NFT, Quantum ML, Generative AI, Homomorphic Encryption and Composable Applications and Networks Among Key Technologies to Watch
Forwarded from SecAtor
Нашим соотечественникам стоит задуматься и взять пример с жителей Поднебесной, власти которой анонсировали новый масштабный закон о конфиденциальности, направленный на предотвращение сбора коммерческими компаниями личных данных пользователей страны, коих по состоянию на конец 2020 года насчитывалось почти 1 млрд. Его принятие обусловлено тем, что пропорционально росту Интернет-аудитории в стране фиксируется увеличение числа мошенничества, завязанного на утечки. Новые правила вступят в силу уже 1 ноября 2021 года.
Пекин нацелен на мировых технологических гигантов, которые крутят личными данными как хотят. Согласно новым правилам, они должны будут сократить сбор данных и получить согласие пользователей. Ожидается, что новые правила приведут вызовут шок у технологического сектора Китая и не только, вопросы уже возникли к Didi и Tencent. На фоне новых требований просматривается хороший сигнал для манипулиций и на фондовом рынке. Как известно, позиции акции китайских технологических компаний, включая Alibaba и Tencent уже упали.
IT-компании в свою защиту аргументируют сбор данных в интересах профилирования пользователей и рекламного продвижения. Но все помнят как китайские наблюдательные органы выявляли случаи цифровой дискриминации, когда десятки тысяч клиентов жаловались на то, что им приходится платить больше за вызов такси с помощью iPhone, чем через более дешевую модель мобильного телефона, или за билеты, если они приобретались для бизнес-поездок.
Закон разработан по образцу Общего регламента Европейского Союза о защите данных. Нарушители могут быть подвергнуты штрафам до 7,6 миллионов долларов или 5% от их годового оборота.
Что интересно: действие закона затронет и хваленные системы наблюдения в китайских мегаполисах, которые оборудованы системами распознавания лиц и массово собирающие биометрическую информацию. В соответствии с новыми правилами потребуется публичная маркировка камер, предупреждающая граждан о видеосъемке. Главное, что сбор и обращение полученных данных будут ограничиваться исключительно обеспечением общественной безопасности, коммерческое использование будет запрещено.
Отдельно отмечено, что личные данные граждан КНР не могут быть переданы в страны с более низкими стандартами безопасности, нежели в Поднебесной, что просто обяжет экономически зависимое мировое сообщество, и прежде всего – бизнес, со временем выстроить аналогичные законодательные конструкции и у себя.
Пекин нацелен на мировых технологических гигантов, которые крутят личными данными как хотят. Согласно новым правилам, они должны будут сократить сбор данных и получить согласие пользователей. Ожидается, что новые правила приведут вызовут шок у технологического сектора Китая и не только, вопросы уже возникли к Didi и Tencent. На фоне новых требований просматривается хороший сигнал для манипулиций и на фондовом рынке. Как известно, позиции акции китайских технологических компаний, включая Alibaba и Tencent уже упали.
IT-компании в свою защиту аргументируют сбор данных в интересах профилирования пользователей и рекламного продвижения. Но все помнят как китайские наблюдательные органы выявляли случаи цифровой дискриминации, когда десятки тысяч клиентов жаловались на то, что им приходится платить больше за вызов такси с помощью iPhone, чем через более дешевую модель мобильного телефона, или за билеты, если они приобретались для бизнес-поездок.
Закон разработан по образцу Общего регламента Европейского Союза о защите данных. Нарушители могут быть подвергнуты штрафам до 7,6 миллионов долларов или 5% от их годового оборота.
Что интересно: действие закона затронет и хваленные системы наблюдения в китайских мегаполисах, которые оборудованы системами распознавания лиц и массово собирающие биометрическую информацию. В соответствии с новыми правилами потребуется публичная маркировка камер, предупреждающая граждан о видеосъемке. Главное, что сбор и обращение полученных данных будут ограничиваться исключительно обеспечением общественной безопасности, коммерческое использование будет запрещено.
