ref: https://www.cncf.io/blog/2021/09/03/kubescape-the-first-open-source-tool-for-running-nsa-and-cisa-kubernetes-hardening-tests/
本篇文章是一個專案介紹文,該專案是個名為 Kubescape 的安全性掃描專案,該專案主要是用來檢驗目標 Kubernetes 是否能夠通過 NSA/CISA 等安全性檢查。
National Security Agency(NSA) 以及 Cybersecurity and Infrastructure Security Agency (CISA) 最近有發佈一個高達 52 頁的安全性指南,
該指南探討如何設立與強化 Kubernetes 叢集的安全性。
https://media.defense.gov/2021/Aug/03/2002820425/-1/-1/1/CTR_KUBERNETES%20HARDENING%20GUIDANCE.PDF
而 Kubescape 專案是一個基於 OPA(OpenPolicyAgent) 引擎的安全性檢查專案,該專案會從 Kubernetes API 取得各類型 Kubernetes 專案的資訊並且針對這些資訊去進行檢查。
檢查是基於上述 NSA/CISA 發布的安全性報告,該檢查的類別包含
1. Non-root containers
2. Immutable container filesystem
3. Building secure container images
4. Privileged containers
5. hostPID, hostIPC privileges
6. hostNetwork access
7. allowedHostPaths field
8. Protecting pod service account tokens
9. Pods in kube-system and kube-public
10. Resource policies
11. Control plane hardening
12. Encrypted secrets
13. Anonymous Requests
有興趣的可以試試看這個專案
同時也有11部Youtube影片,追蹤數超過0的網紅channelvtc,也在其Youtube影片中提到,可疑連結?不明來歷嘅中獎短訊?Cyber attack梗有個喺左近! 隨著科技發展,各行各業數碼化帶動對網絡安全(Cybersecurity)專才嘅需求。IVE高級文憑課程融入新科技元素,其中網絡安全高級文憑課程除咗教授系統與網絡相關知識,亦會透過學習網絡攻擊者常用嘅工具及手法,從而了佢哋嘅思維,...
cybersecurity 在 彭博商業周刊 / 中文版 Facebook 的最佳貼文
【網絡犯罪】陰魂不散的勒索軟件
近年,勒索軟件從攻擊家用電腦,擴大到攻擊大型機構和企業,勒索金額也創下新高。美國投資顧問機構 Cybersecurity Ventures預測,到2031年,勒索軟件的網絡犯罪攻擊可導致全世界一共損失2650億美元。 勒索軟件已進化到會在電腦間「傳染」,企業或個人該如何防範層出不窮的勒索軟件?
今時今日,勒索軟件已然成長為龐然大物。但誰能想到,2005年勒索軟件剛剛在俄羅斯冒起時,其影響範圍較小,多數攻擊發生在俄羅斯,小部份在美國出現,而勒索金額較低(有業界人士指,解密費用可能只需12美元),且受害者中招後甚少發聲(或有辦法解密,或支付贖金了事),黑客也只會以加密及解密部份文件作為勒索手段。因此,除了科技業界,勒索軟件似乎並未得到相當程度的重視。
到了 2014 年左右,勒索軟件的手法更上層樓,黑客已有辦法透過勒索軟件來遙距鎖上受害者的電腦,並要求受害者為此支 付贖金。更重要的是,以比特幣為代表的虛擬貨幣開始興起。 由於部份虛擬貨幣如比特幣擁有「加密」的特性,它很快成了在暗網上神出鬼沒的黑客之最愛。「從那以後,我們會發現, 網絡勒索的頻密度與虛擬貨幣價格相關— 當虛擬貨幣價格越高,網絡勒索出現的頻率便越高。」本地科網企業UDomain的行政總裁范健文指。
而在個人之外,企業亦已成為黑客利用勒索軟件「大顯身手」的重災區。而讓范健文印象最深刻的,還應該是 2017 年 5 月 左右的 WannaCry 網絡攻擊事件,當時包括西班牙電信在內的許多西班牙公司 、英國國民保健署 、聯邦快遞和德國鐵路股份公司等大型企業的電腦系統均遇到這種勒索軟件的襲擊。
「這件事算是一個分水嶺,」他說,勒索軟件的手法已在悄然改變,「以前的勒索軟件攻擊,是單純將你電腦的檔案加密,又 或者將與你電腦有連結的網絡磁碟加密;而到了 Wanna Cry 這個世代,它不僅會加密你的檔案,更會傳染同一系統內的其他設備,從而造成更廣泛的影響,並據此向受害機構勒索更大額的贖金。」—楊括
#勒索 #軟件 #企業 #科技 #解密 #網絡 #黑客
(本文節選自《彭博商業周刊∕中文版》第229期,如欲查閱全文,歡迎訂閱)
★★訂閱聯絡方法
網站:www.bbwhk.net
電郵:bbwhk_cir@modernmedia.com.hk
cybersecurity 在 Eric Fan 范健文 Facebook 的最讚貼文
對是陰雲也看不到會散的一天…謝謝Bloomberg!
