Veracode
Veracode Security Labs Demo
Saku talks about Veracode Security Labs and gives a hands-on demo on three excercises.
Thomas
18.12.2020
C:\tags
alphasoc (6)
Audit (7)
azure (1)
business (14)
current events (5)
Cycling (17)
ddos (9)
dome9 (1)
hackday (4)
haproxy (1)
Holm Security (5)
imperva (2)
isms (10)
iso27001 (14)
it-risk (2)
knowbe4 (7)
Netflow Logic (3)
news (13)
pfense (1)
redwolf (2)
Rynkeby (6)
samm (2)
sdlc (17)
Security Testing (8)
siem (6)
Spamhaus (14)
Splunk (10)
tietoturvaprosessit (1)
tweaks (4)
Veracode (33)
yubikey (1)
samm
Vierasblogi: BSIMM ja SAMM — mitä yhteistä, mitä eroa?
BSIMM ja SAMM -malleilla on samankaltainen alkuperä, joka juontaa juurensa vuosiin 2008-2009. Minulta kysytään usein, mitä yhteistä ja mitä eroa näillä kahdella mallilla on, joten kirjoitin tämän vertailun auttaakseni organisaatioita ymmärtämään, kumpi näistä kahdesta saattaisi paremmin sopia heidän tarpeisiinsa.
Brian Glas
14.12.2020
siem
Splunk on-prem 2021 – miten ja miksi
Tässä blogissa haluan fokusoida siihen, miksi on-prem Splunk-asennus on edelleen 2021 kova sana. Lisäksi avaan meidän ylimaallisen hienon toimitustavan.
Thomas
13.12.2020
samm
OWASP SAMM v2 – Mikä muuttui
Over the last 10+ years, OWASP SAMM has proven an effective model for improving secure software practices to a wide variety of organizations. Release v2 of SAMM adds automation along with maturity measurements which assess both coverage and quality. Here we look at some the new features and changes compared to the previous version.
Saku Tuominen
11.12.2020
Veracode
Veracode – State of Software Security 11
Veracode julkaisi äskettäin vuosittaisen raporttinsa sovellusten tietoturvan tilasta. State of Software Security 11 antaa kattavan näkkymän millaisia haavoittuvuuksia sovellukset sisältävät, millaisia ne ovat, mikä niitä
Tapio Särkelä
11.12.2020
sdlc
Valtaosa sovelluskehittäjistä käyttää sovelluskirjastoja – alle puolet selvillä kirjastoissa piilevistä haavoittuvuuksista
Suurin osa nykyaikaisesta sovelluskehityksestä perustuu avoimen lähdekooodin kirjastoihin. Veracoden ESG-tutkimusyhtiöllä teettämän tutkimuksen mukaan yli 96 prosenttia yrityksistä ja organisaatioista käyttää avoimen lähdekoodin kirjastoja sovelluskehityksessään.
Tapio Särkelä
05.11.2020
tweaks
O365 ja plus-osoitteen käyttöönotto
Microsoft on vihdoinkin saanut plus-osoitteet toimimaan O365-palvelussa. Käyttöönotto edellyttää parin powershell- komennon ajamisen.
Thomas
04.11.2020
Spamhaus
Paras teho irti Spamhausin estolistoista
Spamhaus tuottaa useita erilaisia estolistoja (DNSBL) domain-listoista IP- ja hash-listoihin. Jokaisella estolistalla on oma erityinen kohteensa sähköpostin eri osissa, joissa voi ilmetä haitallista toimintaa.
Tapio Särkelä
02.11.2020
Spamhaus
Miten haitallisen sähköpostin lähdekoodi eroaa tavallisesta
Kun käyttäjä lukee saapunutta sähköpostia, ei ole aina ilmiselvää, onko viesti turvallinen vai ei. Sähköpostiviestin lähdekoodi saattaa kuitenkin antaa vihjeitä haitallisuudesta. Spamhausin estolistoja käyttämällä voidaan haitallinen sähköposti saada suodatettua.