Отдельно отмечено, что личные данные граждан КНР не могут быть переданы в страны с более низкими стандартами безопасности, нежели в Поднебесной, что просто обяжет экономически зависимое мировое сообщество, и прежде всего – бизнес, со временем выстроить аналогичные законодательные конструкции и у себя.
新华网
China Focus: China adopts new law to protect personal information
BEIJING, Aug. 20 (Xinhua) -- China's top legislature on Friday voted to adopt a new law on personal information protection, which will take effect on Nov. 1.
Mobile Application Single Sign-On | NCCoE
The NCCoE has released the final NIST Cybersecurity Practice Guide SP 1800-13, Mobile Application Single Sign-On.
https://www.nccoe.nist.gov/projects/use-cases/mobile-sso
The NCCoE has released the final NIST Cybersecurity Practice Guide SP 1800-13, Mobile Application Single Sign-On.
https://www.nccoe.nist.gov/projects/use-cases/mobile-sso
Forwarded from k8s (in)security (D1g1)
Крутая картинка со систематизацией Kubernetes Privilage Escalation! (Автор не известен.)
И Red team и Blue team это все очень полезно знать.
P.S. Сегодня на ZeroNights - буду рад пообщаться лично, пообсуждать Kubernetes ;)
И Red team и Blue team это все очень полезно знать.
P.S. Сегодня на ZeroNights - буду рад пообщаться лично, пообсуждать Kubernetes ;)
Forwarded from SecAtor
Специалистами Cisco была обнаружена критическая уязвимость и экстренно выпущен соответствующий патч. Угроза касается интерфейса Application Policy Infrastructure Controller (APIC), используемого в коммутаторах серии Nexus 9000.
Речь идет о CVE-2021-1577 (оценка CVSS: 9,1), эксплуатация которой связана с неправильным контролем доступа и позволяет злоумышленнику, не прошедшему проверку подлинности, загрузить файл на устройство.
Cisco заявила, что обнаружила уязвимость во время внутреннего тестирования безопасности своих девайсов, проведенного собственной группой киберзащиты Cisco Advanced Security Initiatives Group (ASIG).
Публичных фактов эксплуатации на данный момент пока не зафиксировано, что дает фору админам, дабы успеть накатить патч.
Как показывает практика, представители хакподполья тоже не теряют время даром, умудряясь придумывать способы закрепиться в уязвимых хостах.
Речь идет о CVE-2021-1577 (оценка CVSS: 9,1), эксплуатация которой связана с неправильным контролем доступа и позволяет злоумышленнику, не прошедшему проверку подлинности, загрузить файл на устройство.
Cisco заявила, что обнаружила уязвимость во время внутреннего тестирования безопасности своих девайсов, проведенного собственной группой киберзащиты Cisco Advanced Security Initiatives Group (ASIG).
Публичных фактов эксплуатации на данный момент пока не зафиксировано, что дает фору админам, дабы успеть накатить патч.
Как показывает практика, представители хакподполья тоже не теряют время даром, умудряясь придумывать способы закрепиться в уязвимых хостах.
Cisco
Cisco Security Advisory: Cisco Application Policy Infrastructure Controller Arbitrary File Read and Write Vulnerability
A vulnerability in an API endpoint of Cisco Application Policy Infrastructure Controller (APIC) and Cisco Cloud Application Policy Infrastructure Controller (Cloud APIC) could allow an unauthenticated, remote attacker to read or write arbitrary files on an…
Forwarded from Пост Лукацкого
В среду прошел эфир AM Live, посвященный теме Threat Intelligence, который я модерировал и который собрал, пожалуй, основных игроков этой сферы в России, которые представляли как сервисы TI, так и платформы для управления TI. Тезисно, чем запомнился эфир с рядом моих дополнений и комментариев:
1️⃣ Threat Intelligence - это не киберразведка, хотя так очень солидно и звучно, а принятие решение на основе знаний об угрозах. Просто фиды, просто IOCи и даже просто чтение TTP - это еще не TI. Вот когда на основе этих данных начинают приниматься решения, вот тогда можно говорить о TI.
