketoiminnassaan.
When Spamhaus Malware Labs observe a 100% increase in the number of domains that are being registered by cybercriminals to host a botnet command & control (C&C) it’s time to stop. Cybercriminals prefer to use a domain name registered exclusively to host a botnet C&C
Mint Security provides a vast range of überconsulting for Splunk. From a single server to clustered multisite setups with integrated SSO and 2FA.
Veracoden SCA-toiminto (Software Composition Analysis) havaitsee avoimen lähdekoodin kirjaston käyttöön liittyvät riskit, joita saattavat olla esim. vanhentuneet ja riskialttiit versiot. Lisäksi joihinkin avoimen lähdekoodin kirjastoihin saattaa liittyä myös lisenssiriski, jos sovellusta käytetään kaupallisiin tarkoituksiin.
Sovelluskehitystiimeille asetettavat vaatimukset ovat suuremmat kuin koskaan. Ketteryyden ja kehitysnopeuden vaatimusten jatkuvassa kasvussa, DevOpsin ja hyvin voideltujen CI/CD-järjestelmien edessä kehittäjät ovat äärettömässä tuotantopaineessa.
Veracode on äskettäin julkaissut uusimman SSOS (State of Software Security) -raporttinsa. Vuosittain julkaistava raportti sisältää kattavan analyysin yli 700 000 sovelluksen skannauksesta saaduista tuloksista, kuten analyysit haavoittuvuuksien yleisyydestä ja miten niitä on korjattu, erot toiminnassa eri toimialojen välillä sekä paljon muuta.
Splunk Enterprise is known as a de-facto do-it-all log collector, that in reality is fairly easy to start with, but can be complex to master.
Onko absurdia ajatella, että palvelunestohyökkäys voisi olla positiivinen? Ei suinkaan. Silloin, kun on kyse harkitusta ja hyvin suunnitellusta harjoituksesta, jossa riskit on arvioitu, on kyse hyvinkin positiivisesta asiasta. Tärkeää on kuitenkin juuri harkinta ja riskien hallinta.
Mint Security toimittaa jatkuvuussuunnittelua konsultointipalveluna ja on todennut skenaariopohjaisen lähestymistavan tehokkaana keinona keskittyä asiakkaan tärkeimpiin toimintoihin. Skenaariot toimivat myös kriisiharjoitusten pohjana. Kattava jatkuvuussuunnittelu sisältää valmius-,
Yritysmaailman merkittävimpiin päivittäisten kyberuhkien joukkoon lukeutuvien USB-tikkujen vaarat ovat moninaiset. Nämä helppokäyttöiset ja pienikokoiset tallennusvälineet ovat jo ainakin 15 vuoden ajan olleet varkaille ja muille
Lokakuussa 2017 löydettiin KRACK-haavoittuvuus, joka vaarantaa Wi-Fi -verkkojen turvallisuuden. Haavoittuvuuksia julkaistaan harva se päivä. Yleensä ne jäävät tietoturvasisäpiirin tietoon monimutkaisen teknisen jargonin taakse. Merkittävimmät niistä
Palveluita ja palvelimia julkaistaan verkkoon. Siis Internetiin. Ja Internet on viattomalle ja suojaamattomalle palvelimelle paha paikka. Miten palvelimia ja palveluita voidaan suojata? Kuvitellaan että palomuurihan tätä suojelee. Kyllä, osittain niinkin – mutta palomuurin tehtävä ei oikeastaan ole estää liikennettä – vaan hallitusti mahdollistaa liikennettä.
SSL/TLS (jatkossa yksinkertaisesti ja kansankielisesti SSL) on haaste. Väärin konfiguroituja SSL-palvelimia haastetaan ja kiusataan jatkuvasti. SSL on internetin perusturvallisuutta johon käyttäjät oppivat luottamaan. Toisaalta tutkimusta algoritmien ja menetelmien luotettavuudesta ja turvallisuudesta tehdään jatkuvasti – ja joka kerta kun tutkimustuloksia julkistetaan pitäisi niiden seuraus ja impakti ymmärtää.
Viime viikolla uutisoitiin siitä, miten amerikkalaiset radioasemat soittivat Fuck Donald Trump -nimistä kevyeksi musiikiksi laskettavaa teosta jatkuvalla toistolla. Uutiskynnys ylittyi minulla kuitenkin siitä syystä, että
Pyydä rohkeasti lisätietoa. Vastaamme todennäköisesti nopeammin kuin osasit kuvitella.