Tapio Särkelä
27.10.2020
sdlc
Skannasimme Koronavilkun – tässä havaintomme
Me Mint Securityssä halusimme tutustua Koronavilkku-sovellukseen ja kantaa kortemme kekoon. Koronavilkku osoittautui tietoturvaltaan hyvin korkeatasoiseksi. Merkittäviä turvallisuuteen liittyviä havaintoja emme todenneet.
Thomas
22.09.2020
sdlc
Tietoturva ohjelmistokehityksessä ja Shift Left
Tehokkaat ohjelmistokehitystiimit käyttävät karkeasti puolet vähemmän aikaa tietoturvallisuusongelmien korjaamiseen kuin heikommin menestyvät lajitoverinsa. Tietoturvatavoitteita paremmin päivittäiseen kehitystyöhön liittäen on mahdollista parantaa koodin laatua ja luoda turvallisempia järjestelmiä. Tätä periaatetta kutsutaan nimellä shift left on security.
Saku Tuominen
18.09.2020
Veracode
Veracode Security Labs – Community Edition
Veracode Security Labs Community Edition on paikka, jossa kehittäjät voivat hakkeroida ja korjata aitoja sovelluksia, oppia uusimpia taktiikoita ja parhaita tietoturvakäytäntöjä — opastuksen kera, oikeaa koodia tutkien. Tämän yhteisöversion avulla kuka tahansa saa käyttöönsä tarvittavat työkalut sovellusten tietoturva-aukkojen tilkitsemiseen.
Saku Tuominen
16.09.2020
Spamhaus
Spamhaus botnet -päivitys Q2: kasvua edelleen
Korona ei todellakaan ole hidastanut kyberrikollisten toimintaa. Tämä voidaan päätellä Spamhausin uusimmasta raportista Spamhaus Botnet
Threat Update Q2.
Tapio Särkelä
17.08.2020
Cycling
Team Rynkeby – Pyöräretkellä suomen ympäri
Pariisin matkan peruunnuttua suomalaiset Team Rynkeby – God Morgon -joukkueet suunnittelivat omat kotimaan kierroksensa. Helsingin tiimin ”Tour de Finland” suuntautui Keski- ja Itä-Suomen upeisiin järvimaisemiin.
Tero
28.07.2020
Spamhaus
Spamhausin hash-estolistat
Spamhausin hash-estolistat keskittyvät sähköpostin sisältöön. Niiden avulla voidaan suodattaa haitallisia sähköpostiviestejä, jotka tulevat suurten palveluntarjoajien alustoilta (gmail, hotmail jne), ja joita ei voi suodattaa IP-
Tapio Särkelä
27.07.2020
Security Testing
Red Teaming ja Recon
Recon and red teaming can be done separately, but they also work hand in hand. It may be a good idea for a company to do a thorough recon to understand the adversaries view on the organization – and this not only in the technical sense.
Thomas
06.07.2020
Veracode
Veracode Security Labs
Koodarit ovat käytännössä ne ainoat henkilöt organisaatiossa, jotka voivat korjata sovelluksissaan piileskelevät haavoittuvuudet. Veracode Security Labs auttaa täyttämään tietoturvastandardien vaatimukset ja tarjoamaan samalla koko kehitystiimille mielekkään tavan oppia lisää.
Saku Tuominen
30.06.2020
Holm Security
Holm Security VMP ja ISO 27001
Mitä yhteistä haavoittuvuusskannereilla ja johtavalla kansainvälisellä tietoturvastandardilla on keskenään? Itse asiassa aika paljonkin. Tässä kirjoituksessa tarkastellaan, kuinka Holm Security VMP -alusta vastaa ISO 27001:n vaatimuksiin organisaation tietojärjestelmien haavoittuvuuksien havaitsemisesta, riskinarvioinnista ja korjaavien toimenpiteiden suorittamisesta.