2️⃣ Из 4-х уровней TI (технический, тактический, операционный и стратегический) 30% зрителей используют самый нижний, самый понятный и простой (фиды и индикаторы). 9% используют тактический уровень (техники и тактики злоумышленников), 3% используют операционный (кампании) и 7% используют самый верхний уровень, стратегический (атрибуция нарушителей). Половина зрителей TI не используют совсем.
3️⃣ В массе своей TI используется в процессах обнаружения и мониторинга угроз (46% зрителей). В Threat Hunting его используют 11%, при оценке средств защиты и атрибуции - по 6%. В реагировании на инциденты - около 30%. Такое распределение похоже на реальность - все-таки пока в массе своей TI воспринимается именно как обогащение данных, генерируемых SIEMами, IDS, NGFW, EDR и т.п.
4️⃣ Большинство участников регулярно упоминало, что нельзя брать фиды от тех, чьи средства защиты у вас используются, хотя я с этим тезисом не соглашусь. Фиды могут быть сетевыми, а средства защиты хостовыми. Средства защиты делает один департамент, а фидами занимается сервисное подразделение. Вариантов много разных.
5️⃣ Строить TI у себя можно и своими силами и есть компании, которые это делают, но лучше довериться профессионалам, которые либо продают платформы TI, либо предлагают источники TI, очищенные от шлака. Но выбор источников TI - задача непростая. Частично можно возложить на соответствующие платформы, которые могут фильтровать и анализировать фиды, индикаторы и оценивать их качество. На Хабре, в канале BI.ZONE есть статья с методикой оценки источников фидов.
6️⃣ Коммерческая или бесплатная TIP? Начать можно и с MISP (тем более, что его используют многие, например, FIRST), но у нее слабая производительность и она может захлебнуться, если в нее засунуть много источников. У ENISA есть руководство по выбору TIP. Также можно посмотреть руководства Forrester или Gartner по Threat Intellgence - их можно найти в Интернете.
7️⃣ Индикаторы часто фолсят (хотя по оценкам BI.ZONE хороший источник содержит всего 0,01-0,05% фолсов), часто запаздывают, меняются от кампании/жертвы к кампании/жертве, быстро становятся неактуальными. На тему нужны индикаторы или не нужны возникла даже дискуссия ближе к середине эфира. Посмотрите ее - было интересно.
8️⃣ Индикатор КОМПРОМЕТАЦИИ - это про прошлое (хорошо, если вам повезет и вы не будете первым, кого скомпрометировали). Чтобы работать на опережение нужно использовать техники и тактики, которые позволяют (при правильном использовании) детектировать новые атаки и кампании. Но TTP не бывает так же много, как и индикаторов. Более того, нельзя оценивать тот или иной источник (как и в случае с фидами) по числу TTP или индикаторов. Важно, насколько они релевантны именно для вас. Можно получить всего один бюллетень с TTP и он попадет в десятку, а можно получать еженедельно бюллетени и ни один из них для вас не будет полезным. 47% зрителей используют MITRE ATT&CK для описания техник и тактик. 38% не используют ничего.
9️⃣ В TIP можно анализировать/фильтровать/сортировать не только индикаторы, но и техники и тактики, делая выборки по нужным критериям. У некоторых игроков рынка такие TTP сопровождаются правилами SIGMA, Yara или иными "детектами". Только тогда TIP приносит пользу и начинает играть роль отличную от простой читалки бюллетеней, опубликованных в открытом доступе многими исследователями.
1️⃣ Threat Intelligence - это не киберразведка, хотя так очень солидно и звучно, а принятие решение на основе знаний об угрозах. Просто фиды, просто IOCи и даже просто чтение TTP - это еще не TI. Вот когда на основе этих данных начинают приниматься решения, вот тогда можно говорить о TI.
2️⃣ Из 4-х уровней TI (технический, тактический, операционный и стратегический) 30% зрителей используют самый нижний, самый понятный и простой (фиды и индикаторы). 9% используют тактический уровень (техники и тактики злоумышленников), 3% используют операционный (кампании) и 7% используют самый верхний уровень, стратегический (атрибуция нарушителей). Половина зрителей TI не используют совсем.