「這完全是最初級的、大海撈針式的詐騙手法,甚至都沒有去到入侵電腦、加密你電腦和文件的地步。」范健文說。這樣的話,應該就沒什麼人上當受騙了?「我當初也是這麼想,但結果似乎並非如此。」 范健文笑著說。隨即,他點開一個網站,我們開始查詢黑客電郵中所提及錢包的交易記錄,結果發現,今年內的不同時間點,該錢包錄得三筆資金匯入,每筆數額均為0.2比特幣,且來自明顯不同的帳戶。「這樣都可以騙到錢啊!真的誇張。」他推了推眼鏡驚嘆道。
#推眼鏡驚嘆道 #hellomrfan
cybersecurity 在 channelvtc Youtube 的最讚貼文
可疑連結?不明來歷嘅中獎短訊?Cyber attack梗有個喺左近!
隨著科技發展,各行各業數碼化帶動對網絡安全(Cybersecurity)專才嘅需求。IVE高級文憑課程融入新科技元素,其中網絡安全高級文憑課程除咗教授系統與網絡相關知識,亦會透過學習網絡攻擊者常用嘅工具及手法,從而了佢哋嘅思維,以制定合適嘅防禦策略。想了解更多網絡安全相關嘅資訊,即睇短片!
中六同學7月1日或之前報名,將於7月中獲派有條件取錄*:
http://bit.ly/HD2021_Cybersecurity
*適用於合資格之申請人
#SmartLearningAtVTC #Cybersecurity, #網絡安全 #攻防兼備
cybersecurity 在 Humans Offshore Podcast離島人 Youtube 的最佳貼文
🔥 只有美國科技公司需要注意資訊安全嗎?
這週離島人邀請到美國資安分析師:洪啟恆Jeff。Jeff畢業於中興資管,同時擁有美國匹茲堡大學資訊科學碩士學位。目前在美國路易斯安那擔任資安分析師。這幾年主流媒體也開始討論資安議題,讓一般大眾對於資安有更多的理解和認識。到底資安是什麼?為什麼每個人都需要知道呢?
歡迎大家來聽聽這週的離島人播客節目,來聽聽Jeff選擇資安領域的原因,和在美國資安領域求學求職的經歷。
0:00 Intro
3:13 Jeff最初對資安感興趣的契機
6:27 申請資安領域需要具備什麼條件或是學歷嗎?
9:56 美國資安領域求職
14:55 資安分析師的工作內容
17:14 資安領域職涯發展
24:59 為什麼一般平民老百姓也需要對資安有所認識
26:03 未來有打算回台灣發展嗎
-----
🎙Ep122- 資安分析師的美國解壓縮:洪啟恆
#資訊管理 #cyberSecurity #資安
✉️ jeffrey@jeffreyhung.com
全民資安素養網:https://isafe.moe.edu.tw/
🏆經歷
- 美國_資安分析師
🎓學歷
- 美國_University of Pittsburgh, Master of Science in Information Science
- 台灣_中興大學資管學士
-----
🎧離島人們的經驗交流播客平台
A podcast platform, shares experiences of those who are offshore.
★各大平台收聽 Apple Podcast | Youtube | Spotify
★獲得最新消息 | http://bit.ly/hop_instragram
★支持離島人 | http://bit.ly/hop_support
cybersecurity 在 9arm Youtube 的最讚貼文
https://play.secplayground.com เปิดให้สมัคร free trial ในช่วง 27 - 30 พย. ทำให้ผู้ใช้งานทั่วไปสามารถดูเนื้อหาแบบเสืยเงินได้ฟรี 7 วัน
ตั้งแต่วันที่ 1 ธค. - 25 ธค. โดยในแต่ละวันจะเป็นการนำโจทย์และบทเรียนมาปล่อยให้เข้ารับชมได้ฟรีวันละ 1 บทเรียน จนถึงวันที่ 25 ธค.
Twitch: https://www.twitch.tv/armzi
Facebook : https://www.facebook.com/castby9arm
Twitter : https://www.twitter.com/castby9arm
IG : https://www.instagram.com/castby9arm
สนับสนุนนายอาร์ม:
- มาเป็นสมาชิกของช่อง: https://www.youtube.com/9armstory/join
- ซื้อของผ่าน Lazada: https://c.lazada.co.th/t/c.ZUZpS
- ซื้อของผ่าน Shopee: https://bit.ly/2WB3GM7
สามารถเข้ากลุ่ม "หลังบ้านนายอาร์ม" เพื่อติดตามอัพเดทล่าสุดและพูดคุยกันใน community ได้ที่ https://www.facebook.com/groups/9arm.community/
cybersecurity 在 What is Cybersecurity? | IBM 的相關結果
Cybersecurity is the practice of protecting critical systems and sensitive information from digital attacks. Also known as information technology (IT) ... ... <看更多>
cybersecurity 在 「What Is?」Cybersecurity Library | 趨勢科技 - Trend Micro 的相關結果
「What Is?」 Cybersecurity Library. 迅速解答您的網路資安問題並提供相關深入資訊的連結。 所謂的網路資安,就是保護系統、網路與程式以防範數位攻擊。 ... <看更多>
cybersecurity 在 What Is Cybersecurity? - Cisco 的相關結果
Cybersecurity is the practice of protecting systems, networks, and programs from digital attacks. These cyberattacks are usually aimed at accessing, ... ... <看更多>