Saku Tuominen
24.06.2020
Cycling
Team Rynkeby – Matka on tärkeämpi kuin määränpää
Team Rynkebyn päämääränä oli pyöräillä Pariisiin heinäkuussa. Tänä vuonna emme tee niin ja me kaikki tiedämme miksi. Koronavirus muutti suunnitelmia tai pikemminkin matkan suuntaa. Nyt on kuitenkin hyvä hetki luoda katsaus siihen, mitä yhteiseen matkaamme on tähän mennessä sisältynyt.
Tero
10.06.2020
Spamhaus
Domain-kaappaukset
Domainien eli verkkotunnusten kaappaukset ei ole uusi ongelma, mutta niistä voi tulla laajoja hankaluuksia, jos vastatoimet eivät ole riittäviä. Viimeisen runsaan puolen vuoden aikana on tullut esiin muutamia harmillisia tapauksia.
Tapio Särkelä
31.05.2020
Veracode
SOSS: Avoimen lähdekoodin kirjastot
Veracode julkaisi juuri täydennyksen vuosittain julkaistavaan State of Software Security -raporttiin. Täydennysosassa Veracoden asiantuntijat keskittyvät avoimen lähdekoodin kirjastoissa esiintyviin tietoturvahaavoittuvuuksiin.
Tapio Särkelä
21.05.2020
Veracode
Secure What You Sell
Tuntuuko koskaan siltä, että tietoturvasta ja riskienhallinnasta vastaavilla olisi aivan eri prioriteetti kuin muulla liiketoiminnalla? Tunne ei ole ihan vailla pohjaa, sillä sitä esiintyy todella monissa yrityksissä.
Tapio Särkelä
21.05.2020
Veracode
Tietoturvan skannausmenetelmien vahvuudet ja heikkoudet
Mikä on oikea menetelmä sovellusten tietoturvan testaukseen? Millaisia haavoittuvuuksia eri menetelmät paljastavat? Pitääkö käyttää useita eri menetelmiä?
Seuraavaksi käsitellään lyhyesti Veracoden palvelussa käytettäviä eri testausmenetelmiä ja tuodaan esille niiden vahvuuksia ja heikkouksia.
Tapio Särkelä
17.04.2020
Splunk
Datan arvoa ja potentiaalia määrittelemässä
Millaista konkreettista arvoa tiedolla tai datalla voisi olla? Tätä pohditaan useissa yrityksissä ja organisaatioissa tällä hetkellä, kun niissä mietitään mitä ns. big datalle pitäisi tehdä. Tiedolla odotetaan saatavan lisää tuottoja, tulosta, asiakaslähtöisyyttä jne, mutta useat monet toimenpiteet eivät kuitenkaan pääse maaliin saakka.
Tapio Särkelä
17.04.2020
Veracode
Sovellusten tietoturvan evoluutio: mennyt, nykyisyys ja tulevaisuus
Juuri julkaistussa podcastissa Veracoden CTO Chris Wysopal arvioi sovellusten tietoturvan evoluutiosta viimeisen kymmenen vuoden aikana. Wysopal perustaa arvionsa Veracoden vuosittain julkaisemaan State of Software Security (SOSS) -raporttiin, josta ilmestyi kymmenes julkaisu jokin aikaa sitten.
Tapio Särkelä
26.03.2020
Spamhaus
Spamhaus – muutakin kuin spämmintorjuntaa
Spamhaus kerää ja toimittaa tunnettujen roskapostilähteiden lisäksi myös erittäin korkealaatuista ja tarkkaa threat intelligence -tietoa botneteistä, haittaohjelmia levittävistä ja tartunnan saaneista koneista, epäilyttävästi käyttäytyvistä kotireitittimistä, älytelevisioista ja muista verkkoon kytketyistä laitteista.
Saku Tuominen
26.03.2020
Splunk
Splunk – COVID-19 trendit ja data
Splunk on tehnyt ohjelman, joka kokoaa yhdelle sivulle tiedot koronavirustilanteesta maailmalla. Sivu päivittyy sitä mukaa kun uutta tietoa tulee.
Tapio Särkelä
25.03.2020