3️⃣ В массе своей TI используется в процессах обнаружения и мониторинга угроз (46% зрителей). В Threat Hunting его используют 11%, при оценке средств защиты и атрибуции - по 6%. В реагировании на инциденты - около 30%. Такое распределение похоже на реальность - все-таки пока в массе своей TI воспринимается именно как обогащение данных, генерируемых SIEMами, IDS, NGFW, EDR и т.п.
4️⃣ Большинство участников регулярно упоминало, что нельзя брать фиды от тех, чьи средства защиты у вас используются, хотя я с этим тезисом не соглашусь. Фиды могут быть сетевыми, а средства защиты хостовыми. Средства защиты делает один департамент, а фидами занимается сервисное подразделение. Вариантов много разных.
5️⃣ Строить TI у себя можно и своими силами и есть компании, которые это делают, но лучше довериться профессионалам, которые либо продают платформы TI, либо предлагают источники TI, очищенные от шлака. Но выбор источников TI - задача непростая. Частично можно возложить на соответствующие платформы, которые могут фильтровать и анализировать фиды, индикаторы и оценивать их качество. На Хабре, в канале BI.ZONE есть статья с методикой оценки источников фидов.
6️⃣ Коммерческая или бесплатная TIP? Начать можно и с MISP (тем более, что его используют многие, например, FIRST), но у нее слабая производительность и она может захлебнуться, если в нее засунуть много источников. У ENISA есть руководство по выбору TIP. Также можно посмотреть руководства Forrester или Gartner по Threat Intellgence - их можно найти в Интернете.
7️⃣ Индикаторы часто фолсят (хотя по оценкам BI.ZONE хороший источник содержит всего 0,01-0,05% фолсов), часто запаздывают, меняются от кампании/жертвы к кампании/жертве, быстро становятся неактуальными. На тему нужны индикаторы или не нужны возникла даже дискуссия ближе к середине эфира. Посмотрите ее - было интересно.
8️⃣ Индикатор КОМПРОМЕТАЦИИ - это про прошлое (хорошо, если вам повезет и вы не будете первым, кого скомпрометировали). Чтобы работать на опережение нужно использовать техники и тактики, которые позволяют (при правильном использовании) детектировать новые атаки и кампании. Но TTP не бывает так же много, как и индикаторов. Более того, нельзя оценивать тот или иной источник (как и в случае с фидами) по числу TTP или индикаторов. Важно, насколько они релевантны именно для вас. Можно получить всего один бюллетень с TTP и он попадет в десятку, а можно получать еженедельно бюллетени и ни один из них для вас не будет полезным. 47% зрителей используют MITRE ATT&CK для описания техник и тактик. 38% не используют ничего.
9️⃣ В TIP можно анализировать/фильтровать/сортировать не только индикаторы, но и техники и тактики, делая выборки по нужным критериям. У некоторых игроков рынка такие TTP сопровождаются правилами SIGMA, Yara или иными "детектами". Только тогда TIP приносит пользу и начинает играть роль отличную от простой читалки бюллетеней, опубликованных в открытом доступе многими исследователями.
Forwarded from Пост Лукацкого
1️⃣0️⃣ Топ3 источников TI не существует - все очень условно и зависит от множества факторов. Но на Github можно найти подборки таких источников и посмотреть, насколько они релевантны для вас.
1️⃣1️⃣ Загружать фиды в SIEM или средства защиты (XDR, NGFW, IDS и т.п.) можно, но возникает вопрос производительности. Хотя в эфире участвовали два производителя SIEM и от них услышать такое было интересно. Лучше загружать все в TIP, к которой и будет обращаться тот же SIEM или иные средства защиты для обогащений событий ИБ. Интеграции у большинства TIP (даже российских), в-основном, с зарубежными средствами защиты. С отечественными мало кто пока интегрируется - спроса нет. Но у многих есть либо API, либо собственные службы внедрения, которые могут провести доработку решения и написать нужный коннектор (если у интегрируемого решения тоже есть API, что для российских средств защиты возможно далеко не всегда). Но по опросу зрителей, большинство (12%) загружают бесплатные фиды напрямую в средства защиты. 10% просто читают бюллетени и заносят оттуда индикаторы в средства защиты. 7% используют бесплатные TIP. Еще 12% используют коммерческие TIP, а 9% и вовсе написали свою собственную платформу TI.
1️⃣2️⃣ TI нужен далеко не всем. Нужно дозреть и до того, что средства защиты видят далеко не все. И до того, что пассивные средства ИБ (NGFW, IDS, VM и т.п.) - это вчерашний день и нужна средства активной защиты, которые подразумевают наличие аналитиков ИБ. А аналитики ИБ - это вообще штучный товар; их нигде не готовят, они много получают. Если компания и дозревает до TI, то сначала до технического, потом до тактического. Операционный и стратегический нужны далеко не всем и не всегда.
Остальные тезисы можно посмотреть в записи эфира, которая выложена на https://www.youtube.com/watch?v=dMcL-OpbqYE
Спасибо за участие Александру Мазикин (Лаборатория Касперского), Никите Вдовушкину (BI.ZONE), Антону Соловей (R-Vision), Алексею Новикову (Positive Technologies), Артему Мелехину (Мегафон), Илье Осадчему (Тайгер Оптикс) и Дмитрию Волкову (Group-IB), а также за приглашение Илье Шабанову и Катерине Бузаевой.
1️⃣1️⃣ Загружать фиды в SIEM или средства защиты (XDR, NGFW, IDS и т.п.) можно, но возникает вопрос производительности. Хотя в эфире участвовали два производителя SIEM и от них услышать такое было интересно. Лучше загружать все в TIP, к которой и будет обращаться тот же SIEM или иные средства защиты для обогащений событий ИБ. Интеграции у большинства TIP (даже российских), в-основном, с зарубежными средствами защиты. С отечественными мало кто пока интегрируется - спроса нет. Но у многих есть либо API, либо собственные службы внедрения, которые могут провести доработку решения и написать нужный коннектор (если у интегрируемого решения тоже есть API, что для российских средств защиты возможно далеко не всегда). Но по опросу зрителей, большинство (12%) загружают бесплатные фиды напрямую в средства защиты. 10% просто читают бюллетени и заносят оттуда индикаторы в средства защиты. 7% используют бесплатные TIP. Еще 12% используют коммерческие TIP, а 9% и вовсе написали свою собственную платформу TI.
1️⃣2️⃣ TI нужен далеко не всем. Нужно дозреть и до того, что средства защиты видят далеко не все. И до того, что пассивные средства ИБ (NGFW, IDS, VM и т.п.) - это вчерашний день и нужна средства активной защиты, которые подразумевают наличие аналитиков ИБ. А аналитики ИБ - это вообще штучный товар; их нигде не готовят, они много получают. Если компания и дозревает до TI, то сначала до технического, потом до тактического. Операционный и стратегический нужны далеко не всем и не всегда.
Остальные тезисы можно посмотреть в записи эфира, которая выложена на https://www.youtube.com/watch?v=dMcL-OpbqYE
Спасибо за участие Александру Мазикин (Лаборатория Касперского), Никите Вдовушкину (BI.ZONE), Антону Соловей (R-Vision), Алексею Новикову (Positive Technologies), Артему Мелехину (Мегафон), Илье Осадчему (Тайгер Оптикс) и Дмитрию Волкову (Group-IB), а также за приглашение Илье Шабанову и Катерине Бузаевой.
YouTube
Выбор инструментов и сервисов киберразведки (Threat Intelligence)
#ThreatIntelligence #Киберразведка #AMLIVE
Запись прямого эфира онлайн-конференции AM Live (https://www.anti-malware.ru), проходившей 25 августа 2021 года, на которой эксперты поговорили о выборе инструментов и сервисов киберразведки (Threat Intelligence).…
Запись прямого эфира онлайн-конференции AM Live (https://www.anti-malware.ru), проходившей 25 августа 2021 года, на которой эксперты поговорили о выборе инструментов и сервисов киберразведки (Threat Intelligence).…